Il cybercrime continua a correre più veloce delle difese digitali. Nel 2025 gli attacchi informatici gravi registrati a livello mondiale sono aumentati del 49% rispetto al 2024, raggiungendo 5.265 incidenti: il numero più alto mai registrato finora. È uno dei dati più significativi che emergono dal nuovo Rapporto Clusit 2026, uno dei principali osservatori italiani sulla sicurezza informatica.

Ma il dato che colpisce di più riguarda il nostro Paese. L’Italia da sola concentra il 9,6% degli attacchi informatici globali, una quota molto superiore al peso economico del Paese nel mondo. In altre parole, l’Italia è colpita più spesso di quanto ci si aspetterebbe guardando solo alle dimensioni della sua economia.

L’Italia nel mirino degli hacker

Nel 2025 gli attacchi informatici gravi contro organizzazioni italiane sono cresciuti del 42% rispetto all’anno precedente. Questo significa che aziende, enti pubblici e infrastrutture digitali sono diventati bersagli sempre più frequenti. Tra i settori più colpiti spicca quello governativo, militare e delle forze dell’ordine, che rappresenta il 28% degli incidenti registrati nel Paese. In valore assoluto gli attacchi contro queste organizzazioni sono cresciuti addirittura del 290% rispetto al 2024.

Per capire l’impatto concreto di questo fenomeno, basta pensare a cosa può succedere quando un attacco informatico colpisce un ente pubblico: servizi online bloccati, siti istituzionali irraggiungibili, difficoltà nell’accesso a documenti o dati amministrativi. In alcuni casi gli attacchi possono puntare anche a sottrarre informazioni sensibili.

Nel mirino anche industria e trasporti

Non sono solo le istituzioni a essere bersagliate. Il rapporto segnala un aumento degli attacchi anche nei confronti del settore manifatturiero e di quello dei trasporti e della logistica. In questi ambiti la digitalizzazione ha reso i processi più efficienti ma anche più esposti. Oggi molte fabbriche utilizzano macchinari connessi alla rete, sistemi di controllo industriale e piattaforme digitali per gestire produzione e magazzini. Un attacco informatico può quindi fermare la catena produttiva o bloccare la gestione delle spedizioni.

Un esempio concreto: se un ransomware – un tipo di malware che blocca i sistemi chiedendo un riscatto – colpisce un’azienda logistica, potrebbe impedire di tracciare le spedizioni o gestire i magazzini, con effetti immediati sulle consegne.

Il boom dell’hacktivism

Uno dei fenomeni più interessanti evidenziati dal rapporto è la crescita degli attacchi di matrice attivista, spesso chiamati hacktivism. Si tratta di operazioni informatiche realizzate da gruppi che vogliono portare avanti una causa politica, ideologica o geopolitica. Non sempre l’obiettivo è guadagnare denaro: spesso lo scopo è danneggiare l’immagine di un’organizzazione o lanciare un messaggio politico.

Nel 2025 questi attacchi sono aumentati del 145% rispetto al 2024 e rappresentano il 64% di quelli censiti a livello mondiale nel campione analizzato.

Gli attacchi hacktivisti più comuni sono i cosiddetti DDoS (Distributed Denial of Service). In pratica migliaia o milioni di computer vengono utilizzati per inviare contemporaneamente richieste a un sito web, sovraccaricandolo fino a renderlo inutilizzabile. È un po’ come se una folla enorme provasse a entrare nello stesso momento in un piccolo negozio: l’ingresso si blocca e nessuno riesce più ad accedere.

Sanità meno colpita, ma resta un settore critico

Nel 2025 si registra invece un calo degli attacchi contro il settore sanitario. Questo non significa però che ospedali e strutture sanitarie siano al sicuro. Negli ultimi anni proprio la sanità è stata tra i bersagli preferiti dei cybercriminali perché gestisce dati estremamente sensibili, come cartelle cliniche e informazioni personali dei pazienti. Inoltre molte strutture utilizzano sistemi informatici complessi e spesso non aggiornati, che possono diventare punti deboli.

Una minaccia sempre più sistemica

Il quadro che emerge dal Rapporto Clusit è chiaro: la criminalità informatica è ormai una minaccia strutturale per l’economia e per i servizi essenziali. Non si tratta più solo di singoli hacker o attacchi isolati. Sempre più spesso dietro le operazioni informatiche ci sono gruppi organizzati, talvolta con risorse paragonabili a quelle di vere aziende. In altri casi gli attacchi si inseriscono in contesti geopolitici e di conflitto internazionale.

