In Italia gli attacchi informatici continuano ad aumentare e il dato inizia a diventare difficile da ignorare. Secondo l’ultimo report di Check Point Research, nel mese di aprile 2026 le organizzazioni italiane hanno subito in media 2.492 attacchi cyber a settimana, un valore superiore del 13,2% rispetto alla media globale.

Dietro questi numeri non ci sono soltanto grandi hackeraggi da film o sofisticate operazioni contro governi e multinazionali. Sempre più spesso gli attacchi colpiscono aziende comuni, enti pubblici, scuole e perfino piccole realtà locali. Il motivo è semplice: oggi quasi tutto passa dal digitale e ogni sistema connesso rappresenta un potenziale punto d’ingresso. Il rapporto evidenzia come il rallentamento registrato a marzo sia stato soltanto temporaneo. Ad aprile gli attacchi hanno ripreso a crescere, spinti da automazione, cloud e diffusione dell’intelligenza artificiale generativa.

Attacchi in dettaglio

Uno dei fenomeni più preoccupanti resta il ransomware, cioè quel tipo di malware che blocca computer e server chiedendo un riscatto per ripristinare i dati. È una sorta di “sequestro digitale”: l’azienda perde accesso ai propri file e gli attaccanti chiedono denaro, spesso in criptovalute, per restituirli o evitare la pubblicazione online delle informazioni rubate.

Nel mese di aprile sono stati segnalati pubblicamente 707 attacchi ransomware nel mondo, con una crescita del 5% rispetto al mese precedente. In Italia i settori più colpiti risultano essere quello governativo, i servizi pubblici e le telecomunicazioni.

Per capire quanto il problema sia concreto basta immaginare cosa potrebbe accadere in caso di attacco a un’azienda di trasporti o a un operatore telefonico: sistemi bloccati, servizi interrotti, clienti impossibilitati ad accedere alle piattaforme e dati sensibili potenzialmente esposti.

Secondo gli analisti, i gruppi criminali stanno diventando sempre più organizzati. Alcuni operano con modelli simili a vere aziende, offrendo persino “Ransomware-as-a-Service”. In pratica sviluppano il malware e lo “affittano” ad altri criminali in cambio di una percentuale sui riscatti ottenuti. Tra i gruppi più attivi segnalati nel report figurano Qilin, The Gentlemen e DragonForce.

Ma non c’è soltanto il ransomware. Un’altra area di rischio crescente riguarda l’uso della GenAI, cioè strumenti di intelligenza artificiale generativa come chatbot e assistenti virtuali.

Il report sottolinea che 1 prompt aziendale su 28 inviato a sistemi GenAI presenta un rischio elevato di fuga di dati sensibili. Tradotto: molti dipendenti stanno inserendo nelle piattaforme AI informazioni aziendali riservate senza rendersi conto delle possibili conseguenze.

Può trattarsi, ad esempio, di documenti interni copiati dentro un chatbot per ottenere un riassunto, di codici software condivisi per correggere errori oppure di dati commerciali utilizzati per generare report automatici. Operazioni apparentemente innocue che però possono esporre informazioni strategiche.

Il problema è che l’intelligenza artificiale viene adottata molto più rapidamente rispetto alle misure di sicurezza necessarie per governarla. Le aziende, infatti, utilizzano ormai in media dieci strumenti GenAI differenti e ogni dipendente genera decine di richieste ogni mese.

Il quadro che emerge è quello di una superficie digitale sempre più ampia e difficile da proteggere. Non basta più installare antivirus o firewall: servono formazione continua, controllo dei dati condivisi e strumenti capaci di prevenire gli attacchi prima che causino danni.

*Illustrazione progettata da CheckPoint

Una nuova vulnerabilità scoperta nel mondo Linux sta attirando l’attenzione degli esperti di cybersicurezza perché potrebbe permettere a un utente con permessi limitati di trasformarsi, in pochi istanti, in amministratore completo del sistema. La falla è stata identificata come CVE-2026-31431, ma è già conosciuta con un nome molto più facile da ricordare: “CopyFail”. Secondo gli analisti di Kaspersky, il problema riguarda il kernel Linux, cioè il “cuore” del sistema operativo. È il componente che gestisce memoria, hardware e comunicazione tra software e macchina. In pratica, se il kernel ha un problema, tutto il sistema può diventare vulnerabile.

