Dal 2023 al 2025 sono state registrate 9.914 violazioni di database su larga scala e oltre 7,8 miliardi di indirizzi email compromessi. È il dato centrale della nuova analisi condotta da NordPass in collaborazione con NordStellar, che offre una panoramica aggiornata sull’evoluzione delle fughe di dati a livello globale.
La fotografia che emerge non parla di rallentamento strutturale degli attacchi, ma di un cambio di strategia da parte dei gruppi criminali. Nel 2025 il numero di database compromessi è diminuito del 36,9% rispetto al 2024, ma secondo i ricercatori il calo potrebbe riflettere una minore esposizione pubblica delle violazioni e una maggiore frammentazione dei canali di distribuzione dei dati sottratti.
Email e credenziali nel mirino: il vero patrimonio degli hacker
Nel 90% dei dataset analizzati erano presenti indirizzi email, nel 68% numeri di telefono, nel 32% credenziali esposte come password o chiavi API, e nel 12,3% documenti nazionali, inclusi codici fiscali. I dati finanziari risultano coinvolti solo nel 2,2% dei casi.
Il dato è significativo. Gli attaccanti non cercano solo informazioni bancarie. Puntano a credenziali riutilizzabili, identità digitali e combinazioni email-password che permettono accessi diretti ad account aziendali e personali. Il rischio concreto riguarda phishing mirato, smishing, doxing, molestie digitali e takeover di account.
Secondo Karolis Arbaciauskas, Head of Product di NordPass, l’adozione sistematica di autenticazione a due fattori e passkey rappresenta oggi una misura essenziale. La protezione multilivello limita l’impatto anche in caso di compromissione dei database aziendali.
Target principali: anche l’Italia tra i Paesi più colpiti
Nel 2025 gli Stati Uniti hanno registrato 187 violazioni, l’India 121, mentre l’Italia compare tra i Paesi più colpiti con 44 casi. Nel 2024 le violazioni italiane erano 69, segnale di una riduzione numerica che non equivale a una minore esposizione sistemica.
I ricercatori hanno identificato 1.203 fughe di dati con connotazione nazionale in 102 Paesi. Oltre a Stati Uniti, India e Italia, risultano frequentemente presi di mira Indonesia, Francia, Brasile, Germania, Argentina e Messico.
Le economie con alta densità digitale e rilevanza geopolitica rappresentano obiettivi privilegiati. La motivazione resta prevalentemente finanziaria, ma permane una componente legata all’hacktivism e a dinamiche geopolitiche.
Meno database pubblici, più malware infostealer
Nel 2025 sono stati identificati 3.031 database compromessi, contro i 4.804 del 2024. La contrazione non coincide con una riduzione delle attività criminali.
Secondo Mantas Sabeckis, senior threat intelligence researcher di Nord Security, gli attacchi si fondano sempre più su malware infostealer. Questi strumenti sottraggono credenziali in tempo quasi reale e permettono accessi diretti agli account senza necessità di pubblicare grandi archivi online.
Un altro fattore riguarda la chiusura di forum e marketplace illegali nel corso del 2025. Le operazioni di law enforcement hanno ridotto la visibilità pubblica dei database violati e favorito una maggiore decentralizzazione verso canali privati.
Come ridurre l’esposizione al rischio
Per le imprese diventa centrale la riduzione del volume di dati personali memorizzati e la segmentazione dei sistemi critici. La protezione delle credenziali richiede autenticazione basata su dispositivi fisici e difesa degli endpoint contro malware progettati per sottrarre informazioni. Il monitoraggio costante delle credenziali trapelate permette una risposta tempestiva agli incidenti.
Per i privati la priorità riguarda password univoche, utilizzo di password manager e autenticazione multifattore. Dopo violazioni su larga scala occorre prestare attenzione a campagne di phishing mirate e reimpostare immediatamente le credenziali in presenza di attività sospette.
Metodologia
L’analisi si basa su incidenti di database violati resi pubblici tra il 2023 e il 2025. I dati sono stati filtrati per data di pubblicazione e classificati con il supporto di nexos.ai, che ha permesso la distinzione geografica e settoriale attraverso metadati come domini di origine e descrizioni degli incidenti. I ricercatori dichiarano di non avere acquisito né acquistato dati personali per lo studio.
