Cosa significa cybersecurity oggi? Senza dubbio, si tratta di un tema complesso che non può più essere descritto esclusivamente in termini tecnici. Il panorama delle minacce è cambiato, si è stratificato e si è interconnesso. Parlare di evoluzione delle minacce informatiche significa parlare di identità compromesse, vulnerabilità esposte, supply chain, intelligenza artificiale e pressione geopolitica. Ma anche, e soprattutto, parlare di gestione del rischio cyber.
Il passaggio chiave che ha caratterizzato il passato recente della cybersecurity e ne condizionerà il prossimo futuro è quello che ha portato dal concetto di perimetro al concetto di rischio sistemico. È su questo cambio di prospettiva che oggi si gioca la vera maturità delle organizzazioni.
Il nuovo Threat Landscape 2025: minacce più rapide, silenziose, interconnesse
Secondo i principali report internazionali, il threat landscape 2025 conferma una tendenza chiara per la quale il volume e la complessità degli incidenti sono in costante crescita. Oltre 22.000 incidenti rilevati e più di 12.000 data breach confermati delineano uno scenario in cui ransomware, malware, social engineering, DDoS e supply chain attack rappresentano minacce strutturali.
Uno dei dati più rilevanti riguarda l’accesso iniziale. Oggi il 22% delle compromissioni avviene tramite abuso di credenziali, mentre il 20% attraverso lo sfruttamento di vulnerabilità, spesso su sistemi edge come VPN, firewall o appliance di sicurezza esposte. Il phishing e il social engineering restano un fattore determinante, perché l’errore umano continua a essere una leva facilmente sfruttabile dagli attaccanti.
A livello operativo osserviamo tre fenomeni che definiscono l’attuale evoluzione delle minacce informatiche:
- Edge exploitation first: le vulnerabilità su sistemi esposti vengono sfruttate in tempi sempre più rapidi, spesso pochi giorni dopo la disclosure pubblica.
- Credential economy: gli infostealer alimentano mercati underground di credenziali rubate, che vengono poi riutilizzate per accessi “legittimi”.
- Malware-light operations: diminuisce l’uso di malware custom, aumenta l’abuso di strumenti legittimi (living-off-the-land), rendendo più complessa la rilevazione.
Per dare un ulteriore valore a supporto della tesi, il dwell time mediano si attesta intorno agli 11 giorni, ma nelle intrusioni più rapide il tempo che intercorre tra compromissione ed esfiltrazione può ridursi drasticamente. In poche parole, i primi minuti e le prime ore diventano determinanti.
Dai casi concreti alla consapevolezza strategica
Per comprendere la portata del cambiamento, basta osservare alcuni casi emblematici.
Nel 2019 Norsk Hydro è stata colpita dal ransomware LockerGoga, con conseguente fermo di linee produttive globali. L’azienda ha scelto di non pagare il riscatto, ripristinando i sistemi tramite backup offline e una gestione strutturata della crisi. È un caso importante, perché ci parla di resilienza operativa e di quanto una strategia cyber consapevole possa fare davvero la differenza.
Nel 2022, in un contesto sociale, economico e politico delicato, Industroyer2 è stato progettato per causare un blackout su infrastrutture critiche. Non un ransomware opportunistico, ma un attacco con finalità strategiche. Il cyberspazio diventa così uno strumento di pressione geopolitica con impatto fisico reale.
Il caso SolarWinds del 2020 ha segnato uno spartiacque nella supply chain security. Una backdoor inserita in un aggiornamento ufficiale ha coinvolto circa 18.000 organizzazioni nel mondo. Quando la supply chain diventa vettore, il rischio diventa sistemico.
Infine, l’uso dell’intelligenza artificiale negli attacchi ha alzato ulteriormente l’asticella. L’IA è, di fatto, un potente acceleratore del processo. Emblematico è il caso Arup, dove deepfake audio e video sono stati utilizzati per impersonare dirigenti e autorizzare trasferimenti milionari, dimostrando come il social engineering potenziato dall’AI rappresenti una minaccia concreta per la sicurezza aziendale.
Supply chain, identità e AI: il perimetro non è più interno
SaaS, MSP, cloud provider, API, integrazioni IT/OT: la digitalizzazione ha ampliato in modo esponenziale le interconnessioni e ogni collegamento aumenta il valore ma anche l’esposizione.
L’esito di questa trasformazione è che le terze parti sono sempre più coinvolte negli incidenti di sicurezza. Ecco perché il perimetro aziendale non coincide più con la rete interna, ma include fornitori, partner tecnologici e servizi esterni.
In parallelo, il concetto di perimetro si è traslato sull’identità, in relazione alla quale le credenziali rubate, le sessioni compromesse e gli accessi privilegiati sono oggi tra i principali vettori di compromissione.
A questo si aggiunge il contesto geopolitico. Campagne DDoS, operazioni di disinformazione, leak mirati e hacktivismo trasformano il cyberspazio in un teatro di competizione ibrida, dove l’obiettivo non è più solo economico, ma anche reputazionale, mediatico o politico.
La cybersecurity, dunque, è diventata un tema di interdipendenza.
Dal perimetro alla gestione del rischio cyber
Alla luce di quanto appena visto, un attacco non è più un evento isolato, bensì un punto di innesco che può generare interruzione operativa, impatto sulla supply chain, danno reputazionale, pressione normativa e decisioni critiche sotto stress.
Parlare, quindi, di gestione del rischio cyber significa passare da una logica reattiva a una logica strutturata. Non basta prevenire, occorre governare la propagazione del rischio.
Incident Response e Crisis Management diventano elementi centrali. Quando i sistemi sono compromessi, servono decisioni rapide, responsabilità definite e una catena di comando chiara. La resilienza informatica si costruisce prima dell’attacco, perché senza governance il caos amplifica l’impatto.
In definitiva, la sicurezza non è solo protezione tecnologica, ma è specialmente capacità organizzativa.
Orazero: affrontare la cybersecurity con un partner strutturato
Laddove il rischio è sistemico, serve un approccio integrato che non riguardi solo strumenti ma definisca strategie, processi, metriche e responsabilità.
Come Gruppo Planetel, abbiamo scelto di investire in competenze verticali attraverso Orazero, la nostra realtà specializzata in cybersecurity. In tal modo, siamo in grado di supportare le organizzazioni nella strutturazione di strategie di sicurezza che integrano assessment del rischio, gestione delle identità, protezione delle infrastrutture, incident response e compliance normativa.
Il nostro obiettivo è sì proteggere, ma rendendo misurabile la postura di sicurezza e allineandola alle priorità di business. In altri termini, affianchiamo le aziende nel trasformare la sicurezza da costo inevitabile a leva strategica per la resilienza digitale.
Se vuoi saperne di più, scrivici a [email protected] o chiama lo 035204461.
Fonti:
ENISA Threat Landscape 2024
Verizon DBIR 2025
Mandiant M-Trends 2025
Metomic «understanding third party Risks in Cyber Security»NYT – BBC – The Guardian – OXFORD Academic – Wikipedia – Fortinet