Il Rapporto Clusit 2026 sarà presentato al pubblico il prossimo 17 marzo in apertura di Security Summit.

Leggi anche: “L’allarme Clusit 2025“

Scuole e università italiane stanno diventando un bersaglio sempre più frequente per i cybercriminali. La crescente digitalizzazione della didattica – tra registri elettronici, piattaforme online e archivi cloud – ha reso il settore dell’istruzione più efficiente, ma anche più esposto agli attacchi informatici. È quanto emerge da un’analisi diffusa da Kaspersky in occasione della fiera Didacta Italia 2026.

Rischi concreti

Negli ultimi mesi diversi episodi hanno dimostrato quanto il problema sia concreto. Uno dei casi più recenti ha riguardato l’Università La Sapienza di Roma, vittima di un attacco ransomware che ha bloccato i sistemi interni per tre giorni. Il ransomware è un tipo di malware – cioè un software malevolo – che blocca l’accesso ai dati o ai computer di un’organizzazione chiedendo un riscatto per ripristinarli. In pratica è come se qualcuno chiudesse a chiave tutti gli uffici digitali di un’università e chiedesse denaro per restituire le chiavi.

Secondo alcune ricostruzioni, gli aggressori avrebbero inviato un link contenente la richiesta di pagamento. Una volta aperto, compariva un conto alla rovescia di 72 ore entro cui soddisfare le loro condizioni. Poche settimane prima, anche un centro di formazione professionale di Treviso era stato colpito da un attacco simile, con conseguente blocco delle attività didattiche e amministrative.

Episodi non isolati

Oggi scuole e atenei utilizzano un numero crescente di strumenti digitali: piattaforme di didattica a distanza, sistemi di ammissione online, portali interni, servizi cloud per condividere materiali e posta elettronica istituzionale. Ogni nuovo servizio, tuttavia, rappresenta anche un possibile punto di ingresso per un attacco.

Secondo i dati raccolti da Kaspersky, nel 2025 l’11,91% degli utenti del settore education in Italia ha incontrato minacce provenienti dal web, mentre il 10,30% ha subito attacchi direttamente sui dispositivi. In altre parole, circa un utente su dieci ha avuto a che fare con software malevoli o tentativi di intrusione.

Tra le tecniche più utilizzate dai criminali informatici c’è il phishing. Si tratta di e-mail o messaggi che sembrano provenire da fonti affidabili – ad esempio dal dirigente scolastico o dall’amministrazione – ma che in realtà servono a rubare password o a far installare malware. Un esempio tipico: un messaggio che invita a “scaricare urgentemente un documento” o ad aggiornare le proprie credenziali. Basta un clic sbagliato per compromettere un account o un computer.

Anche alcune abitudini quotidiane possono aumentare i rischi. In molte scuole, per esempio, gli studenti scambiano ancora file tramite chiavette USB. Se una di queste contiene un programma infetto, il malware può diffondersi rapidamente nei computer della rete scolastica.

Per ridurre questi pericoli, gli esperti sottolineano la necessità di adottare un approccio più strutturato alla sicurezza informatica. Non basta installare un antivirus: servono strumenti aggiornati, backup dei dati, sistemi di protezione contro il ransomware e, soprattutto, formazione per docenti e personale amministrativo.

La sfida è particolarmente complessa per le scuole, che spesso non dispongono di team IT dedicati. Per questo molte soluzioni di sicurezza puntano oggi su sistemi semplici da gestire e centralizzati, in grado di proteggere automaticamente computer, account e dati sensibili degli studenti.

*Illustrazione progettata da Kaspersky

Torna e-privacy, lo storico convegno su privacy, sicurezza e libertà digitali organizzato dal Progetto Winston Smith. La XXXVIII edizione si terrà il 24 aprile a Firenze, in presenza e online, e come sempre sarà un punto di incontro per hacker, tecnici, ricercatori, giuristi e attivisti che vogliono discutere — sul serio — di sorveglianza, crittografia, diritti digitali e tecnologie che incidono sulla nostra libertà.

Il tema di quest’anno è «Privacy senza Garante o Garante senza Privacy?», una provocazione che invita a riflettere sul ruolo reale delle autorità di controllo e sull’efficacia della tutela della privacy in un contesto in cui tra banner di consenso, tracciamento diffuso e burocrazia normativa la protezione dei cittadini sembra spesso più formale che sostanziale.

