{"id":76,"date":"2026-06-12T08:40:16","date_gmt":"2026-06-12T08:40:16","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/12\/enisa-threat-landscape-2025\/"},"modified":"2026-06-12T08:41:29","modified_gmt":"2026-06-12T08:41:29","slug":"enisa-threat-landscape-2025","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/12\/enisa-threat-landscape-2025\/","title":{"rendered":"ENISA 2025: 4.900 Incidenti Cyber, 80% Hacktivismo [2026]"},"content":{"rendered":"\n

Il rapporto ENISA Threat Landscape 2025<\/strong>, pubblicato dall’Agenzia dell’Unione europea per la cibersicurezza, fotografa un continente sotto pressione costante. Tra luglio 2024 e giugno 2025 l’agenzia ha analizzato circa 4.900 incidenti selezionati e curati, una mole di dati che ridisegna la mappa delle minacce informatiche in Europa<\/strong>. I numeri raccontano una stagione in cui l’attivismo digitale ha superato per volume la criminalit\u00e0 tradizionale, il phishing resta la porta d’ingresso preferita e l’intelligenza artificiale accelera la produzione di campagne offensive. Questa analisi, aggiornata al 12 giugno 2026, mette in fila le cifre, il contesto italiano e le conseguenze per imprese e amministrazioni.<\/p>\n\n\n\n

ENISA Threat Landscape 2025: la mappa delle minacce informatiche in Europa<\/h2>\n\n\n\n

L’ENISA Threat Landscape 2025 \u00e8 il documento di riferimento con cui l’Unione europea misura ogni anno lo stato della propria sicurezza digitale. Il rapporto copre il periodo che va da luglio 2024 a giugno 2025 e si basa su un campione di circa 4.900 incidenti raccolti da fonti pubbliche, segnalazioni nazionali e attivit\u00e0 di intelligence. Non si tratta del totale assoluto degli attacchi avvenuti nel continente, impossibile da contare con precisione, ma di un insieme verificato e classificato che funziona come termometro affidabile.<\/p>\n\n\n\n

La lettura d’insieme conferma una tendenza che gli analisti osservano da due anni: gli attacchi non colpiscono pi\u00f9 solo le grandi imprese, ma puntano in modo crescente sulle infrastrutture pubbliche e sui servizi essenziali. La pubblica amministrazione risulta il bersaglio numero uno, con il 38% degli incidenti registrati. Le minacce informatiche in Europa<\/strong> non sono quindi un problema confinato al settore privato, riguardano direttamente i cittadini e la continuit\u00e0 dei servizi statali.<\/p>\n\n\n\n

4.900 incidenti analizzati: cosa dicono davvero i numeri ENISA<\/h2>\n\n\n\n

Dietro la cifra di 4.900 incidenti si nasconde una struttura precisa. ENISA classifica gli eventi per vettore di accesso iniziale, per categoria di minaccia e per settore colpito. Questa triplice classificazione permette di capire non solo quanti attacchi avvengono, ma soprattutto come iniziano e dove fanno pi\u00f9 danni. La tabella seguente riassume gli indicatori principali del rapporto.<\/p>\n\n\n\n

\n
Indicatore<\/th>Valore<\/th>Cosa misura<\/th><\/tr><\/thead>
Incidenti analizzati<\/td>~4.900<\/td>periodo luglio 2024 – giugno 2025<\/td><\/tr>\n
Settore pi\u00f9 colpito<\/td>Pubblica amministrazione (38%)<\/td>quota sugli incidenti registrati<\/td><\/tr>\n
Hacktivismo<\/td>~80%<\/td>quota sugli incidenti registrati<\/td><\/tr>\n
Phishing<\/td>60%<\/td>vettore di intrusione primario<\/td><\/tr>\n
Sfruttamento di vulnerabilit\u00e0<\/td>21,3%<\/td>vettore di accesso iniziale<\/td><\/tr>\n
Minacce web<\/td>27,3%<\/td>categoria di minaccia<\/td><\/tr>\n
Minacce alla tecnologia operativa (OT)<\/td>18,2%<\/td>categoria di minaccia<\/td><\/tr>\n
Rischi della catena di fornitura<\/td>10,6%<\/td>categoria di minaccia<\/td><\/tr>\n
Phishing potenziato dall’IA<\/td>oltre 80%<\/td>dell’ingegneria sociale osservata a livello globale (inizio 2025)<\/td><\/tr>\n<\/tbody><\/table>
Fonte: ENISA Threat Landscape 2025.<\/figcaption><\/figure>\n\n\n\n

