Cybersecurity 2025: il nuovo rapporto ENISA fotografa le minacce digitali in Europa
Il cyberspazio europeo si conferma un terreno fragile e in continua evoluzione, sempre più esposto a rischi che non riguardano solo esperti informatici o aziende hi-tech, ma la vita quotidiana di milioni di cittadini. A dirlo è il nuovo rapporto Threat Landscape 2025 dell’ENISA, l’Agenzia dell’Unione Europea per la cybersicurezza, presentato lo scorso 1° ottobre. Il documento raccoglie i dati di 4.875 incidenti informatici avvenuti tra luglio 2024 e giugno 2025, tracciando un bilancio preciso e dettagliato delle principali minacce digitali che hanno colpito l’Unione. Il quadro che emerge è quello di un panorama estremamente dinamico, dove attori diversi – dagli hacktivisti agli Stati, fino ai cybercriminali – riutilizzano strumenti noti, sperimentano nuove tecniche e sfruttano in maniera sistematica le vulnerabilità delle infrastrutture digitali.
L’esplosione degli attacchi DDoS e il ritorno del ransomware
Tra le tipologie di incidenti segnalati, a dominare sono stati gli attacchi DDoS (Distributed Denial of Service), che da soli hanno rappresentato il 77% del totale. Si tratta di attacchi che mirano a sovraccaricare server e siti web con un’ondata di traffico proveniente da più fonti, rendendoli temporaneamente inaccessibili. Il rapporto sottolinea come la maggior parte di questi episodi sia riconducibile a campagne di hacktivismo, cioè azioni a scopo politico o sociale più che criminale, e che spesso hanno avuto un impatto contenuto in termini di interruzioni reali dei servizi. Tuttavia, il volume e la frequenza con cui si sono verificati dimostrano quanto tali pratiche siano ormai diventate strumenti abituali di protesta e pressione. Al fianco dei DDoS, il ransomware continua a rappresentare la minaccia più efficace e temuta: attraverso il blocco di file e sistemi fino al pagamento di un riscatto, questo tipo di attacco rimane la principale fonte di danni economici e reputazionali per organizzazioni pubbliche e private.
Phishing e vulnerabilità come porte d’ingresso preferite
Se gli attacchi DDoS e ransomware sono le forme più evidenti e devastanti, le porte d’ingresso attraverso cui i criminali riescono a infiltrarsi nei sistemi sono quasi sempre le stesse: phishing e sfruttamento delle vulnerabilità. Il phishing, in particolare, è il metodo di intrusione più diffuso, responsabile del 60% dei casi osservati. Non si tratta più soltanto di e-mail ingannevoli: oggi le tecniche spaziano dalle telefonate fraudolente (vishing) alle pubblicità online manipolate (malvertising), fino all’utilizzo di veri e propri kit preconfezionati, venduti come servizio sul dark web. Questo fenomeno, chiamato Phishing-as-a-Service (PhaaS), abbassa notevolmente la barriera d’ingresso, permettendo anche a chi non ha competenze tecniche avanzate di organizzare campagne di attacco. A seguire, con il 21,3% degli episodi, troviamo lo sfruttamento di vulnerabilità non aggiornate: un dato che ribadisce ancora una volta quanto la manutenzione e gli aggiornamenti dei sistemi siano cruciali per la sicurezza.
Hacktivisti in prima linea ma cresce lo spettro dello spionaggio
Il dato forse più sorprendente del rapporto riguarda le motivazioni degli incidenti: quasi l’80% degli attacchi è stato guidato da motivazioni ideologiche legate all’hacktivismo. In altre parole, dietro la maggior parte delle operazioni non c’erano obiettivi finanziari, ma intenti politici e sociali. Questo fenomeno ha visto la crescita di campagne coordinate, spesso a basso impatto tecnico ma ad alta visibilità mediatica, soprattutto contro enti pubblici e istituzioni. Allo stesso tempo, non mancano gli episodi di spionaggio cibernetico condotti da attori statali o legati a Stati, che hanno puntato soprattutto contro la pubblica amministrazione e gli apparati diplomatici. Questi attacchi, sebbene meno appariscenti, rappresentano una minaccia più insidiosa perché legati alla raccolta di informazioni strategiche o alla manipolazione dell’opinione pubblica tramite campagne di disinformazione e interferenza.
I settori più colpiti: pubblica amministrazione in prima linea
Dal punto di vista dei settori, la pubblica amministrazione è risultata il bersaglio preferito, con il 38,2% degli incidenti totali. Ministeri, enti locali e istituzioni europee hanno subito un aumento sensibile degli attacchi, soprattutto a causa delle campagne DDoS orchestrate da gruppi di hacktivisti. A distanza, ma sempre sotto pressione, troviamo il settore dei trasporti (7,5%), seguito dai servizi digitali (4,8%), dalla finanza (4,5%) e dal manifatturiero (2,9%). È interessante notare come questi settori coincidano in gran parte con quelli protetti dalla direttiva europea NIS2, che mira a rafforzare la resilienza delle infrastrutture critiche. Il dato, osserva l’ENISA, conferma l’urgenza di misure normative e di sicurezza rafforzate, visto che oltre la metà degli incidenti ha riguardato soggetti considerati essenziali ai sensi della direttiva.
L’intelligenza artificiale nuova arma e nuova vulnerabilità
Un’altra grande novità del 2025 è il ruolo crescente dell’intelligenza artificiale nelle dinamiche delle minacce informatiche. Da un lato, i criminali la utilizzano per perfezionare le campagne di phishing e automatizzare operazioni di social engineering, tanto che oltre l’80% degli attacchi di ingegneria sociale rilevati quest’anno a livello globale è stato supportato da strumenti AI. Dall’altro, il rapporto mette in guardia su scenari ancora più complessi: il rischio di attacchi mirati alla catena di approvvigionamento dell’IA e l’emergere di sistemi AI dannosi progettati su misura per scopi malevoli. Non meno preoccupante è la vulnerabilità crescente dei dispositivi mobili, soprattutto quelli obsoleti, sempre più bersagliati da campagne mirate. Questo mostra come la trasformazione digitale, se da un lato offre nuove opportunità, dall’altro apre la strada a rischi imprevisti e difficili da contenere.
“Costruire un futuro digitale più sicuro”
A fronte di questo quadro complesso, il messaggio dell’ENISA è chiaro: serve maggiore consapevolezza e cooperazione per proteggere il futuro digitale dell’Europa. Come ha ricordato il direttore esecutivo Juhan Lepassaar, i sistemi e i servizi da cui dipendiamo sono profondamente interconnessi, e un’interruzione localizzata può generare un effetto domino lungo l’intera catena di approvvigionamento. In altre parole, non si tratta solo di prevenire singoli attacchi, ma di costruire un ecosistema più resiliente, in cui aggiornamenti, formazione, collaborazione tra Stati membri e rispetto delle normative giochino un ruolo decisivo. Il rapporto Threat Landscape 2025, oltre a fotografare le minacce, diventa così anche uno strumento per orientare le scelte politiche e operative, con l’obiettivo di garantire che la transizione digitale europea sia non solo innovativa, ma anche sicura.
Maria Abate
Fonti per approndire: