Il nuovo report di Acronis per la prima metà del 2025 conferma alcune tendenze consolidate ma svela anche nuove tendenze con risvolti inaspettati. Basato sui dati raccolti dalla telemetria di Acronis su scala globale e su intelligence provenienti da fonti multiple, il report analizza l’evoluzione delle minacce tra gennaio e giugno 2025.

Le conferme arrivano puntuali: il ransomware mantiene saldamente la posizione di minaccia numero uno, con 3.642 vittime note pubblicamente nel primo semestre, registrando un incremento del 70% rispetto allo stesso periodo del 2023 e 2024 e il phishing si conferma il vettore principale d’ingresso.

Ma è nelle nuove tendenze che il report diventa più interessante, specialmente per chi si occupa direttamente di difesa informatica. I cybercriminali stanno sfruttando sempre più l’intelligenza artificiale per creare attacchi sofisticati, dai messaggi di phishing personalizzati ai deepfake audio convincenti. L’IA viene usata anche per portare tecniche di phishing e ingegneria sociale verso le piattaforme di messaggistica e collaborazione azienali, come Microsoft Teams.

Diminuiscono gli attacchi a MSP e consulenti IT, ma sono sempre nel mirino

Una nota positiva emerge dall’analisi: gli attacchi diretti contro Managed Service Provider e system integrator mostrano una leggera flessione rispetto al 2024. Tuttavia, parlare di tregua sarebbe prematuro. Gli MSP continuano a rappresentare un bersaglio privilegiato per una ragione matematica: compromettere un singolo fornitore può significare accedere simultaneamente a decine o centinaia di reti dei clienti.

Compromettere un singolo fornitore può significare accedere simultaneamente a decine o centinaia di reti dei clienti

I dati Acronis mostrano che il 70% degli attacchi colpisce MSP tradizionali (inclusi consulenti IT e system integrator), mentre il restante 30% si concentra su Telco e service provider. La distribuzione dei vettori d’attacco iniziali rivela come il phishing abbia consolidato il proprio primato, passando dal 30% del 2024 al 52% del 2025. Un salto significativo che evidenzia l’efficacia crescente delle tecniche di social engineering.

Particolarmente preoccupante è l’evoluzione degli attacchi agli strumenti di Remote Monitoring and Management (RMM). Il report identifica oltre 51 strumenti RMM utilizzati come vettori d’attacco, con TeamViewer che si posiziona come uno di quelli più bersagliati: il 4,56% delle installazioni presenta vulnerabilità non corrette.

Una tendenza interessante riguarda l’abbandono progressivo dell’RDP come vettore principale. Se nel 2024 il Remote Desktop Protocol rappresentava il 24% degli attacchi iniziali, nel 2025 scende al 3%. Al contrario, si consolida l’uso di PowerShell per attività malevole.

Dall’email ai messaggi e tool di collaborazione: il nuovo fronte del phishing

Se c’è un dato che dovrebbe far riflettere ogni IT manager, è l’esplosione degli attacchi attraverso le piattaforme collaborative. Il phishing tramite app di collaborazione è cresciuto dal 9% al 30,5% del totale, mentre gli attacchi avanzati sono aumentati dal 9% al 24,5%.

La ragione di questo successo è psicologica prima che tecnica. Un messaggio ricevuto attraverso Teams o una piattaforma similare gode di un trust implicito più alto rispetto a una classica email. Il destinatario percepisce il mittente come “già interno” alla propria organizzazione o rete di contatti, abbassando istintivamente le difese. Inoltre, la natura real-time di queste piattaforme crea un senso di urgenza che spinge a dare risposte immediate, spesso soprassedendo ai normali processi di valutazione e verifica.

Gli attaccanti sfruttano anche vulnerabilità nelle configurazioni delle piattaforme collaborative per contattare utenti di organizzazioni diverse, inviando file malevoli attraverso OneDrive o SharePoint. La familiarità con questi ambienti di lavoro quotidiani rende più difficile identificare contenuti sospetti.