Hacktivismo: l’80% degli incidenti ha una matrice ideologica<\/h3>\n\n\n\n

Il dato pi\u00f9 sorprendente del rapporto riguarda l’hacktivismo. Secondo ENISA, l’attivismo digitale rappresenta quasi l’80% degli incidenti registrati nel periodo. La cifra va letta con attenzione: la maggior parte di questi attacchi consiste in azioni a basso impatto tecnico, soprattutto campagne di negazione del servizio (DDoS) che mettono offline siti istituzionali per poche ore. Il loro peso sul volume totale \u00e8 enorme, l’impatto economico per singolo episodio resta invece contenuto.<\/p>\n\n\n\n

La spiegazione \u00e8 geopolitica. Le tensioni internazionali, in particolare il conflitto in Ucraina e le crisi mediorientali, hanno trasformato i gruppi hacktivisti in strumenti di pressione e propaganda. Colpire un portale ministeriale europeo costa poco, genera titoli sui giornali e serve a inviare un messaggio politico. Per questo le minacce informatiche in Europa<\/strong> hanno assunto una dimensione sempre pi\u00f9 dichiaratamente ideologica.<\/p>\n\n\n\n

Phishing al 60%, la porta d’ingresso ancora preferita<\/h3>\n\n\n\n

Se l’hacktivismo domina per numero, il phishing domina come tecnica di intrusione. ENISA indica il phishing come vettore primario nel 60% dei casi analizzati. La posta elettronica ingannevole resta lo strumento pi\u00f9 economico e pi\u00f9 efficace per ottenere un primo accesso, perch\u00e9 sfrutta l’errore umano invece di una falla tecnica. Lo sfruttamento diretto di vulnerabilit\u00e0 software, pur in crescita, si ferma al 21,3% degli accessi iniziali. Chi vuole difendersi deve quindi investire tanto nella formazione del personale quanto negli aggiornamenti di sistema. Approfondiamo questo punto nella nostra guida al phishing nel browser<\/a>.<\/p>\n\n\n\n

La pubblica amministrazione nel mirino: il 38% degli attacchi<\/h2>\n\n\n\n

Con il 38% degli incidenti, la pubblica amministrazione \u00e8 il bersaglio pi\u00f9 colpito del 2025. La ragione \u00e8 duplice. Da un lato, gli enti pubblici gestiscono dati sensibili di milioni di cittadini, dalle cartelle cliniche ai redditi, un patrimonio prezioso per chiunque voglia rivenderlo o usarlo per ricatti. Dall’altro, molte amministrazioni operano ancora con sistemi datati, budget limitati e personale tecnico insufficiente, una combinazione che le rende relativamente facili da colpire.<\/p>\n\n\n\n

L’effetto a catena preoccupa pi\u00f9 del singolo furto di dati. Quando un comune o un ospedale subisce un attacco, a fermarsi sono servizi reali: prenotazioni, certificati, pagamenti, in alcuni casi le cure. La direttiva europea NIS2 nasce proprio per alzare l’asticella della protezione negli enti essenziali. Abbiamo analizzato obblighi e sanzioni nel dettaglio nell’articolo dedicato alla direttiva NIS2 in Italia<\/a>.<\/p>\n\n\n\n