Analisi dell’exploit

La particolarità di CopyFail è che non richiede tecniche sofisticate da hacker cinematografico. Gli esperti spiegano che un exploit funzionante può essere scritto con pochissime righe di codice Python. Tradotto in termini semplici: anche criminali informatici con competenze non avanzate potrebbero tentare di sfruttarla.

La vulnerabilità sfrutterebbe un errore nel modo in cui Linux gestisce alcune operazioni crittografiche. La crittografia è ciò che protegge dati e comunicazioni, un po’ come una cassaforte digitale. In questo caso, però, il meccanismo potrebbe essere manipolato per alterare programmi considerati affidabili dal sistema.

Per capire il rischio basta immaginare un badge aziendale. Un dipendente normale può entrare solo in alcune stanze, mentre l’amministratore ha accesso ovunque. CopyFail permetterebbe, di fatto, di “falsificare” il badge e ottenere le chiavi complete del sistema. A quel punto un attaccante potrebbe installare malware, modificare file, creare nuovi account oppure bloccare interi server.

La falla sarebbe particolarmente insidiosa anche perché potrebbe essere presente in Linux dal 2017. Questo significa che molte versioni del sistema operativo distribuite negli ultimi anni potrebbero esserne interessate, comprese piattaforme molto diffuse in ambito aziendale come Ubuntu e Red Hat.

Va però chiarito un aspetto importante: CopyFail non può essere sfruttata direttamente via Internet. Un aggressore deve prima ottenere un accesso locale alla macchina. Questo riduce il rischio per gli utenti comuni, ma non elimina il problema. In caso di compromissione iniziale di un server, oppure in presenza di un dipendente malintenzionato, la vulnerabilità potrebbe diventare un potente strumento per prendere il controllo completo dell’infrastruttura.

I rischi e… le soluzioni!

A preoccupare particolarmente gli esperti sono poi gli ambienti cloud e containerizzati, come Docker e Kubernetes, oggi ampiamente usati nelle aziende. I container funzionano un po’ come appartamenti separati all’interno dello stesso edificio: ogni applicazione vive nel proprio spazio isolato. Con CopyFail, però, un aggressore potrebbe riuscire a “sfondare il muro” del container e raggiungere il sistema principale che ospita tutto il resto.

La buona notizia è che una correzione sarebbe già stata introdotta nelle versioni più recenti del kernel Linux. Gli esperti consigliano quindi di aggiornare i sistemi il prima possibile. Dove non è possibile intervenire immediatamente, una misura temporanea consiste nel disabilitare il modulo vulnerabile chiamato “algif_aead”, riducendo così la superficie di attacco.

*Illustrazione progettata da Securelist

Un programma scaricato dal sito ufficiale, firmato con un certificato valido e considerato affidabile dagli antivirus. Sembrava tutto normale. E invece dietro alcune versioni di Daemon Tools si nascondeva un attacco informatico sofisticato capace di installare malware direttamente sui computer delle vittime.

Il caso riguarda Daemon Tools, storico software utilizzato per creare unità virtuali e gestire immagini disco. Per molti utenti è uno strumento comune, soprattutto in ambito tecnico e professionale. Proprio questa popolarità avrebbe reso il programma un bersaglio ideale per una cosiddetta “supply chain attack”, cioè un attacco alla catena di distribuzione del software.

In pratica, invece di colpire direttamente gli utenti, i cybercriminali avrebbero compromesso il software originale distribuito dal produttore. È un po’ come comprare un prodotto sigillato in un negozio ufficiale e scoprire che qualcuno ha inserito qualcosa di pericoloso direttamente nella confezione prima della vendita.

Secondo Kaspersky, a partire dall’8 aprile 2026 alcune versioni dell’installer di Daemon Tools disponibili sul sito ufficiale contenevano codice dannoso nascosto all’interno dell’applicazione legittima. Il malware veniva distribuito insieme al programma originale senza destare sospetti, anche perché il file risultava firmato digitalmente con certificati autentici dello sviluppatore.

