Perchè le PMI sono sempre più bersaglio degli attacchi informatici
I DATI*
Nel primo semestre del 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha registrato un netto incremento degli eventi e degli incidenti informatici in Italia. Gli eventi censiti sono stati 1.549 con un aumento del 53% rispetto allo stesso periodo del 2024, mentre gli incidenti con impatto confermato hanno raggiunto quota 346, con un incremento del 98%.
Questi numeri rappresentano in realtà solo la “punta dell’iceberg”: sono infatti solamente gli attacchi noti.
Questa crescita è apprezzabile grazie alla capacità di rilevamento del CSIRT Italia e al nuovo quadro normativo che permette di:
- avere maggior controllo sulla sicurezza son lo scopo di difendere le organizzazione da attacchi informatici
- ridurre i costi di eventuali violazioni
- mantenere la conformità a leggi e regolamenti (come il GDPR)
- preservare la fiducia di clienti e partner commerciali
L’aumento degli attacchi è soprattutto dovuto a un rilevante intensificarsi delle minacce, in particolare ransomware, campagne DDoS, esposizione di dati e attacchi phishing.
SOGGETTI PIÙ COINVOLTI
Nel primo semestre del 2025, le minacce ramsomware hanno colpito in misura nettamente maggiore i soggetti meno esposti a obblighi normativi: il 95% degli attacchi ha infatti interessato piccole e medie imprese o realtà non rientranti direttamente nel perimetro normativo, mentre solo il 5% ha coinvolto le realtà più strategiche con obbligo di segnalazione.
Questo dato conferma la tendenza già osservata nel 2024: i criminali informatici preferiscono bersagli più vulnerabili, spesso con risorse e capacità di difesa limitate, piuttosto che concentrare i propri sforzi contro organizzazioni che si sono già strutturate.
Le imprese meno vincolate da requisiti normativi risultano più vulnerabili e quindi più attrattive per i criminali: a quasi totalità degli episodi registrati infatti si concentra su piccole e medie imprese e altri soggetti senza obblighi formali.
Il messaggio è evidente: non basta affidarsi alla normativa. Anche le organizzazioni che non rientrano tra i soggetti “critici” devono dotarsi di misure di difesa adeguate, perché gli attacchi non fanno distinzioni e tendono a colpire laddove trovano barriere più deboli.
PRINCIPALI VETTORI DI ATTACCO
I principali vettori di attacco restano le email malevole, lo sfruttamento di vulnerabilità e l’uso di credenziali sottratte, confermando le tendenze emerse nel 2024. Poiché la maggior parte delle comunicazioni aziendali oggi transita via email, questo canale è diventato il vettore preferito dai cybercriminali per penetrare nelle organizzazioni.
Ma quali tecniche usano concretamente per avere successo?
Vediamole insieme:
PHISHING
Una delle tecniche più utilizzate è il phishing, una tecnica di truffa online usata dai criminali informatici per rubare dati sensibili, come password, numeri di carte di credito, credenziali di accesso a conti bancari, social network. I criminali si fingono fonti affidabili (es. banca, posta, o anche il CEO dell’organizzazione etc.) e attraverso messaggi che sembrano autentici e con carattere di urgenza, spingono a cliccare su link e inserire dati sensibili.
Lo scopo di questi attacchi è quello di sottrarre all’utente informazioni critiche, controllare e compromettere i suoi dispositivi attraverso malware e, spesso, richiedere un riscatto in denaro.
RANSOMWARE
Tra i malware, il ransomware si conferma una delle minacce più gravi. Questo virus cripta e blocca i dati di un computer o di altri dispositivi al fine di chiedere un riscatto in denaro per sbloccarli e ripristinarne l’accesso. Oltre alla perdita di denaro, il pericolo è l’esposizione ai dati sensibili e la divulgazione degli stessi.
Un singolo momento di disattenzione può essere sufficiente per aprire la porta a un ransomware. Basta cliccare su un link ingannevole, aprire un’email di phishing o non avere la giusta consapevolezza ed educazione delle buone pratiche di sicurezza durante la navigazione online. In pochi secondi, il malware può attivarsi, cifrare i dati aziendali e rendere inaccessibili interi sistemi informatici. Le conseguenze sono gravi: blocco delle attività operative, perdita di produttività, danni economici e reputazionali che possono durare giorni, se non settimane.
SOCIAL ENGINEERING
Un’altra tecnica che utilizzano i criminali per attaccare è il social engineering, che non colpisce i dispositivi, ma direttamente le persone di un’organizzazione.
È infatti una manipolazione psicologica usata dai criminali informatici per ingannare le persone e convincerle a rivelare informazioni riservate, compiere azioni o dare accesso a sistemi.
La differenza rispetto alle altre modalità di attacco, è che il social engineering non si basa sulla tecnologia, ma sulla fiducia, la distrazione o l’urgenza creata nella vittima, sfruttando così la debolezza e l’ingenuità delle persone al fine di ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità.
Prima di lanciare un attacco che sfrutta l’ingegneria sociale, il truffatore fa ricerche dettagliate sulla vittima: studia il suo carattere, le abitudini e con chi è in contatto. Se l’obiettivo è un’azienda, raccoglie informazioni su di essa e sui suoi dipendenti (ruoli, relazioni, email, ecc.). Quando ha raccolto dati sufficienti, utilizza quelle informazioni per costruire un raggiro credibile e avviare l’attacco.
LA CONSAPEVOLEZZA COME ARMA DI DIFESA
Phishing, ransomware e social engineering sono tre esempi chiari di come le minacce informatiche non si limitino a colpire i sistemi tecnologici, ma sfruttino soprattutto la componente umana. I criminali informatici sanno bene che, al di là dei firewall e degli antivirus, il punto più vulnerabile rimane spesso la persona: un clic su un link sbagliato, l’apertura di un allegato sospetto o la condivisione inconsapevole di informazioni riservate può compromettere l’intera sicurezza aziendale.
Questi attacchi hanno in comune la capacità di manipolare la fiducia, la distrazione o l’inesperienza delle vittime, facendo leva sulla scarsa consapevolezza dei rischi digitali. È proprio per questo che, accanto agli investimenti in strumenti di protezione avanzati, le aziende devono considerare prioritario un altro pilastro fondamentale: la formazione del personale.
Sensibilizzare i dipendenti, renderli capaci di riconoscere i segnali di un tentativo di truffa e fornire procedure chiare su come reagire significa trasformare quello che oggi è il principale punto debole in una risorsa preziosa di difesa.
* Fonte: Agenzia per la Cyber Sicurezza Nazionale – Operational Summer del 4 Agosto 2025