Il settore manifatturiero è il più colpito dal ransomware. Le email aziendali sono il vettore d’attacco preferito. E il doppio fattore di autenticazione, in cui molte PMI ripongono fiducia, viene aggirato con tecniche sempre più sofisticate. Il rapporto annuale di Cisco Talos fotografa un panorama delle minacce informatiche in rapida evoluzione. Ecco cosa devono sapere le imprese della Pianura.
Ogni anno Cisco Talos, uno dei principali centri mondiali di intelligence sulle minacce informatiche, pubblica una fotografia del panorama degli attacchi. Il rapporto 2025 è appena uscito e i numeri che contiene dovrebbero interessare da vicino chiunque gestisca un’impresa, a maggior ragione se opera in settori come la manifattura, la logistica o i servizi professionali, che rappresentano la spina dorsale dell’economia della Pianura Lombarda.
Il messaggio di fondo è semplice: gli attacchi informatici non sono più un problema riservato alle grandi corporation o alla pubblica amministrazione. Sono diventati una variabile strutturale del rischio d’impresa, con conseguenze potenzialmente devastanti in termini di fermo produttivo, perdita di dati e danni reputazionali.
Il manifatturiero è il settore più colpito dal ransomware
Il ransomware – il tipo di attacco che cripta i dati aziendali e chiede un riscatto per restituirli – ha confermato nel 2025 la sua capacità di colpire in modo selettivo. Il settore più bersagliato è stato quello manifatturiero, per il terzo anno consecutivo. Le ragioni sono precise: bassa tolleranza al fermo produttivo, ambienti ibridi che mescolano sistemi informatici tradizionali e tecnologie operative (macchine, impianti, linee di produzione), e budget dedicati alla cybersecurity mediamente inferiori rispetto ad altri settori come quello finanziario.
Il gruppo criminale più attivo nell’anno è stato Qilin, responsabile del maggior numero di attacchi documentati. Qilin opera come servizio in franchising – il cosiddetto ransomware-as-a-service – reclutando operatori terzi cui garantisce una quota fino all’85% del riscatto ottenuto. La sua capacità di colpire sistemi Windows, Linux e altri ambienti lo rende particolarmente pericoloso per le realtà manifatturiere con infrastrutture eterogenee.
Accanto a Qilin, si sono distinti per longevità i gruppi Akira e Play, entrambi già nella top 5 del 2024: una rarità in un ecosistema criminale dove i gruppi nascono, cambiano nome e scompaiono con grande rapidità, spesso sotto pressione delle autorità.
Le vulnerabilità: vecchi software, nuovi pericoli
Un dato che colpisce del rapporto Talos riguarda la natura delle vulnerabilità più sfruttate. Tra le prime dieci dell’anno figura una falla scoperta solo a dicembre – React2Shell, la più colpita in assoluto – a dimostrazione di quanto rapidamente i criminali informatici riescano oggi a tradurre una nuova debolezza in uno strumento d’attacco. Ma accanto alle novità, resistono falle con oltre dieci anni di storia, come quelle nel framework Apache Log4j (2021) o in Adobe ColdFusion (2013).
Il messaggio per le imprese è duplice. Da un lato, i sistemi vanno aggiornati tempestivamente, perché l’intervallo tra la pubblicazione di una vulnerabilità e il suo sfruttamento si è quasi azzerato. Dall’altro, non basta concentrarsi sulle minacce recenti: il 40% delle vulnerabilità più sfruttate nel 2025 colpisce dispositivi a fine vita, cioè hardware e software per cui il produttore non rilascia più aggiornamenti di sicurezza. Chi li usa in produzione apre una porta che non può più chiudere.
Significativo anche il dato sulle piccole aziende: queste tendono a essere esposte a una varietà maggiore di minacce – spesso a causa di un mix eterogeneo di dispositivi consumer-grade e software non aggiornati – mentre le grandi organizzazioni sono bersagliate in modo più concentrato e strategico su poche vulnerabilità ad alto impatto.
L’autenticazione a due fattori non è più sufficiente da sola
Molte aziende hanno adottato negli ultimi anni l’autenticazione a due fattori (MFA) come misura di sicurezza aggiuntiva: oltre alla password, viene richiesto un secondo codice o una conferma dal proprio smartphone. È una misura utile, ma nel 2025 è diventata essa stessa un obiettivo.