Ed è proprio questo il dettaglio più preoccupante. Normalmente gli utenti si fidano dei software scaricati da siti ufficiali, soprattutto se Windows mostra che il programma è firmato digitalmente. In questo caso, però, quella fiducia è stata sfruttata dagli attaccanti per superare le difese tradizionali.

Analisi del malware

Il malware, una volta installato, poteva consentire ai criminali informatici di controllare il computer da remoto. Gli esperti parlano di “backdoor”, termine che indica una sorta di porta segreta lasciata aperta nel sistema. Attraverso questa porta gli attaccanti possono impartire comandi, installare altri software malevoli o rubare informazioni.

La situazione sarebbe particolarmente critica perché Daemon Tools richiede privilegi amministrativi elevati per funzionare correttamente. In pratica, durante l’installazione molti utenti autorizzano automaticamente il programma ad avere accesso completo al sistema operativo. Così facendo, senza saperlo, concedevano gli stessi privilegi anche al malware nascosto al suo interno.

Secondo i dati raccolti da Kaspersky, gli aggiornamenti compromessi sarebbero stati scaricati in oltre 100 Paesi. Tra quelli maggiormente colpiti figurano Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina. Circa il 10% dei sistemi infetti apparterrebbe inoltre ad aziende e organizzazioni.

I ricercatori hanno osservato che in alcuni casi gli attaccanti sarebbero intervenuti manualmente su computer selezionati appartenenti a enti governativi, aziende manifatturiere, organizzazioni scientifiche e realtà del settore retail. Su queste macchine sarebbero stati installati ulteriori strumenti di controllo remoto ancora sconosciuti.

Gli esperti sottolineano che questo tipo di attacco è particolarmente difficile da individuare perché sfrutta software considerato affidabile. Non si tratta del classico allegato sospetto ricevuto via email, ma di un programma scaricato dal canale ufficiale del produttore.

Per questo motivo Kaspersky raccomanda alle aziende di verificare immediatamente la presenza di Daemon Tools Lite nelle proprie reti, isolare i sistemi coinvolti e monitorare eventuali attività anomale. Gli utenti privati, invece, dovrebbero disinstallare le versioni compromesse del software ed eseguire una scansione completa del computer.

*Illustrazione progettata da SecureList

Un nuovo ransomware che, invece di “bloccare” i file, li distrugge definitivamente. È questa la scoperta fatta dai ricercatori di Check Point Research su VECT, una minaccia informatica emersa alla fine del 2025 che rompe completamente le regole tradizionali del cybercrimine.

Di solito, un ransomware funziona come un sequestro: i criminali cifrano i dati (cioè li rendono illeggibili) e chiedono un riscatto per fornire la chiave che permette di recuperarli. È un modello “economico”: tu paghi, io ti restituisco i file. Con VECT, però, questo schema salta. A causa di errori nel software, i file più grandi – come database aziendali, backup o sistemi virtuali – vengono danneggiati in modo irreversibile. In pratica è come se un ladro distruggesse una cassaforte invece di rubarne la combinazione: anche pagando, non c’è più nulla da recuperare.

Secondo l’analisi, il problema riguarda tutte le versioni del malware (Windows, Linux e ambienti virtualizzati) ed è presente fin dalle prime varianti. Questo significa che non esiste, e probabilmente non esisterà mai, uno strumento in grado di decifrare i dati colpiti. Pagare il riscatto, quindi, non solo finanzia i criminali ma non porta alcun beneficio alla vittima.

Diffusione tramite affiliazione

Un altro aspetto insolito di VECT è il suo modello di diffusione. Invece di affidarsi a pochi hacker esperti, il gruppo ha aperto la propria piattaforma a migliaia di affiliati tramite forum del cybercrimine. Più persone coinvolte significa più attacchi, ma anche meno controllo sulla qualità del software. Non a caso, i ricercatori sospettano che dietro VECT ci siano operatori poco esperti, forse supportati da codice riutilizzato o addirittura generato con l’aiuto dell’intelligenza artificiale.

Le falle non finiscono qui: alcune funzioni promesse agli “affiliati”, come la possibilità di regolare la velocità di cifratura, semplicemente non funzionano. Il risultato è un malware che appare sofisticato, ma che in realtà nasconde difetti strutturali importanti.

