Cybersecurity Italia: la mappa dei rischi 2025

Nell’intento di indagare quello che sarà l’orizzonte della cybersecurity nel 2025, cinque esperti di riferimento a livello nazionale nel campo della sicurezza informatica analizzano alcune delle principali questioni per il settore.

La dimensione geopolitica e la sicurezza delle infrastrutture critiche

Partendo dalla dimensione geopolitica, la sicurezza delle infrastrutture critiche ricopre un ruolo fondamentale. Su questo l’ingegnere Luisa Franchina, Presidente dell’Associazione Italiana esperti in Infrastrutture Critiche (AIIC), fa notare che nel 2025 gli attacchi alle infrastrutture critiche vedranno un ulteriore incremento di ransomware mirati a settori come energia, sanità e trasporti. Allo stesso modo, si prevede una crescita degli attacchi alle supply chain, in particolare tramite lo sfruttamento di vulnerabilità nei software utilizzati nella gestione delle infrastrutture. L’interconnessione tra dispositivi IoT e sistemi OT sarà un altro vettore critico, poiché i criminali informatici potranno sfruttare sensori e controller per compromettere le operazioni essenziali. L’intelligenza artificiale verrà utilizzata sia dagli attaccanti per automatizzare azioni malevole, sia dai difensori per individuare anomalie e per rispondere rapidamente agli attacchi.

Il ruolo dell’intelligenza artificiale nella cyberwarfare e nella difesa

In questo scenario Franchina osserva come gli attaccanti state-sponsored potranno intensificare le loro campagne di cyberwarfare, puntando alle reti energetiche e alle telecomunicazioni. Per contrastare queste minacce, le organizzazioni devono adottare un approccio basato sul modello Zero Trust, aggiornare i sistemi OT e IoT e garantire la segmentazione della rete per limitare i danni. È cruciale investire in tecnologie di cybersecurity avanzate e nella formazione del personale per ridurre il rischio di compromissioni dovute a errori umani. Inoltre, la collaborazione pubblico-privato sarà fondamentale per condividere informazioni sulle minacce e rispondere rapidamente agli incidenti. Saranno particolarmente utili le simulazioni di attacchi reali, piani di recupero testati regolarmente per ridurre l’impatto delle intrusioni, mantenere aggiornati i sistemi e garantire backup sicuri. Queste saranno strategie essenziali per preservare la continuità operativa e la sicurezza delle infrastrutture critiche.

Dall’analisi del quadro geopolitico è possibile delineare un 2025 in cui la sicurezza e la resilienza delle organizzazioni sarà messa a dura prova. Secondo Alessio Aceti, CEO di HWG Sababa, gli attori statuali intensificheranno l’uso della cyberwarfare come strumento di destabilizzazione economica e politica, ampliando inoltre le minacce APT. Questi attacchi mirano non solo alla compromissione di dati sensibili, ma anche alla manipolazione delle infrastrutture critiche e delle supply chain globali.

Le nuove sfide delle infrastrutture cloud e delle architetture Edge

Un’ulteriore sfida, evidenzia Aceti, è rappresentata dal consolidamento delle infrastrutture cloud e delle architetture Edge, poiché queste comportano l’introduzione di nuove superfici di attacco. La decentralizzazione dei dati, infatti, pur migliorando la resilienza operativa, aumenta il rischio di compromissione in ambienti ibridi e multi-cloud e per questo richiede l’adozione di strategie di sicurezza distribuite e modelli Zero Trust potenziati. Inoltre, tra i trend più significativi si delinea un’evoluzione delle minacce basate sull’IA, in particolare di deepfake e algoritmi generativi impiegati per operazioni di ingegneria sociale e frodi finanziarie. Queste tipologie di attacco saranno sempre più difficili da rilevare in quanto altamente adattive e sofisticate.

L’integrazione dell’intelligenza artificiale nella cybersecurity

Guardando al 2024, nel contesto della cybersecurity appare sempre più rilevante il ruolo dell’intelligenza artificiale per le attività di difesa e di attacco. Questa infatti si prospetta allo stesso tempo come un valido strumento in grado di potenziare le difese cyber, ma anche come una temibile arma in mano agli hacker.

A questo riguardo Michele Colajanni, professore di ingegneria informatica dell’Università di Bologna, sottolinea la necessità di considerare la cybersecurity e l’intelligenza artificiale in modo integrato e complementare. In questa prospettiva, sarà essenziale sfruttarne al meglio le molteplici combinazioni possibili e valorizzare le loro applicazioni nei diversi contesti operativi.