L’intelligenza artificiale riscrive le regole del phishing<\/h2>\n\n\n\n

Uno dei segnali pi\u00f9 chiari del rapporto riguarda il ruolo dell’intelligenza artificiale generativa. ENISA stima che, gi\u00e0 all’inizio del 2025, oltre l’80% dell’attivit\u00e0 di ingegneria sociale osservata a livello globale facesse uso di phishing potenziato dall’IA. I modelli linguistici consentono di scrivere email perfette in italiano, tedesco o francese, senza gli errori grammaticali che un tempo tradivano la truffa. Il risultato \u00e8 che la regola classica del “diffida dai messaggi scritti male” non funziona pi\u00f9.<\/p>\n\n\n\n

L’automazione cambia anche la scala. Un singolo aggressore pu\u00f2 generare migliaia di varianti personalizzate di un messaggio, ognuna costruita sul profilo della vittima ricavato dai social network. A questo si aggiunge la minaccia dei deepfake vocali, usati per impersonare dirigenti e autorizzare bonifici fraudolenti. Le minacce informatiche in Europa<\/strong> entrano cos\u00ec in una fase in cui la qualit\u00e0 dell’inganno cresce pi\u00f9 in fretta della capacit\u00e0 media di riconoscerlo.<\/p>\n\n\n\n

Ransomware, la minaccia che si frammenta<\/h2>\n\n\n\n

Il ransomware resta al centro dell’attivit\u00e0 criminale, ma cambia forma. Secondo ENISA, la pressione delle forze dell’ordine, con operazioni internazionali che hanno smantellato infrastrutture di gruppi noti, ha spinto i criminali a decentralizzare le operazioni. Al posto di poche grandi bande gerarchiche si moltiplicano affiliati pi\u00f9 piccoli e mobili, che cambiano marchio con facilit\u00e0 per sfuggire alle indagini.<\/p>\n\n\n\n

Cambia anche la tattica di estorsione. La semplice cifratura dei dati non basta pi\u00f9: gli aggressori rubano le informazioni prima di bloccarle e minacciano di pubblicarle, una pratica nota come doppia estorsione. In alcuni casi si arriva alla tripla estorsione, con contatti diretti a clienti e partner della vittima per aumentare la pressione. In Italia il fenomeno ha numeri precisi, raccolti nel nostro approfondimento sul ransomware in Italia secondo Clusit<\/a>.<\/p>\n\n\n\n

L’Italia nel contesto europeo: i numeri dell’ACN<\/h2>\n\n\n\n

Il quadro europeo trova un riscontro diretto nei dati italiani. La sintesi operativa dell’Agenzia per la Cybersicurezza Nazionale (ACN), nei suoi bollettini mensili, restituisce l’intensit\u00e0 del fenomeno sul territorio. Nel mese di aprile 2025, per esempio, la rendicontazione operativa ha registrato 163 eventi cyber, con 260 vittime confermate e 426 asset potenzialmente compromessi. Gli attacchi ransomware nel solo mese sono stati 24. Tra i settori citati tra i colpiti figura quello dei trasporti e della logistica.<\/p>\n\n\n\n

\n
Indicatore (aprile 2025)<\/th>Valore<\/th><\/tr><\/thead>
Eventi cyber registrati<\/td>163<\/td><\/tr>\n
Vittime confermate<\/td>260<\/td><\/tr>\n
Asset potenzialmente compromessi<\/td>426<\/td><\/tr>\n
Attacchi ransomware nel mese<\/td>24<\/td><\/tr>\n
Settore citato tra i colpiti<\/td>Trasporti e logistica<\/td><\/tr>\n<\/tbody><\/table>
Fonte: sintesi operativa mensile ACN, aprile 2025 (dato mensile, non annuale).<\/figcaption><\/figure>\n\n\n\n