Come da tradizione, il programma nasce anche dalle proposte della community. La call for speech è aperta, ma mancano pochi giorni alla chiusura.

Avete sviluppato uno strumento interessante? State lavorando su sicurezza, anonimato, analisi di sistemi di sorveglianza, crittografia o tecnologie che impattano la privacy? Oppure avete una ricerca, un progetto o anche una provocazione ben documentata da condividere?

Se siete lettori di Hacker Journal, probabilmente avete qualcosa di interessante da raccontare. Fatevi avanti e proponete uno speech.

Tutte le informazioni per partecipare sono qui:
https://e-privacy.winstonsmith.org/

Scaricare software pirata o versioni “craccate” potrebbe sembrare una scorciatoia innocua per risparmiare tempo o denaro. In realtà, soprattutto in ambito aziendale, può trasformarsi in una porta d’ingresso per malware e attacchi informatici. È quanto emerge da una nuova ricerca di Barracuda Networks, che ha analizzato diversi casi di dipendenti che hanno tentato di installare programmi pirata sui dispositivi di lavoro.

Analisi in dettaglio

Le attività sospette sono state individuate dal servizio di monitoraggio Barracuda Managed XDR, una piattaforma di sicurezza progettata per rilevare e bloccare minacce informatiche in tempo reale. Secondo l’analisi, le versioni pirata di software spesso nascondono codici malevoli che possono portare a problemi seri per le aziende: infezioni da malware, furto di credenziali, installazione di cryptominer (programmi che sfruttano il computer per generare criptovalute), fino ad arrivare a violazioni più gravi come gli attacchi ransomware.

Uno dei principali problemi è che i software pirata non ricevono aggiornamenti ufficiali. Questo significa che eventuali vulnerabilità restano aperte e possono essere sfruttate dai criminali informatici. In pratica, installare una versione illegale di un programma equivale spesso a lasciare una porta socchiusa nel sistema aziendale.

L’indagine di Barracuda ha identificato diversi segnali che possono indicare la presenza di software pirata nei computer aziendali. Tra questi la comparsa di file eseguibili sospetti con nomi generici come activate.exe, activate.x86.exe o activate.x64.exe. Si tratta di nomi scelti proprio per sembrare innocui e non attirare l’attenzione degli utenti o dei sistemi di sicurezza.

Un altro indicatore riguarda la posizione dei file. Spesso questi programmi vengono salvati in cartelle facilmente accessibili, come la cartella Download, e vengono avviati manualmente subito dopo un’attività nel browser, ad esempio dopo aver visitato un sito da cui scaricare software pirata. In molti casi i file sono contenuti in archivi ZIP protetti da password e accompagnati da istruzioni su come “attivare” il programma.

A differenza di molte infezioni malware automatiche, infatti, il software craccato richiede quasi sempre un intervento diretto dell’utente per essere installato e attivato. Questo rende il comportamento dell’utente stesso uno degli indicatori più evidenti di rischio.

Fortunatamente, nei casi analizzati il Security Operations Center di Barracuda è riuscito a neutralizzare le attività sospette prima che i software malevoli riuscissero a stabilirsi nei sistemi aziendali.

“I dipendenti che scaricano software gratuiti di dubbia provenienza o senza licenza sui dispositivi aziendali rappresentano un rischio significativo per la sicurezza”, ha spiegato Laila Mubashar, Senior Cybersecurity Analyst di Barracuda. Secondo l’esperta, le organizzazioni devono adottare misure di protezione più rigorose, che includano controlli sulle installazioni di software, limitazioni ai privilegi di amministratore e programmi di formazione per sensibilizzare gli utenti.

Tra le raccomandazioni principali ci sono il blocco in tempo reale dei file eseguibili non autorizzati, il monitoraggio delle cartelle più utilizzate per i download e l’adozione di politiche aziendali chiare sull’uso dei software.

Leggi anche: “Quando il pericolo non si vede“

*Illustrazione progettata da Barracuda

Una nuova minaccia informatica torna a far parlare di sé nel mondo degli smartphone. I ricercatori di Google e della società specializzata in sicurezza mobile iVerify hanno pubblicato un’analisi su Coruna, uno spyware che sfrutta vulnerabilità molto sofisticate del sistema operativo degli iPhone. Secondo quanto emerso dalle ricerche, Coruna utilizza due exploit – cioè tecniche che permettono di sfruttare un difetto del software per entrare in un sistema – chiamati Photon e Gallium. Questi attacchi prendono di mira le stesse vulnerabilità già individuate in passato durante Operation Triangulation, una complessa campagna di spionaggio informatico analizzata dagli esperti di Kaspersky. A commentare la notizia è stato Boris Larin, Principal Security Researcher del team Kaspersky GReAT, che ha spiegato quanto siano avanzate queste tecniche.

