Yarix ha pubblicato il proprio report annuale dedicato agli eventi di sicurezza osservati nel corso del 2025. Nel corso dell'anno il Security Operations Center di Yarix ha analizzato oltre 522 mila eventi di sicurezza. Più di 158 mila di questi si sono trasformati in incidenti veri e propri, con una crescita media mensile dell’8% rispetto all’anno precedente. Particolarmente rilevante viene considerato l’aumento degli eventi classificati come più gravi, cresciuti del 62% su base annua. Per Yarix questo andamento indica una maggiore capacità degli attaccanti di colpire obiettivi specifici con operazioni più efficaci e mirate.

Dal punto di vista settoriale, il report evidenzia una forte concentrazione degli attacchi verso organizzazioni critiche dal punto di vista operativo. Il comparto manifatturiero risulta il più colpito, con il 17,9% degli incidenti osservati, seguito dal settore IT con l’8,3%. Nel manufacturing pesano soprattutto infrastrutture produttive obsolete e ambienti tecnologici frammentati, uno scenario che aumenta la superficie di esposizione e rende più complessa la protezione delle infrastrutture industriali. Nel settore IT, invece, la pressione deriva principalmente dalla quantità di dati gestiti e dall’elevato numero di servizi esposti verso Internet. Secondo Yarix, le organizzazioni tecnologiche continuano a rappresentare bersagli privilegiati sia per motivazioni economiche sia per il valore strategico delle informazioni trattate.

Uno degli elementi principali emersi dal report del centro di competenza per la cybersecurity di Var Group riguarda l’evoluzione delle modalità di attacco. Il 2025 viene descritto come un anno di transizione verso modelli sempre più automatizzati, distribuiti e adattivi, nei quali gli attori malevoli combinano vulnerabilità note, credenziali compromesse e servizi esposti online per ridurre i tempi necessari a compromettere le infrastrutture. Questo cambiamento ha effetti diretti sulla capacità di difesa delle organizzazioni. Il tempo che separa l’accesso iniziale da un possibile impatto operativo tende infatti a ridursi, aumentando l’importanza della capacità di individuare segnali deboli e comportamenti anomali nelle prime fasi della kill chain.

Tra i principali vettori di compromissione emergono le tecniche di Initial Access. L’abuso di credenziali valide continua a rappresentare uno dei metodi più utilizzati dagli attaccanti, insieme all’esposizione di servizi accessibili via Internet e alle campagne di phishing. Il report osserva inoltre che gli eventi di sicurezza sono sempre meno episodi isolati e sempre più componenti di catene di attacco articolate. Gli attori malevoli tendono infatti a combinare tecniche differenti per aggirare controlli di sicurezza e strumenti di difesa, aumentando la complessità delle operazioni di detection e risposta.

Particolarmente significativa è la crescita del ransomware. Yarix segnala che nel 2025 sono stati monitorati a livello globale oltre 7.100 attacchi ransomware rivendicati pubblicamente, con un incremento del 51% rispetto al 2024. Parallelamente è aumentato anche il numero di gruppi attivi, cresciuti del 35%, il che rende il panorama ransomware più frammentato rispetto al passato: accanto ai grandi gruppi dominanti, stanno emergendo numerosi attori minori ma comunque in grado di produrre impatti rilevanti. In una classifica composta da 124 gruppi attivi, la Top 10 concentra circa il 56% degli attacchi complessivi osservati nel 2025.

L’Italia, dopo diversi anni tra i cinque Paesi più colpiti dal ransomware, scende al sesto posto. A livello nazionale, le vittime principali risultano essere le piccole imprese, che rappresentano il 67% dei casi osservati, una quota superiore del 10% rispetto alla media globale. Seguono le medie imprese con il 18%. Dal punto di vista territoriale, Lombardia, Emilia-Romagna, Lazio, Veneto e Piemonte risultano le regioni più interessate dagli attacchi, riflettendo la concentrazione delle attività produttive e industriali.

Il peso della geopolitica

Nel corso del 2025, l’Italia è stata oggetto di numerose campagne di hacktivism basate soprattutto su attacchi DDoS e defacement, utilizzati come strumenti di pressione comunicativa e propaganda. Queste campagne si sono sviluppate in modo ciclico, con picchi collegati a eventi geopolitici di particolare visibilità internazionale. Il primo tra giugno e luglio, con oltre il 27% degli attacchi osservati. Questa fase coincide con il dibattito sul ruolo dell’Italia all’interno della NATO e sul sostegno all’Ucraina. Il rapporto collega questa attività all’azione di collettivi hacktivisti filorussi, che hanno utilizzato rivendicazioni cyber come strumento di pressione mediatica.

Un secondo picco si è verificato tra settembre e ottobre, con circa il 23% delle campagne. In questa fase, le attività risultano influenzate soprattutto dal conflitto tra Israele e Hamas e dalle ricorrenze simboliche legate al 7 ottobre. Secondo Yarix, collettivi pro-palestinesi e pro-arabi hanno esteso le proprie operazioni anche verso Paesi considerati vicini a Israele, tra cui l’Italia.

Più in generale, secondo Yarix la sicurezza informatica sta progressivamente passando da funzione prevalentemente tecnica a componente strategica della governance aziendale. In questo contesto, normative come la NIS2 e l’evoluzione delle minacce stanno spingendo le aziende verso modelli basati su tracciabilità, controlli continui e capacità dimostrabile di risposta agli incidenti. Come spiega Mirko Gatto, Head of Cybersecurity di Var Group: "In questo scenario il vero vantaggio competitivo non sarà tanto evitare l’attacco, quanto essere in grado di governarlo, ridurne l’impatto e trasformarlo in un’opportunità di miglioramento continuo".