Cisco Talos documenta due tipologie principali di attacco. La prima – il cosiddetto spray attack – consiste nel tentare un numero ridotto di password comuni su migliaia di account contemporaneamente, sperando che qualcuno approvi per errore la richiesta di autenticazione. La seconda – l’attacco al dispositivo – è più sofisticata: il criminale riesce a registrare il proprio smartphone come dispositivo fidato all’interno del sistema della vittima, aggirando completamente il controllo. Questo tipo di attacco è cresciuto del 178% rispetto al 2024.
Nel 77% dei casi documentati, l’accesso al dispositivo è stato ottenuto convincendo un amministratore IT a registrarlo, spesso tramite una telefonata fraudolenta (vishing). Un dato che invita le aziende a riflettere non solo sugli strumenti tecnici, ma anche sulla formazione del personale e sui processi interni di verifica.
Le email aziendali: il cavallo di Troia più usato
Il 40% degli attacchi documentati da Talos nel 2025 è partito da una email di phishing. Non sono più i messaggi sgangherati con errori grammaticali che siamo abituati a riconoscere: oggi le email malevole imitano perfettamente la comunicazione aziendale ordinaria, fatture, approvazioni, avvisi IT, prenotazioni di viaggio.
Un caso particolarmente rilevante riguarda una funzione legittima di Microsoft 365 chiamata Direct Send, pensata per consentire a stampanti e altri dispositivi interni di inviare email agli utenti. Nel 2025 questa funzione è stata sfruttata massicciamente per inviare messaggi che sembrano provenire dall’interno dell’azienda – compreso l’indirizzo email del mittente – senza aver compromesso alcun account. Le email così generate bypassano molti dei controlli tradizionali di autenticazione e risultano particolarmente convincenti, tanto che i bersagli preferiti sono stati i dirigenti aziendali.
Sul fronte della prevenzione, il consiglio operativo che emerge dal rapporto è trattare ogni email – anche quelle apparentemente interne – con lo stesso grado di attenzione riservato alla posta esterna.
L’intelligenza artificiale: strumento a doppio taglio
Il rapporto dedica ampio spazio al ruolo crescente dell’intelligenza artificiale nelle attività criminali. Nel 2025 l’AI non ha ancora automatizzato l’intero ciclo di un attacco, ma ha abbassato significativamente la barriera d’ingresso per chi vuole condurne uno. Chiunque può oggi generare siti di phishing convincenti con pochi clic, costruire identità false credibili per infiltrarsi nelle organizzazioni, o realizzare deepfake vocali e video per truffe telefoniche.
Sul fronte opposto, l’AI è anche uno strumento difensivo: aiuta i team di sicurezza a correlare comportamenti anomali, classificare gli alert e rispondere più rapidamente agli incidenti. La sfida per le imprese non è scegliere se adottare l’AI, ma farlo in modo consapevole, comprendendo anche i nuovi rischi che introduce, come le tecniche di prompt injection o l’avvelenamento dei dati.
Cosa significa tutto questo per le imprese della Pianura
I dati del rapporto Cisco Talos disegnano un perimetro di rischio che riguarda direttamente le imprese manifatturiere, logistiche e di servizi del nostro territorio. Non si tratta di scenari remoti: il ransomware colpisce preferibilmente realtà con scarsa tolleranza al fermo produttivo, il phishing viaggia sulle stesse email che utilizziamo ogni giorno, e le vulnerabilità non aggiornate sono presenti in molti ambienti produttivi.
La buona notizia è che molto si può fare con misure organizzative e tecnologiche relativamente accessibili: aggiornare regolarmente software e firmware, formare il personale a riconoscere le email sospette, impostare processi interni di verifica per le richieste IT fuori dall’ordinario, e valutare il proprio livello di esposizione con l’aiuto di un professionista.
Il tema sarà al centro del convegno che Pianura Network organizzerà in autunno: un’occasione per approfondire con esperti e imprenditori come affrontare concretamente le sfide della cybersecurity nel contesto delle PMI del territorio.