Questo non rende VECT meno pericoloso. Anche se i dati possono essere distrutti, prima dell’attacco possono comunque essere rubati. Inoltre, i sistemi colpiti si bloccano, causando danni operativi alle aziende. E soprattutto, se questi errori venissero corretti in futuro, VECT potrebbe trasformarsi in una minaccia ancora più efficace, sfruttando una rete già ampia di criminali affiliati.

*Illustrazione progettata da CheckPoint

La sicurezza informatica è diventata una priorità concreta anche per PMI, studi professionali e realtà che non hanno un reparto IT interno strutturato. Clienti, fornitori, pagamenti, dati HR, documenti amministrativi e accessi ai gestionali sono ormai parte del patrimonio aziendale. Proteggerli significa difendere continuità operativa, reputazione e valore del business.

Il problema è che molte aziende sanno di dover intervenire, ma non sanno da dove partire. Alcune scelgono il fornitore più economico, altre quello che usa parole più tecniche, altre ancora agiscono solo dopo un attacco o una richiesta assicurativa. Un approccio più sano è diverso: capire i rischi reali, definire priorità e scegliere un partner capace di accompagnare l’azienda nel tempo.

La migliore cybersecurity non promette invulnerabilità. Promette metodo, prevenzione, capacità di risposta e miglioramento continuo.

Cosa fa davvero un’azienda di sicurezza informatica

Un fornitore di cybersecurity non dovrebbe limitarsi a installare antivirus o firewall. Il suo compito è aiutare l’azienda a capire dove si trovano i rischi, quanto sono gravi e quali interventi sono davvero utili rispetto al contesto operativo.

I servizi possono includere analisi iniziali, protezione degli endpoint, verifica delle configurazioni cloud, controllo degli accessi, backup, formazione del personale, test di vulnerabilità, monitoraggio sicurezza e supporto in caso di incidente. Un partner serio traduce ogni attività in impatto pratico: meno interruzioni, minore esposizione a frodi, maggiore controllo sugli accessi e migliore protezione dei dati aziendali.

Una buona azienda di sicurezza informatica deve quindi saper parlare sia con l’IT sia con la direzione. La parte tecnica conta, ma conta anche la capacità di spiegare perché una misura serve, quali rischi riduce e quali limiti conserva.

Quando serve un partner esterno

Un partner esterno diventa utile appena l’azienda gestisce dati sensibili, usa sistemi cloud, ha dipendenti con accessi da remoto, lavora con pagamenti digitali o dipende da software gestionali per operare ogni giorno. Non serve attendere una violazione per iniziare.

Per molte PMI, affidarsi all’esterno significa ottenere competenze che internamente non sarebbero sostenibili a tempo pieno. Scegliere un fornitore di cybersecurity permette di avere un presidio più ampio, con competenze aggiornate su minacce, strumenti, procedure e normative.

Il valore della continuità

La sicurezza non è un intervento una tantum. Cambiano i software, cambiano le persone, cambiano le abitudini di lavoro e cambiano anche le tecniche di attacco. Per questo un buon partner deve prevedere verifiche periodiche, aggiornamenti, report comprensibili e momenti di revisione. La domanda da fare non è solo “cosa installate?”, ma “come ci seguite nei prossimi mesi?”.

Criteri per scegliere bene

La prima valutazione riguarda le competenze. Certificazioni, casi reali, esperienza su aziende simili e conoscenza degli ambienti più diffusi sono segnali positivi. Tuttavia la competenza non basta se manca un metodo chiaro.

Un fornitore affidabile parte da una valutazione del contesto. Chiede quali dati trattate, quali sistemi usate, quali processi sono critici, quali persone hanno accesso alle informazioni e quali conseguenze avrebbe un blocco operativo. Da lì propone un piano sostenibile, con priorità e tempi realistici.

Metodo, trasparenza e responsabilità

La trasparenza è decisiva. Un buon partner spiega cosa è incluso, cosa non è incluso, quali attività sono continuative e quali sono straordinarie. Non usa la paura come leva commerciale, non promette protezione totale e non presenta ogni rischio come emergenza immediata.

