L’Italia resta esposta a un panorama cyber sempre più articolato, nel quale convergono hacktivismo, ransomware, attacchi alla supply chain, cyber espionage e nuove tecniche offensive potenziate dall’intelligenza artificiale. È questa la fotografia che emerge dal nuovo report “Panorama delle minacce in Italia” pubblicato da Check Point Software Technologies, dedicato all’evoluzione delle principali minacce che colpiscono il Paese. Secondo l’analisi, il rischio digitale italiano non dipende più da singole campagne isolate, ma da una pressione continua che coinvolge aziende, istituzioni e infrastrutture critiche. Il report mette in evidenza come le minacce si sviluppino lungo più direttrici: dalla disruption geopolitica agli attacchi estorsivi su scala industriale, fino alle operazioni di spionaggio attribuite ad attori legati agli Stati.
Hacktivismo e DDoS: l’effetto della tensione geopolitica
Uno dei punti centrali riguarda il peso crescente delle campagne DDoS lanciate da gruppi hacktivisti che si muovono in relazione agli equilibri internazionali. Nel caso italiano, Check Point richiama l’attenzione su NoName057(16), collettivo filo-russo noto per attacchi rivolti a portali governativi, trasporti e realtà finanziarie europee. Il riferimento è coerente con quanto emerso anche sul piano investigativo europeo. Nel luglio 2025, Europol ed Eurojust hanno coordinato l’Operazione Eastwood, che ha colpito la rete di NoName057(16), con sequestri infrastrutturali, mandati di arresto e identificazione di affiliati. Europol ha descritto il gruppo come una rete capace di mobilitare sostenitori tramite logiche “gamificate”, ricorso a Telegram e incentivi anche economici. Per l’Italia questo tipo di minaccia ha un impatto concreto: gli attacchi DDoS non puntano tanto al furto di dati, quanto all’interruzione dei servizi e alla visibilità mediatica dell’azione. In un contesto di forte esposizione internazionale, questo elemento pesa soprattutto per i soggetti pubblici e per i comparti più simbolici.
Ransomware: modelli più industriali e campagne su larga scala
Il report sottolinea anche la trasformazione del ransomware, che da minaccia opportunistica si è evoluto in un ecosistema organizzato, basato su ransomware-as-a-service, estorsione multipla e attacchi replicabili su larga scala. Tra i gruppi citati compaiono LockBit e Cl0p, nomi già noti per operazioni contro grandi organizzazioni pubbliche e private in Europa. Nel comunicato viene richiamata anche la vulnerabilità CVE-2025-61882 che interessa Oracle E-Business Suite. La criticità esiste ed è stata oggetto di allerta ufficiale da parte di Oracle, NIST e diverse agenzie nazionali. La falla, con severità elevata, permette compromissioni da remoto senza autenticazione ed è stata collegata a campagne reali di esfiltrazione dati. Diverse analisi di threat intelligence hanno associato lo sfruttamento della vulnerabilità anche a operazioni attribuite a Cl0p. Questo passaggio è importante perché mostra un cambio di scala: un singolo punto debole in piattaforme aziendali molto diffuse può trasformarsi in una leva per campagne massive, con effetti su dati, continuità operativa e pressione estorsiva.
Supply chain e ospitalità: un solo accesso, molte vittime
Un altro asse del report riguarda la supply chain digitale, oggi sempre più esposta perché consente di colpire numerose organizzazioni tramite un unico fornitore, software o piattaforma terza. Check Point cita il settore hospitality italiano come esempio di questa dinamica, con compromissioni che avrebbero favorito la circolazione nel dark web di dati personali e documenti di identità. Il tema è ormai centrale nella sicurezza moderna: la dipendenza da servizi esterni, applicazioni cloud, piattaforme di prenotazione e gestionali condivisi amplia la superficie di attacco e rende più complessa sia la prevenzione sia la risposta. Non è più sufficiente proteggere il solo perimetro interno, perché il rischio si distribuisce lungo tutta la filiera digitale.
Cyber espionage e obiettivi strategici
Nel report trova spazio anche il capitolo dedicato al cyber spionaggio. Check Point segnala che gruppi APT legati a governi stranieri stanno intensificando le operazioni contro istituzioni europee e reti strategiche. Tra gli esempi citati compare DoNot APT, gruppo già analizzato da società di sicurezza per campagne di spear-phishing contro enti governativi europei, inclusi ministeri degli Esteri. Un’analisi pubblicata da Trellix nel luglio 2025 ha descritto operazioni del gruppo contro entità governative dell’Europa meridionale, mentre altre ricostruzioni hanno parlato di un ministero degli Esteri europeo come bersaglio.
Il report richiama anche Salt Typhoon, gruppo collegato alla Cina e noto per operazioni di cyber espionage contro infrastrutture di telecomunicazione. La minaccia è stata documentata in particolare negli Stati Uniti, ma nel 2025 varie analisi hanno segnalato attività coerenti con il gruppo anche in contesti infrastrutturali internazionali e in reti telecom europee. Per un Paese come l’Italia, membro UE e NATO, questo significa che il cyberspazio non rappresenta soltanto un fronte criminale, ma anche un dominio nel quale si esercitano pressioni strategiche e attività di raccolta informativa.
L’AI accelera phishing, malware e automazione offensiva
Tra i temi più attuali c’è il ruolo dell’intelligenza artificiale. Secondo Check Point, gli attaccanti sfruttano modelli linguistici e strumenti automatizzati per creare phishing più credibile, payload dinamici e processi offensivi più rapidi. Il punto non riguarda soltanto la sofisticazione tecnica. L’AI abbassa anche la soglia d’ingresso per attori meno esperti, che possono contare su strumenti capaci di produrre testi convincenti, adattare esche alla lingua della vittima o automatizzare fasi prima riservate a gruppi più strutturati. In pratica, aumenta la velocità con cui una campagna può nascere, adattarsi e moltiplicarsi.
Il 2026 visto da Check Point
Guardando ai prossimi mesi, Check Point prevede per il 2026 una prosecuzione di questo scenario ibrido, nel quale si intrecciano hacktivisti, cybercrime organizzato e attori sponsorizzati da Stati. L’attenzione resta alta soprattutto in coincidenza con eventi di rilievo internazionale, capaci di aumentare la visibilità dei bersagli e l’interesse degli attaccanti.
Il riferimento alle Olimpiadi Invernali Milano-Cortina va letto proprio in questa chiave: grandi appuntamenti internazionali attirano campagne di disruption, phishing e attività di raccolta informativa, perché offrono un forte ritorno reputazionale e mediatico a chi colpisce.
Exposure Management: dalla visibilità alla riduzione del rischio
Per rispondere a questo contesto, Check Point insiste sul concetto di Exposure Management, cioè un approccio che unisce threat intelligence, visibilità della superficie di attacco e priorità di remediation. L’obiettivo è individuare prima possibile le esposizioni realmente critiche e ridurre la distanza tra scoperta del rischio e intervento. Il principio di fondo è chiaro: in uno scenario nel quale gli attaccanti muovono più in fretta, le organizzazioni devono spostare il focus dalla sola difesa reattiva alla riduzione preventiva dell’esposizione.