I rischi

Una delle vulnerabilità citate, identificata come CVE-2023-32434, permette agli hacker di prendere il controllo del “kernel” di iOS. Il kernel è il cuore del sistema operativo: è la parte che gestisce tutte le funzioni del telefono, dalla memoria alle applicazioni. Per capire l’importanza di questo livello, si può pensare al kernel come al motore di un’auto: se qualcuno ne prende il controllo, può comandare tutto il veicolo. La seconda vulnerabilità, CVE-2023-38606, è ancora più particolare. Questo difetto sfrutta una caratteristica dei chip Apple che in precedenza non era stata documentata pubblicamente. In pratica consente agli attaccanti di aggirare alcune protezioni che operano direttamente a livello hardware, cioè all’interno dei componenti fisici del dispositivo. Nonostante queste somiglianze, gli esperti invitano alla cautela: il fatto che Coruna utilizzi le stesse vulnerabilità non significa necessariamente che sia stato creato dagli stessi autori di Operation Triangulation. Oggi, infatti, i dettagli tecnici di questi difetti sono disponibili pubblicamente e diversi gruppi con le giuste competenze potrebbero sviluppare strumenti simili senza aver mai visto il codice originale.

Spyware complesso

Un altro aspetto emerso dalle analisi riguarda la complessità dello spyware. Coruna non si limita a due exploit: secondo i ricercatori contiene ben 23 tecniche di attacco distribuite in cinque diverse catene di compromissione. Le vulnerabilità già note rappresenterebbero quindi solo una piccola parte dell’intero toolkit. C’è però anche una buona notizia. Apple ha corretto questi difetti con aggiornamenti di sicurezza che sono stati estesi fino alla versione iOS 15.7.x. Il problema, come spesso accade, è che molti utenti non installano subito gli aggiornamenti. Questo significa che dispositivi non aggiornati potrebbero rimanere vulnerabili.

Leggi anche: “Truffa cripto via Google“

Il Wi-Fi non è soltanto la tecnologia che ci permette di navigare con smartphone e computer. Una ricerca pubblicata dall’Association for Computing Machinery dimostra che le onde radio utilizzate per trasmettere i dati possono essere analizzate per rilevare la presenza e i movimenti delle persone all’interno di un ambiente, anche se queste non indossano o trasportano alcun dispositivo elettronico.

Come funziona?

Il principio è relativamente semplice: il corpo umano, composto in gran parte da acqua, riflette e assorbe le onde elettromagnetiche. Quando una persona si muove in una stanza coperta dal Wi-Fi, altera leggermente il segnale tra router e dispositivi collegati. Queste micro-variazioni, normalmente invisibili all’utente, possono essere misurate attraverso parametri tecnici come il CSI (Channel State Information), che descrive in modo dettagliato come il segnale si propaga nello spazio.

Grazie a modelli matematici e algoritmi di intelligenza artificiale, i ricercatori riescono a trasformare queste variazioni in informazioni concrete: spostamenti, postura, direzione del movimento e, in alcuni casi, perfino la respirazione. Non si tratta di fantascienza, ma di un’evoluzione delle tecniche di radio sensing già studiate in ambito accademico.

Le prime applicazioni previste sono positive: monitoraggio sanitario non invasivo, rilevamento di cadute per anziani, sistemi antifurto senza telecamere, controllo di accessi in ambienti sensibili. Un sistema di questo tipo potrebbe, ad esempio, inviare un alert se rileva un movimento anomalo in un ufficio chiuso o se identifica una caduta improvvisa in casa, senza bisogno di installare sensori indossabili o videocamere.

Dal punto di vista tecnico, questi sistemi richiedono hardware Wi-Fi compatibile con la raccolta di dati CSI e software in grado di analizzare grandi quantità di segnali in tempo reale. Non tutti i router domestici supportano nativamente queste funzionalità, ma molti chipset moderni lo consentono tramite firmware modificati o strumenti di ricerca. Questo significa che, almeno teoricamente, la barriera tecnologica non è insormontabile.