Conta anche la capacità di documentare il lavoro. Report chiari, procedure scritte, registrazione degli interventi e tracciabilità delle decisioni aiutano l’azienda a mantenere controllo e consapevolezza. La sicurezza efficace è fatta di processi verificabili, non solo di strumenti.

Domande da fare al fornitore prima di decidere

Prima di firmare, conviene capire come il fornitore lavora davvero. Una domanda utile riguarda l’analisi iniziale: verrà fatta una valutazione dei rischi o verrà proposta subito una soluzione standard? La risposta dice molto sul livello di personalizzazione.

Occorre poi chiedere come vengono gestiti gli incidenti. Il tema dell’incident response è centrale: in caso di attacco, blocco dei sistemi, furto credenziali o ransomware, l’azienda deve sapere chi contattare, con quali tempi di risposta, quali attività vengono svolte e quali costi sono inclusi.

Altre domande riguardano il monitoraggio sicurezza, la gestione degli aggiornamenti, la formazione dei dipendenti, la sicurezza dei backup, la protezione degli account amministrativi e la produzione di report. Un fornitore serio risponde in modo concreto, senza rifugiarsi in sigle incomprensibili. La chiarezza è già una forma di affidabilità operativa.

Come valutare un preventivo e confrontare offerte diverse

Confrontare offerte di cybersecurity solo sul prezzo è rischioso, perché due preventivi possono sembrare simili ma includere attività molto diverse. Il primo elemento da verificare è l’ambito: quali sedi, dispositivi, utenti, server, ambienti cloud e applicazioni sono coperti?

Va poi controllato il livello di servizio. Un canone mensile può includere solo licenze software oppure anche monitoraggio, interventi, report, assistenza e revisione periodica. Il dettaglio cambia completamente il valore della proposta.

Prezzo, perimetro e risultati attesi

Un buon preventivo dovrebbe indicare cosa viene fatto, con quale frequenza, da chi, con quali tempi di risposta e con quali obiettivi misurabili. Non sempre l’offerta più ampia è la migliore, ma deve essere chiaro cosa l’azienda sta acquistando.

Una proposta utile distingue tra interventi urgenti, misure prioritarie e attività evolutive. Questo permette di costruire un percorso progressivo, sostenibile anche per realtà con budget limitati. La cybersecurity deve proteggere il business, non diventare un costo opaco e ingestibile.

Red flags: segnali di un fornitore poco affidabile

Un primo segnale d’allarme è la promessa di sicurezza assoluta. Nessun fornitore serio può garantire che un attacco non avverrà mai. Può però ridurre il rischio, migliorare la prevenzione e preparare una risposta efficace.

Da osservare con cautela anche chi propone soluzioni identiche per tutti, senza analisi preliminare. Ogni azienda ha dati, processi, persone e strumenti diversi. Una proposta uguale per uno studio professionale, un e-commerce e un’azienda manifatturiera difficilmente sarà adeguata.

Altri segnali critici sono preventivi vaghi, mancanza di report, tempi di risposta non definiti, linguaggio volutamente oscuro, assenza di procedure per incident response e poca attenzione alla formazione del personale. Un fornitore poco trasparente può diventare un ulteriore fattore di rischio, non una protezione. La fiducia deve basarsi su evidenze, metodo e responsabilità.

Conclusione

Scegliere un partner di cybersecurity significa scegliere qualcuno a cui affidare una parte delicata della continuità aziendale. Per questo la decisione non dovrebbe nascere dalla paura né dal solo confronto economico, ma da una valutazione equilibrata di competenze, metodo, chiarezza e capacità di supporto.

Una buona scelta parte da domande semplici: il fornitore capisce il nostro business? Sa spiegare i rischi senza creare panico? Propone priorità realistiche? Definisce processi di monitoraggio sicurezza e incident response? Produce documentazione chiara? Aiuta le persone a lavorare meglio e in modo più sicuro?

La sicurezza informatica non è un prodotto da comprare una volta per tutte. È un percorso fatto di controlli, aggiornamenti, consapevolezza e collaborazione. Il partner giusto è quello che aiuta l’azienda a crescere in maturità, proteggendo dati, infrastrutture e operatività quotidiana con un piano concreto e sostenibile.