Come fa notare Colajanni, Cybersecurity e Artificial Intelligence – le due buzzword del periodo – sono già integrate nella chimerica “cAIbersecurity”. L’IA è ormai ampiamente utilizzata dai difensori quale strumento di detection. D’altro canto, quando vi sono da analizzare migliaia di eventi al secondo e miliardi di comunicazioni, incluse le email, gli strumenti automatici basati su machine learning sono una scelta ineluttabile. L’IA generativa è diventata un supporto fondamentale anche per rilevare e correggere le vulnerabilità del software. Obiettivo opposto è quello degli attaccanti che, grazie all’IA, possono sia creare malware in grado di sfruttare le vulnerabilità del software, sia bot in grado di agire in modo autonomo. A questo vanno aggiunte le nuove possibilità della disinformazione, del phishing e delle truffe che, a causa del deep fake, hanno innalzato il livello della minaccia. Per tali motivi è necessario tenere presente che l’IA è utilizzata in ogni fase degli attacchi informatici, con successo crescente. Dovendo i difensori muoversi all’interno di regole e di leggi, la sfida tra i due gruppi rischia di non essere né cavalleresca né paritetica. Non lo è mai stata ma il divario a favore degli attaccanti sta aumentando. Gli esperti di cybersecurity dovranno sapersi reinventare anche sfruttando le nuove possibilità difensive dell’IA, ma vi sono problemi per nulla chimerici all’orizzonte.

Su questo, data la rilevanza del tema, interviene anche Aceti, evidenziando come le innovazioni nell’applicazione dell’IA siano in grado di trasformare la cybersecurity, offrendo soluzioni basate su analisi predittiva e automazione. Tecnologie come l’High-Level Correlation migliorano infatti il rilevamento delle minacce, riducono metriche fondamentali come il Mean Time to Detect (MTTD) e il Mean Time to Respond (MTTR), ottimizzando l’efficienza operativa. L’integrazione dell’IA con piattaforme di hyperautomation e SOAR permette una gestione dinamica e automatizzata delle minacce grazie all’uso di algoritmi avanzati per il triage degli alert e riduce i falsi positivi, alleggerendo il carico manuale nei Security Operation Center (SOC). Inoltre, l’IA è in grado di potenziare l’Automated Penetration Testing e la Cyber Threat Intelligence, in quanto rende la rilevazione delle vulnerabilità più efficace e adattiva, e identifica trend emergenti garantendo risposte rapide a minacce complesse, come ransomware e attacchi alla supply chain. Un ulteriore elemento strategico è rappresentato dai modelli predittivi, che offrono una prevenzione proattiva e di anticipazione degli scenari di rischio. Tuttavia, l’affidabilità e la trasparenza dei modelli di IA restano una sfida, mitigata dall’uso di approcci Explainable AI (XAI) che migliorano la fiducia degli utenti e la conformità normativa. In generale, l’IA e l’hyperautomation rendono le difese più adattive e resilienti, pronte quindi a rispondere a minacce in continua evoluzione.

La sfida culturale e organizzativa per la Pubblica Amministrazione

Invece, focalizzandosi nello specifico sulla Pubblica Amministrazione (PA) per il 2025, l’esperto e docente di cybersecurity Corrado Giustozzi fa presente che il settore pubblico si troverà a fronteggiare minacce digitali sempre più sofisticate e pericolose. Infatti, la PA dovrà affrontare numerose sfide per tutelarsi e proteggere le proprie risorse digitali. Su questo, emerge come l’aumento del numero e della portata degli attacchi non si limita più solo a intenti estorsivi, ma include anche attacchi ideologici legati alla complessa situazione geopolitica internazionale, spesso anche di matrice statuale. In tale scenario, la PA si trova in una posizione di vulnerabilità, rischiando di subire conseguenze più gravi rispetto ad altri settori. La PA infatti, ribadisce Giustozzi, può essere considerata come l’infrastruttura più critica del nostro Paese, in quanto detiene un patrimonio informativo straordinariamente rilevante ed eroga servizi altamente critici per il corretto funzionamento della società, con impatti diretti sulla vita di ogni cittadino o impresa. Il suo rafforzamento è un’esigenza nota e indirizzata oramai da diversi anni, come dimostra l’emissione nel 2017 delle “Misure minime di sicurezza ICT per la PA” da parte dell’AgID, ma i progressi sono stati lenti e a macchia di leopardo. Ormai un cambio di passo è necessario, urgente ed improcrastinabile.

Il vigente Codice degli appalti, nel tentativo di evitare interazioni anomale fra committenza pubblica e mercato, impedisce di fatto l’instaurazione di un rapporto di fiducia tra un’Amministrazione e i suoi fornitori, il quale si può costruire solo mediante un regime di collaborazione duratura e sistematica. Occorrerebbe dunque rivedere la logica dell’acquisto di servizi critici quali la consulenza, abolendo i criteri del prezzo più basso e della rotazione forzata, per favorire rapporti premianti che consentano all’Amministrazione di crescere internalizzando l’esperienza ricevuta dal fornitore. Inoltre, la preparazione media del personale pubblico, specie nelle fasce dirigenziali, è ancora parecchio sbilanciata sugli aspetti giuridici e amministrativi e spesso non copre a sufficienza gli aspetti più significativi e strategici della protezione cibernetica, la quale viene spesso vista come un mero fatto tecnico e non affrontata nelle sue valenze organizzative.

