Nel 2025 il panorama delle minacce informatiche in Italia ha registrato un’evoluzione significativa, segnata da tecniche sempre più raffinate e da un uso crescente di strumenti quotidiani per ingannare gli utenti. Secondo il report annuale del CERT-AGID, la struttura dell’Agenzia per l’Italia Digitale che supporta la Pubblica Amministrazione nella sicurezza informatica, sono state individuate 3.620 campagne malevole attive nel Paese, accompagnate dalla distribuzione di oltre 51.000 indicatori di compromissione agli enti coinvolti nel perimetro AgID. Il quadro delineato evidenzia una strategia precisa da parte dei cybercriminali: sfruttare la fiducia nei servizi istituzionali e nei canali digitali più comuni, come spedizioni, pagamenti online, home banking e notifiche di presunte sanzioni.
PagoPA e PEC diventano strumenti di inganno
Tra i fenomeni più evidenti emersi nel corso dell’anno spicca la forte crescita delle truffe legate a falsi avvisi PagoPA. Il CERT-AGID ha rilevato 328 campagne basate su presunte multe stradali da pagare, costruite attraverso siti contraffatti progettati per sottrarre dati personali e informazioni di pagamento. Il fenomeno, comparso verso la fine di marzo, ha conosciuto un’accelerazione significativa a partire da maggio, arrivando a rappresentare circa il 9% delle campagne individuate.
Parallelamente si registra un aumento marcato degli attacchi veicolati tramite Posta Elettronica Certificata. Le campagne condotte via PEC sono cresciute di circa l’80% rispetto al 2024, con 103 episodi documentati. I messaggi certificati vengono sfruttati sia per tentativi di phishing bancario sia per diffondere malware, tra cui MintsLoader, facendo leva sulla percezione diffusa che la PEC sia intrinsecamente sicura. Anche lo smishing, ovvero le truffe via SMS, cambia volto: pur diminuendo complessivamente del 23%, aumenta la quota di messaggi destinati alla diffusione di malware, passata dal 28% al 45% in un solo anno, mentre continua l’abuso dei nomi di enti pubblici e servizi ufficiali.
ClickFix e intelligenza artificiale: le nuove armi dei cybercriminali
Tra le tecniche emergenti si distingue ClickFix, una forma avanzata di ingegneria sociale che induce la vittima a eseguire manualmente comandi sul proprio computer attraverso istruzioni apparentemente legittime o falsi sistemi CAPTCHA. Segnalata per la prima volta in Italia a gennaio dell’anno scorso, questa tecnica è stata utilizzata in circa 70 campagne e ha favorito la diffusione di malware come AsycRat, Lumma Stealer e XWorm.
Il report sottolinea inoltre un utilizzo sempre più diffuso dell’intelligenza artificiale da parte dei gruppi criminali. L’AI viene impiegata per generare messaggi di phishing più credibili e personalizzati, ma anche come strumento di pressione nelle estorsioni ransomware. In alcuni casi, gli attaccanti minacciano di usare i dati rubati per addestrare modelli di intelligenza artificiale, aggiungendo una nuova leva alle tradizionali minacce di pubblicazione dei dati sottratti.
Malware e canali di diffusione: email ancora al centro
Dal punto di vista tecnico, gli infostealer continuano a dominare il panorama delle minacce: circa il 60% delle 90 famiglie malware identificate appartiene a questa categoria, progettata per sottrarre informazioni in modo silenzioso e continuo dai dispositivi delle vittime. Seguono i RAT, che rappresentano circa il 30%. Il malware più rilevato in Italia resta FormBook, davanti a Remcos e AgentTesla.
Le campagne diventano inoltre più complesse, grazie a catene di infezione multilivello che combinano tecniche di ingegneria sociale, loader e dropper per aggirare i sistemi di difesa automatizzati. La posta elettronica ordinaria rimane il principale vettore di diffusione, utilizzata nel 91,7% dei casi, seguita dagli SMS con il 5,2% e dalla PEC con il 2,8%, dato quest’ultimo in forte crescita. Complessivamente, gli attacchi di phishing hanno coinvolto 153 brand e mirano soprattutto al furto di credenziali bancarie, accessi webmail e dati di pagamento.
Archivi compressi e script: i file preferiti dagli hacker
Analizzando i file utilizzati per diffondere software malevolo, emerge il predominio degli archivi compressi, responsabili di quasi la metà dei casi rilevati. Formati come ZIP e RAR rappresentano da soli circa il 30% del totale, seguiti da altri archivi come 7Z, GZ, Z e TAR. Questi file consentono agli attaccanti di nascondere contenuti pericolosi e superare più facilmente i controlli iniziali dei server di posta.
Al secondo posto figurano i file di script — tra cui JS, VBS, BAT e PS1 — che costituiscono circa il 20% dei file malevoli e vengono spesso impiegati nelle fasi intermedie delle infezioni. Rimangono diffusi anche PDF, documenti di testo, fogli di calcolo e presentazioni, che complessivamente rappresentano circa il 10% dei casi e possono contenere link dannosi o macro VBA. Non manca infine l’uso di file APK, pari al 4,4% del totale, destinati alla diffusione di applicazioni malevole su dispositivi Android.
Android sotto attacco e boom di dati rubati
Nel 2025 è cresciuto sensibilmente anche il numero di campagne malware rivolte ai dispositivi Android, con un incremento di circa il 55%. La famiglia più diffusa risulta Copybara, seguita da Irata e SpyNote. In molti casi l’infezione parte da SMS che invitano a installare falsi aggiornamenti o applicazioni bancarie tramite file APK dannosi.
Sul fronte delle violazioni dei dati, il CERT-AGID ha rilevato 89 compromissioni, spesso legate alla diffusione illegale di database appartenenti ad aziende private e servizi commerciali. I file trafugati contenevano oltre 500.000 indirizzi email associati a enti pubblici e, nella maggior parte dei casi, anche password. Particolarmente significativo il caso della vendita online di documenti d’identità sottratti a strutture alberghiere italiane: tra giugno e luglio 2025 sono state rubate centinaia di migliaia di scansioni, con violazioni progressivamente estese fino a coinvolgere dodici hotel durante l’estate.