Anthropic sostiene di avere tra le mani un modello capace di fare molto più che assistere gli sviluppatori: secondo l’azienda, Claude Mythos Preview riesce a individuare e persino sfruttare vulnerabilità software con un livello di efficacia superiore a quello della quasi totalità dei ricercatori umani. Non si parla di bug comuni, ma di falle gravi in sistemi operativi, browser e componenti chiave dell’infrastruttura digitale. Proprio per questo il modello non sarà distribuito pubblicamente! Il progetto si chiama Project Glasswing e nasce con un obiettivo preciso: usare un’IA potenzialmente pericolosa come strumento di difesa prima che capacità simili finiscano nelle mani di attori ostili. Il punto, però, è un altro. Se i modelli di frontiera possono scovare vulnerabilità e trasformarle in exploit, il confine tra difesa e offesa diventa sottile. È una corsa contro il tempo: dare ai difensori un vantaggio prima che l’IA abbassi il costo della cyberoffesa. Ed è proprio questo il messaggio inquietante: non siamo più nella fase in cui l’IA “potrebbe” cambiare la sicurezza. Secondo i promotori del progetto, l’ha già fatto.

Un cambio di rotta e di dottrina

Con Project Glasswing non siamo davanti al solito annuncio di un’IA più potente, ma a un cambio di paradigma. L’idea di fondo è semplice quanto delicata: mettere un modello avanzato nelle mani di un numero ristretto di soggetti fidati per individuare e correggere vulnerabilità nei software più critici, prima che capacità simili vengano sfruttate in modo offensivo. La vera questione, però, non è solo tecnica. Se un’IA riesce davvero ad accelerare scoperta di bug, analisi del codice e sviluppo di exploit, allora il vantaggio non sarà più soltanto operativo: diventerà strategico, industriale e perfino geopolitico. In altre parole, la cybersicurezza entra in una fase nuova, in cui il controllo dei modelli più avanzati rischia di contare quanto il controllo delle infrastrutture che quei modelli dovrebbero difendere.

Una nuova vulnerabilità scoperta da Kaspersky riaccende l’attenzione sulla sicurezza dei sistemi Windows. Si chiama PhantomRPC e, secondo i ricercatori, potrebbe permettere agli attaccanti di ottenere il pieno controllo di un computer sfruttando un meccanismo interno del sistema operativo.

Per capire il problema, bisogna partire da cosa sia l’RPC (Remote Procedure Call), una tecnologia fondamentale di Windows. In parole semplici, è il “linguaggio” che i programmi usano per parlarsi tra loro. È come se un’app potesse chiedere a un’altra: “Puoi fare questa operazione per me?”. Questo avviene continuamente, anche senza che ce ne accorgiamo, ed è essenziale per il funzionamento del sistema.

Il punto critico è che proprio questo sistema di comunicazione, se sfruttato nel modo giusto, può diventare una porta d’ingresso per gli hacker. La vulnerabilità PhantomRPC non nasce da un errore in un singolo programma, ma dal modo in cui è progettata l’architettura stessa di Windows. Questo la rende particolarmente insidiosa.

Secondo Kaspersky, esistono diversi modi per sfruttare questa tecnica, e il numero potrebbe crescere nel tempo perché ogni nuovo servizio che usa RPC potrebbe introdurre ulteriori possibilità di attacco. In altre parole, non si tratta di una falla isolata, ma di un problema strutturale.

Flusso di lavoro di RPC di Microsoft

Cosa significa tutto questo per aziende e utenti? Prima di tutto, che la sicurezza non dipende solo dagli aggiornamenti, ma anche da come vengono configurati i sistemi. Gli esperti consigliano, ad esempio, di monitorare le comunicazioni RPC sospette e di limitare l’uso di privilegi particolarmente sensibili, che spesso vengono concessi più del necessario. Per chi non è tecnico, il messaggio è chiaro: molte minacce moderne non si basano più su virus evidenti o comportamenti sospetti, ma su meccanismi nascosti e perfettamente integrati nel sistema. Proprio per questo sono più difficili da individuare.

*Illustrazione progettata da Securelist