Cronaca di una guerra digitale globale e delle strategie per difendersi.
Il 2025 sarà ricordato come uno degli anni più intensi e drammatici nella storia della sicurezza informatica. Gli attacchi registrati nei primi dieci mesi hanno superato, per numero e complessità, quelli degli anni precedenti. Quello che un tempo era un campo ristretto agli specialisti è oggi una vera e propria emergenza globale, che tocca aziende, governi e cittadini. Come in una cronaca di guerra invisibile, la rete è diventata il nuovo fronte di scontro, e i protagonisti non sono più soltanto hacker isolati, ma vere organizzazioni strutturate, spesso sostenute da Stati o grandi gruppi economici.
Il primo segnale di questa escalation è arrivato all’inizio dell’anno, quando il gruppo nordcoreano Lazarus ha colpito nuovamente il mondo delle criptovalute. L’obiettivo, l’exchange Bybit, è stato violato mediante una combinazione di social engineering e sfruttamento di una vulnerabilità in un servizio di terze parti. Il bottino stimato — circa un miliardo e mezzo di dollari — lo rende uno dei furti digitali più grandi di sempre. Le autorità hanno confermato che parte dei fondi è stata riciclata tramite piattaforme DeFi e mixer decentralizzati, rendendo quasi impossibile il recupero. La vicenda dimostra come la sicurezza informatica nel settore finanziario digitale resti un tallone d’Achille: sistemi complessi, utenti distribuiti, e una tracciabilità solo apparente. Prevenire episodi simili richiede una combinazione di audit continui, architetture zero trust e un controllo umano costante sui flussi di transazioni anomale.
Pochi mesi dopo, ad aprile, un’altra vicenda ha mostrato che nessun Paese sia immune. Il fondo nazionale di previdenza sociale del Marocco è stato colpito da un attacco mirato che ha compromesso i dati di oltre due milioni di cittadini. Gli hacker, presumibilmente legati a gruppi operanti dall’Algeria, hanno sottratto informazioni sensibili: numeri di sicurezza sociale, conti bancari, documenti d’identità, e dati sanitari. L’impatto non è stato solo economico, ma anche sociale: migliaia di utenti si sono ritrovati vittime di frodi e furti d’identità. In questo caso, la causa non è stata una singola vulnerabilità, ma una concatenazione di errori gestionali, di sistemi obsoleti e di mancanza di aggiornamenti. L’episodio evidenzia una delle principali debolezze delle pubbliche amministrazioni: infrastrutture datate e personale spesso non adeguatamente formato. Le misure preventive, qui, sono chiare: formazione continua, segmentazione delle reti, sistemi di backup offline e un piano di risposta agli incidenti che preveda una comunicazione trasparente con i cittadini.
Nel corso dell’estate, una nuova campagna di attacchi su scala globale ha messo in luce la portata della minaccia statale. La rete “Salt Typhoon”, identificata dall’FBI e da altre agenzie occidentali, è stata ricondotta a gruppi sostenuti dalla Cina. Secondo le indagini, la campagna ha interessato oltre duecento organizzazioni in più di ottanta Paesi, colpendo settori chiave quali trasporti, telecomunicazioni, energia e ospitalità. Gli attaccanti hanno sfruttato vulnerabilità nei sistemi VPN e nei software di gestione remota, installando backdoor silenziose per operazioni di spionaggio e sabotaggio future. Questo tipo di attacco, definito “a bassa intensità e lunga permanenza”, è tra i più difficili da rilevare. Le soluzioni preventive non possono basarsi solo su firewall o antivirus: servono sistemi di rilevamento comportamentale, audit periodici del traffico interno e un costante aggiornamento delle firme di sicurezza. Ma soprattutto serve la cooperazione internazionale. La cybersicurezza, oggi, non può più essere gestita entro i confini di una singola nazione.
Parallelamente, si è assistito all’emergere di una nuova generazione di minacce basate sull’intelligenza artificiale. Secondo un rapporto di Microsoft pubblicato a ottobre, stati come Russia, Iran e Corea del Nord stanno sfruttando modelli linguistici e strumenti di deepfake per automatizzare campagne di phishing, generare email indistinguibili da quelle legittime e manipolare l’opinione pubblica. Le tecniche di social engineering, un tempo artigianali, sono ora condotte su scala industriale. L’uso dell’IA consente di personalizzare ogni attacco, replicando il tono, lo stile e persino la voce di dirigenti o colleghi. Questo ha reso l’elemento umano il punto più vulnerabile di ogni organizzazione. Prevenire tali minacce richiede una nuova cultura della consapevolezza digitale: simulazioni interne di phishing, corsi di formazione, autenticazione multifattore obbligatoria e l’adozione di strumenti di verifica dell’identità digitale nelle comunicazioni sensibili.
