Il settore finanziario globale ha registrato nel 2025 un incremento senza precedenti degli incidenti informatici. Secondo una ricerca di Check Point Exposure Management Research, gli attacchi sono passati da 864 nel 2024 a 1.858 nel 2025, con una crescita del 114,8% su base annua. Il dato segnala un cambiamento strutturale nel comportamento degli attori malevoli, che alternano campagne ideologiche a modelli di business criminale sempre più organizzati. Le tensioni geopolitiche, l’iper-digitalizzazione dei servizi bancari e la complessità delle infrastrutture cloud hanno ampliato la superficie di attacco in modo significativo.
Europa sotto pressione: DDoS, ransomware e data leak
L’Europa ha registrato la più alta concentrazione di attività DDoS a livello globale. Portali bancari, sistemi di pagamento e servizi pubblici digitali sono stati bersaglio di campagne coordinate, spesso riconducibili a dinamiche geopolitiche.
Nel continente europeo nel 2025 si sono registrati:
- 74 incidenti ransomware,
- 47 casi di defacement,
- 43 violazioni e fughe di dati.
L’Italia si colloca al settimo posto tra i Paesi europei più colpiti con 14 attacchi, dietro Regno Unito (61), Francia (47), Germania (42), Spagna (30), Polonia e Finlandia (20). Svizzera e Lituania chiudono la classifica con 11 episodi ciascuna.
Secondo Shir Atzil, analista di cyber threat intelligence di Check Point, il settore finanziario europeo subisce una pressione costante che combina campagne DDoS, ransomware e esposizione dei dati. La mitigazione dei rischi richiede coordinamento transfrontaliero e condivisione tempestiva delle informazioni sulle minacce.
Prima tendenza: DDoS come strumento di pressione geopolitica
Gli attacchi DDoS sono cresciuti del 105%, passando da 329 casi nel 2024 a 674 nel 2025. A differenza del passato, la motivazione non è prevalentemente economica. Molte campagne risultano legate a gruppi hacktivisti con obiettivi politici.
I Paesi più colpiti sono stati Israele, Stati Uniti, Emirati Arabi Uniti, Ucraina e Germania. L’obiettivo appare simbolico: colpire istituzioni finanziarie considerate espressione di stabilità nazionale.
Un elemento critico riguarda la centralizzazione degli attori. Un numero ristretto di gruppi ha rivendicato la maggior parte degli attacchi, tra cui Keymous+ e NoName057(16), con campagne ad alto volume e ripetute nello stesso giorno. Le botnet condivise e le infrastrutture facilmente reperibili consentono a operatori con competenze moderate di lanciare offensive su larga scala.
Le tradizionali soluzioni di mitigazione on demand non risultano sufficienti. Le banche devono adottare modelli di difesa sempre attivi, multi-CDN e sistemi di rilevamento continuo.
Seconda tendenza: data breach e governance delle identità
Le violazioni e fughe di dati sono aumentate del 73%, passando da 256 a 443 casi. A differenza dei DDoS, queste operazioni puntano alla permanenza silenziosa nelle infrastrutture, con esfiltrazione graduale e divulgazione ritardata.
Gli Stati Uniti restano l’area più colpita con 177 casi, pari al 40% del totale globale. India e Indonesia emergono come nuovi punti critici, complice la rapida espansione dei servizi finanziari digitali.
Un dato rilevante riguarda l’attribuzione: il 33% degli incidenti è riconducibile ad attori sconosciuti. Gli aggressori adottano infrastrutture temporanee e identità decentralizzate, con maggiore attenzione all’occultamento nel deep e dark web.
Persistono vulnerabilità strutturali: bucket cloud aperti, controlli di accesso permissivi, API non monitorate. Il problema non riguarda solo la tecnologia, ma la governance delle identità e l’integrazione con fornitori terzi.
Terza tendenza: ransomware e modelli RaaS maturi
Il ransomware resta una minaccia centrale con 451 incidenti nel 2025, rispetto ai 269 del 2024. L’aumento riflette la maturità degli ecosistemi Ransomware-as-a-Service e strategie di estorsione multipla.
Gli Stati Uniti guidano la classifica con 196 casi, seguiti da Corea del Sud, Regno Unito e Canada. Le economie con forte presenza di digital banking risultano particolarmente esposte.
Tra i gruppi più attivi figurano Qilin, Akira e Clop. Le tecniche includono sfruttamento di vulnerabilità VPN, uso di credenziali rubate e compromissione di fornitori terzi.
L’estorsione non si limita più alla cifratura dei dati. Gli attori minacciano esposizione normativa, notifica ai clienti, danno reputazionale e pressione diretta sui dirigenti. Backup e disaster recovery non bastano più senza una strategia preventiva basata su intelligence e controllo degli accessi.
Verso il 2026: sicurezza identity-centric e intelligence condivisa
Secondo Cristiano Voschion, Country Manager Italia di Check Point, il settore finanziario entra in una nuova fase caratterizzata da sofisticazione, automazione e coordinamento globale delle minacce.
Le istituzioni finanziarie devono adottare modelli di sicurezza basati su:
- unificazione delle informazioni sulle minacce,
- monitoraggio del dark web,
- analisi continua delle vulnerabilità,
- rafforzamento dei controlli di identità e governance cloud.
La crescente interconnessione dei sistemi finanziari europei rende la cooperazione internazionale un fattore strategico. Senza un approccio coordinato, la pressione operativa esercitata dagli attaccanti rischia di intensificarsi nel 2026.