Il panorama normativo e le sfide per le organizzazioni

Invece, per quanto riguarda l’ambito normativo per la cybersecurity, l’avvocato Lucrezia Falciai evidenzia come le principali iniziative del legislatore europeo, che nel nostro Paese troveranno applicazione proprio a partire da quest’anno, rivolgano particolare attenzione alle infrastrutture critiche, agli operatori di servizi essenziali e alle pubbliche amministrazioni, ovvero a quei soggetti che hanno subito un numero crescente di attacchi informatici nel 2024. Tra le iniziative legislative ricordiamo il Regolamento DORA, ossia la normativa europea rivolta alle cosiddette “entità finanziarie” (principalmente gli operatori del settore bancario e assicurativo), che mira ad incrementarne la resilienza, cioè la capacità di tali soggetti di garantire la continuità e l’affidabilità dei servizi erogati anche in presenza di attacchi informatici. In relazione a tale normativa europea, le entità finanziarie dovranno svolgere entro il 17 gennaio 2025 numerosi adempimenti sul piano organizzativo, gestionale, tecnico e documentale.

Oltre al Regolamento DORA, le aziende italiane dovranno iniziare a strutturarsi anche per i primi adempimenti richiesti dalla Direttiva NIS 2, ossia la normativa che mira ad incrementare il livello di cybersecurity di soggetti pubblici e privati. Le prime scadenze, fa notare Falciai, sono previste già nei primissimi mesi dell’anno in cui gli operatori sono tenuti a svolgere un assessment al fine di capire se sia necessario o meno iscriversi sulla piattaforma messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale entro il 17 gennaio o il 28 febbraio, a seconda del settore di attività. Dunque, le aziende dovranno affrontare processi di riorganizzazione interna e di strutturazione di procedure idonee a gestire i rischi posti alla sicurezza informatica. Ad esempio, ridefinire ruoli e responsabilità, che a partire da quest’anno prevederanno un coinvolgimento attivo anche dei vertici aziendali, chiamati a partecipare attivamente alle decisioni in materia di cybersecurity.

Panoramica sulle sfide cybersecurity del 2025

Dall’orizzonte che si prospetta per il 2025 è possibile porre l’attenzione verso gli obiettivi di una difesa sempre più adeguata ai livelli di rischio e verso la capacità di innovare tenendo presente la centralità della cybersecurity in chiave di prevenzione e resilienza.

Aumento delle attività malevole e incremento di attacchi alla supply chain

Per Aceti, da una parte sarà necessario tenere presente che gli sviluppi tecnologici stanno abbassando la barriere in favore dei criminali informatici, con conseguente aumento delle attività malevole e un notevole incremento di attacchi alla supply chain. Dall’altra sarà altrettanto importante che le organizzazioni adottino approcci di sicurezza proattiva e predittiva, integrando AI e Machine Learning per il monitoraggio delle anomalie e la risposta automatizzata agli incidenti. Inoltre, sarà fondamentale rafforzare le capacità di incident response e cyber-resilience, investendo in piani di risposta regolarmente testati e nella formazione continua per ridurre il rischio di errori umani. A questo si aggiunge il panorama normativo, che richiederà un approccio dinamico alla compliance, con l’uso di soluzioni automatizzate per la protezione dei dati sensibili. Le organizzazioni dovranno perciò costruire un ecosistema di sicurezza adattivo e scalabile, collaborando con partner strategici e utilizzando la threat intelligence per garantire una resilienza complessiva del business.

Sempre in relazione all’IA, Colajanni sottolinea che più questa diventerà uno strumento di successo, non solo per la cybersecurity, più sarà oggetto di attenzione da parte degli attaccanti. Combinando i due rischi, il dubbio circa i contesti nei quali ci si potrà fidare è destinato a rappresentare una questione critica su cui fare attenzione prima che gli attaccanti guadagnino terreno.

Le sfide per la PA

Invece, per le sfide che la Pubblica Amministrazione dovrà affrontare per rafforzare la sicurezza e la resilienza dei propri sistemi, Giustozzi evidenzia che, se la PA vorrà adeguarsi, la principale sfida che dovrà affrontare non è tecnologica ma culturale, da declinarsi sia sul piano organizzativo che su quello delle competenze. Per superare tale difficoltà sarà necessario recuperare le competenze cyber per gestire gli aspetti manageriali e organizzativi della protezione cibernetica. Ciò richiederà un ampio processo di crescita culturale, che dovrà coinvolgere ogni livello della popolazione pubblica.