I rischi

Ed è proprio qui che entra in gioco il tema della sicurezza informatica e della privacy. Se il Wi-Fi può essere trasformato in un “sensore ambientale invisibile”, il rischio è che venga utilizzato anche per attività di sorveglianza non autorizzata. A differenza delle telecamere, questo tipo di monitoraggio non è percepibile a occhio nudo: non c’è un obiettivo da coprire o un LED acceso che segnali la registrazione. In ambito aziendale o pubblico, la possibilità di tracciare la presenza delle persone senza consenso esplicito solleva interrogativi etici e legali rilevanti. Serviranno norme chiare per stabilire chi può raccogliere questi dati, con quali finalità e per quanto tempo conservarli.

La ricerca dimostra che la tecnologia è concreta e tecnicamente fattibile. Il passo successivo non sarà solo tecnologico, ma normativo: trovare un equilibrio tra innovazione, sicurezza e tutela della privacy. Per i professionisti della cybersecurity, questo scenario apre un nuovo fronte di attenzione, dove il perimetro di difesa non riguarda più soltanto i dati digitali, ma anche la nostra stessa presenza fisica negli spazi connessi.

*Illustrazione progettata da Freepik

Gli assistenti di intelligenza artificiale potrebbero diventare, in futuro, un canale invisibile per controllare i malware. Non è fantascienza, ma uno scenario ipotizzato da Check Point Research, la divisione di intelligence sulle minacce di Check Point Software Technologies. Secondo i ricercatori, gli assistenti IA dotati di capacità di navigazione web potrebbero essere sfruttati come “ripetitori” nascosti di comando e controllo, i cosiddetti C2 (Command and Control). In pratica, potrebbero trasformarsi in intermediari inconsapevoli tra un computer infetto e il server dell’attaccante.

Cos’è un canale C2 e perché è importante

Quando un malware infetta un dispositivo, spesso ha bisogno di comunicare con chi lo controlla: ricevere istruzioni, inviare dati rubati, aggiornarsi. Questo collegamento si chiama canale di comando e controllo. Tradizionalmente avviene tramite server controllati dai criminali informatici.

Per evitare di essere scoperti, però, gli attaccanti da tempo nascondono queste comunicazioni dentro servizi legittimi come email o piattaforme cloud. Il traffico appare “normale” e diventa più difficile da bloccare.

La novità ipotizzata da Check Point è un passo oltre: usare un assistente IA come ponte. Il malware potrebbe chiedere all’IA di visitare un determinato sito Web e riassumerne il contenuto. In quel contenuto, però, sarebbero nascosti comandi o dati. Così il computer infetto non si collegherebbe mai direttamente al server malevolo: a farlo sarebbe l’assistente IA.

Flusso per l’utilizzo di un malware in una chat IA per comunicare con un server C2

Vediamo un esempio concreto

Immaginiamo un dipendente che utilizza un assistente IA per lavorare. Se un malware fosse presente sul suo PC, potrebbe sfruttare quell’assistente per “chiedere” di recuperare informazioni da uno specifico indirizzo Web controllato dall’attaccante. L’IA accede al sito, legge il contenuto e lo restituisce sotto forma di testo. In mezzo a quel testo, il malware trova le istruzioni da eseguire. Dal punto di vista della rete aziendale, sembrerebbe solo una normale richiesta a un servizio IA. Nessun contatto diretto con infrastrutture sospette.

I ricercatori hanno dimostrato la fattibilità di questo scenario in un ambiente controllato, coinvolgendo piattaforme come Microsoft Copilot e Grok, entrambe dotate di accesso al Web. Dopo la segnalazione responsabile, Microsoft ha confermato le osservazioni e introdotto modifiche per limitare il comportamento nel flusso di recupero web di Copilot.

Dal malware “statico” al malware che decide

La ricerca evidenzia anche un cambiamento più ampio. Finora l’IA è stata usata dai criminali soprattutto per scrivere codice malevolo o creare email di phishing più convincenti. In questo nuovo scenario, invece, l’IA diventerebbe parte attiva dell’operazione.

Un malware potrebbe raccogliere informazioni sull’ambiente in cui si trova – tipo di azienda, software installati, ruolo dell’utente – e chiedere all’IA come comportarsi: colpire subito? Restare in silenzio? Puntare solo a determinati file? È un po’ come se il virus chiedesse consiglio a un “consulente esterno” prima di agire.

Questo renderebbe gli attacchi più mirati e meno rumorosi. Per esempio, invece di cifrare tutti i file come fanno molti ransomware, un attacco guidato dall’IA potrebbe selezionare solo i documenti più critici, riducendo i segnali di allarme.

*Illustrazione progettata da Freepik