Un caso emblematico riguarda i backup email di Microsoft 365: l’analisi Acronis rivela che l’1,47% delle email scansionate (oltre 20.000 campioni) conteneva malware, mentre il 40% degli URL incorporati erano link di phishing e il 30% collegamenti dannosi. Dati che sottolineano come anche i sistemi di backup possano diventare vettori di minaccia in caso di ripristino, se non adeguatamente protetti.

L’AI ridefinisce il cybercrime

L’intelligenza artificiale sta democratizzando il cybercrime, abbattendo le barriere tecniche che un tempo limitavano gli attacchi sofisticati a gruppi altamente specializzati. Il report documenta diversi casi significativi di abuso dell’AI, dal più banale al più sofisticato.

Sul fronte più grave, operativi nordcoreani hanno utilizzato AI e avatar deepfake per superare colloqui di lavoro da remoto e infiltrarsi in aziende tecnologiche statunitensi ed europee. Spacciandosi per sviluppatori remoti, sono riusciti a ottenere accesso a codici sorgente e sistemi, con oltre 150 infiltrati che hanno dirottato i propri stipendi verso il programma di armamenti della Corea del Nord.

Irina Artioli, Cyber Protection Evangelist della Threat Research Unit di Acronis.

Irina Artioli, Cyber Protection Evangelist della Threat Research Unit di Acronis.

Ma l’AI trova applicazione anche in truffe più tradizionali e spionaggio. Il caso italiano del febbraio 2025 è emblematico: truffatori hanno utilizzato la clonazione vocale per impersonare il Ministro della Difesa Guido Crosetto, chiamando dirigenti con numeri governativi falsificati per carpire informazioni sensibili.

“Sebbene sia diventata parte integrante delle operazioni criminali, l’IA non è utilizzata su tutta la “kill chain” per produrre attacchi completamente automatizzati, ma viene impiegata su alcune parti in modo significativo per aumentare l’automazione, creare phising più sofisticati e sviluppare malware”, afferma Irina Artioli, Cyber Protection Evangelist della Threat Research Unit di Acronis.

La Situazione in Italia

L’Italia presenta un profilo di rischio relativamente contenuto ma non privo di criticità. Con 19 vittime di ransomware ogni 10.000 workload, il paese si posiziona decisamente sotto i livelli di Germania (179), Giappone (119) e Canada (106), mantenendo una posizione mediana nel panorama internazionale.

Umberto Zanatta, Senior Solutions Engineer di Acronis

Umberto Zanatta, Senior Solutions Engineer di Acronis

Il dato però non deve lasciarci troppo sollevati: “Il dato rilevato è quello degli interventi della Active Protection, che è l’ultima linea di difesa – spiega Umberto Zanatta, Senior Solutions Engineer di Acronis – ed esclude quindi attacchi che vengono fermati da altri sistemi come l’email protection. Inoltre, vediamo che l’obiettivo del ransomware è stato in molti casi sostituito da quelli dell’esfiltrazione di dati o compromissione degli account”,

I settori strategici nazionali rimangono sotto pressione costante. La pubblica amministrazione, le telecomunicazioni, il settore finanziario e l’energia sono stati colpiti ripetutamente da campagne di spear-phishing mirate. Il report documenta specificamente una campagna contro il settore energetico che ha coinvolto oltre 300 email malevole collegate a un portale per furto di credenziali.

Sul fronte malware, l’Italia mostra rilevamenti costantemente elevati, con un picco del 9% registrato a marzo 2025. Un dato interessante riguarda la composizione delle minacce: gli hacktools rappresentano il 40% dei rilevamenti, segnale dell’uso diffuso di strumenti di penetration testing per il movimento laterale nelle reti compromesse. Altri malware frequenti includono backdoor, info stealer e trojan bancari.

Il paese si piazza al quinto posto mondiale per rilevamenti malware, con una media del 7,4% nel primo semestre. Per quanto riguarda gli URL malevoli, nel maggio 2025 il 6,7% degli endpoint italiani ha bloccato contenuti dannosi, posizionandosi sopra il Regno Unito ma sotto la Germania.