Yarix, centro di competenza per la cybersecurity di Var Group, ha presentato la nuova edizione del suo report annuale sugli eventi di sicurezza osservati nel corso del 2025, un anno di forte accelerazione del rischio cyber tra ransomware, compromissione delle identità e pressione geopolitica.

Nel 2025, il Security Operations Center di Yarix ha esaminato oltre 522.000 eventi di sicurezza. Di questi, più di 158.000 si sono evoluti in incidenti veri e propri, con un incremento medio mensile dell’8% rispetto al 2024. Particolarmente significativo è l’aumento degli eventi più gravi (+62% su base annua), a conferma di una maggiore capacità degli attaccanti di colpire in modo mirato e impattante.

Dall’analisi settoriale emerge una chiara concentrazione degli attacchi verso organizzazioni produttive e tecnologiche ad alta criticità operativa (Manufacturing al 17,9% e l’IT al 8,3%). Nel primo caso, pesano sistemi produttivi obsoleti le cui risorse non sono centralizzate in un unico punto ma disperse su più nodi, il che aumenta la superficie di esposizione. Nel settore IT, invece, incidono la quantità e la sensibilità dei dati trattati e l’alto numero di servizi accessibili dall’esterno.

Malware: attacchi più silenziosi e persistenti

La crescita complessiva è indicativa di una trasformazione più ampia del panorama delle minacce. Il 2025 evidenzia infatti un’evoluzione verso modelli di attacco più distribuiti, automatizzati e adattivi, in cui gli attori malevoli sfruttano in modo sempre più efficace la combinazione di vulnerabilità note, credenziali compromesse e superfici esposte. Questo si traduce in una riduzione del tempo tra accesso iniziale e potenziale impatto, aumentando la necessità di individuare tempestivamente segnali anche deboli ma significativi.

Uno dei principali driver degli attacchi è rappresentato dalle tecniche di Initial Access. L’abuso di credenziali valide, l’esposizione di servizi accessibili da Internet e l’evoluzione delle campagne di phishing, sempre più sofisticate e difficili da distinguere da comunicazioni legittime, delineano un modello di attacco in cui la prima fase della kill chain assume un ruolo determinante. L’analisi evidenzia inoltre come gli eventi osservati siano sempre meno isolati e sempre più parte di catene di attacco articolate, in cui più tecniche vengono combinate per aggirare i controlli di sicurezza.

Italia ransomware

Crediti: Shutterstock

Ransomware: crescita globale e Italia fuori dalla Top 5

Nel 2025, a livello globale, Yarix ha monitorato oltre 7.100 attacchi ransomware rivendicati pubblicamente, con un aumento del 51% rispetto al 2024 e un numero crescente di gruppi attivi. La minaccia appare sempre più frammentata, visto che accanto a pochi attori dominanti emergono decine di nuovi gruppi con impatto più limitato (+35% gruppi attivi registrati).

In una classifica composta da 124 gruppi ransomware attivi nel 2025, la Top 10 concentra da sola circa il 56% degli attacchi complessivi. Sul piano geografico, gli Stati Uniti restano il Paese più colpito (52%), seguiti a distanza da Canada (6%) e dai Paesi dell’Europa occidentale (Germania, Regno Unito, Francia, insieme 10%). L’Italia, dopo anni nella Top 5, scende invece al sesto posto.

Le vittime ransomware a livello nazionale sono prevalentemente piccole (67%, +10% rispetto alla media globale) e medie imprese (18%). A livello territoriale, Lombardia (36%), Emilia-Romagna (13%), Lazio (10%), Veneto (10%) e Piemonte (8%) risultano le regioni più colpite, riflettendo la concentrazione del tessuto produttivo e industriale.

Accanto alla criminalità cyber, il 2025 ha visto una forte attività di hacktivismo contro obiettivi italiani, con attacchi DDoS e defacement utilizzati come strumenti di pressione e propaganda. Le campagne si sono sviluppate “a ondate”, con picchi in corrispondenza di eventi geopolitici ad alta visibilità, dal conflitto in Ucraina a quello tra Israele e Hamas.

“Nel 2025, gli attacchi sono diventati più veloci, frammentati e capaci di adattarsi rapidamente, sostenuti da un ecosistema criminale ormai strutturato e dall’accesso sempre più diffuso a strumenti avanzati, compresi quelli basati sull’intelligenza artificiale. In questo quadro, il ransomware continua a essere uno degli strumenti principali di pressione economica, mentre la componente geopolitica incide in modo crescente anche sul panorama italiano, rendendo il rischio informatico strettamente legato agli equilibri globali” ha dichiarato Mirko Gatto, Head of Cybersecurity di Var Group.