Nel frattempo, il settore privato non è rimasto indenne. Gruppi criminali come Scattered Spider e ShinyHunters hanno preso di mira le piattaforme cloud e i servizi SaaS. In agosto, numerose aziende europee e statunitensi hanno segnalato furti di dati avvenuti tramite l’abuso di API e tool di integrazione di Salesforce. Gli attaccanti hanno ottenuto accesso attraverso credenziali compromesse e hanno sfruttato la fiducia tra sistemi interconnessi per esfiltrare milioni di record: informazioni su clienti, contratti, e transazioni. La vulnerabilità principale, in questo caso, non è stata tecnica ma gestionale. La mancanza di controlli sui privilegi e l’uso eccessivo di chiavi API permanenti hanno amplificato l’impatto. L’unica prevenzione efficace consiste nel principio del “least privilege”, nella rotazione costante delle credenziali e nel monitoraggio dei flussi di dati anomali.
Un altro fronte critico per il 2025 riguarda la sicurezza delle infrastrutture industriali. A settembre, un attacco ransomware contro Collins Aerospace — società che fornisce sistemi di gestione aeroportuale — ha paralizzato temporaneamente le operazioni di check-in e boarding in diversi scali europei, tra cui Dublino e Bruxelles. L’episodio ha mostrato quanto fragili siano le catene digitali dei trasporti moderni. Nonostante i sistemi industriali siano progettati per la continuità, spesso integrano componenti IT tradizionali esposti in rete. La lezione è chiara: la convergenza tra IT e OT richiede politiche di segmentazione rigorose, test di penetrazione periodici e protocolli di emergenza che consentano il ripristino manuale delle funzioni essenziali.
Nel corso dell’anno, anche il mondo legale e quello sanitario sono stati bersagliati da campagne mirate. Lo studio legale statunitense Williams & Connolly ha ammesso una violazione attribuita a un gruppo di spionaggio statale che ha sfruttato una vulnerabilità zero-day per accedere a caselle di posta elettronica riservate. Sebbene lo studio abbia dichiarato che nessun dato dei clienti sia stato pubblicamente esfiltrato, l’incidente ha scosso l’intero settore, mettendo in evidenza la fragilità delle informazioni legali. Poco dopo, un ospedale della California ha denunciato il furto di migliaia di cartelle cliniche e numeri di sicurezza sociale. Gli attacchi al settore sanitario e legale condividono una caratteristica: mirano a dati di altissimo valore, difficili da monetizzare ma utili alle estorsioni e ai ricatti. Le difese, in questi contesti, devono unire tecnologia e governance: crittografia end-to-end, segregazione dei dati sensibili, protocolli di accesso temporaneo e stretta collaborazione con le autorità di sicurezza.
La geografia della minaccia nel 2025 è globale ma non omogenea. In Asia, Taiwan ha denunciato una media di 2,8 milioni di tentativi di intrusione al giorno contro i propri enti governativi, provenienti da infrastrutture cinesi. In Europa, la Francia ha accusato pubblicamente i servizi segreti russi di una serie di attacchi informatici contro ministeri e media. Negli Stati Uniti, le agenzie federali hanno intensificato la cooperazione con il settore privato dopo l’ondata di violazioni nei cloud pubblici. Tutti questi episodi dimostrano che la sicurezza informatica è ormai una questione di sovranità nazionale, tanto quanto la difesa militare o energetica.
Guardando al futuro, una conclusione è inevitabile: gli attacchi informatici del 2025 non sono più eccezioni ma sintomi di un cambiamento strutturale. Le reti digitali che sostengono l’economia globale sono diventate bersagli permanenti, e la prevenzione non può più limitarsi a strumenti tecnici. Serve una strategia che combini tecnologia, formazione e responsabilità. Ogni organizzazione — pubblica o privata — deve adottare un modello di sicurezza proattivo, basato sul monitoraggio continuo, sull’analisi predittiva e sulla trasparenza. È necessario condividere le informazioni sugli incidenti, creare reti di cooperazione internazionale e definire standard comuni per la protezione dei dati.
Come in ogni guerra, la conoscenza è la prima forma di difesa. Sapere come si muove l’avversario, comprendere i suoi obiettivi, imparare dai casi precedenti: sono questi gli strumenti che possono evitare nuove catastrofi digitali. Il 2025 ci sta offrendo una lezione durissima ma chiara: la sicurezza informatica non è più un costo, è la condizione stessa per continuare a vivere, lavorare e comunicare in un mondo interconnesso. E chi non la comprende in tempo, rischia di scoprirlo nel modo più doloroso — il giorno in cui si accorge che i propri dati, i propri sistemi e la propria reputazione sono già nelle mani di qualcun altro.
Autore: Alessandro Civati