Questi numeri vanno letti per quello che sono, una fotografia mensile e non un totale annuale. Indicano per\u00f2 una cadenza sostenuta: decine di vittime confermate e una ventina di episodi ransomware al mese descrivono un Paese in cui l’allarme \u00e8 permanente. La coerenza con il dato europeo \u00e8 evidente, dalla prevalenza degli attacchi alle infrastrutture al peso del ransomware sul tessuto produttivo.<\/p>\n\n\n\n

Quando le istituzioni europee diventano bersaglio diretto<\/h2>\n\n\n\n

Il 2026 ha portato il problema fin dentro le sedi delle istituzioni dell’Unione. Il 24 marzo 2026 la Commissione europea ha dichiarato di essere stata colpita da un attacco informatico che ha interessato l’infrastruttura cloud su cui poggia la piattaforma web Europa. Le prime analisi hanno indicato segnali di esfiltrazione di dati. La Commissione ha comunicato di aver contenuto la violazione entro nove ore, un tempo di reazione che mostra quanto la velocit\u00e0 di risposta sia diventata la vera misura della resilienza.<\/p>\n\n\n\n

Non era un caso isolato. A febbraio 2026 la stessa Commissione europea, insieme all’autorit\u00e0 olandese per la protezione dei dati e al Consiglio giudiziario dei Paesi Bassi, aveva confermato di essere stata violata sfruttando vulnerabilit\u00e0 zero-day critiche in Ivanti Endpoint Manager Mobile. Lo stesso prodotto \u00e8 al centro della campagna che abbiamo documentato nell’analisi sull’attacco Ivanti del 2026<\/a>. La lezione \u00e8 netta: le infrastrutture di gestione remota dei dispositivi sono diventate un bersaglio strategico, perch\u00e9 chi le controlla controlla l’intera flotta aziendale.<\/p>\n\n\n\n

Impatto sul mercato della cybersicurezza europea<\/h2>\n\n\n\n

La pressione descritta da ENISA si traduce in domanda di mercato. Le imprese europee, spinte anche dai nuovi obblighi normativi, stanno aumentando la spesa in difesa, in particolare in tre aree: rilevamento e risposta gestiti, sicurezza delle identit\u00e0 e protezione della catena di fornitura. Quest’ultimo punto \u00e8 cruciale, perch\u00e9 il 10,6% degli incidenti analizzati passa proprio dai fornitori, l’anello che molte organizzazioni controllano meno.<\/p>\n\n\n\n

Per le aziende italiane il nodo \u00e8 strutturale. La carenza di personale qualificato resta il principale freno alla difesa, e spinge molte realt\u00e0 verso servizi gestiti esterni piuttosto che verso team interni. Cresce anche l’interesse per l’assicurazione cyber, che per\u00f2 richiede requisiti minimi di sicurezza sempre pi\u00f9 stringenti per essere sottoscritta. Il mercato, in altre parole, premia chi pu\u00f2 dimostrare di avere gi\u00e0 le difese di base, dall’autenticazione a pi\u00f9 fattori al backup verificato.<\/p>\n\n\n\n

NIS2 e Cyber Resilience Act: la risposta normativa europea<\/h2>\n\n\n\n

L’Unione europea ha scelto di rispondere alle minacce informatiche in Europa<\/strong> con la leva della regolamentazione. La direttiva NIS2 estende gli obblighi di sicurezza a migliaia di soggetti considerati essenziali o importanti, dall’energia alla sanit\u00e0, dai trasporti alla pubblica amministrazione, con sanzioni che possono raggiungere milioni di euro per le imprese inadempienti. L’obiettivo \u00e8 trasformare la sicurezza da costo opzionale a requisito di legge.<\/p>\n\n\n\n

A questa si affianca il Cyber Resilience Act, che sposta l’attenzione sui prodotti: dispositivi e software venduti nell’Unione dovranno rispettare requisiti di sicurezza fin dalla progettazione e ricevere aggiornamenti per tutto il loro ciclo di vita. La combinazione delle due norme costruisce un perimetro comune europeo. La sfida, come sempre, \u00e8 la capacit\u00e0 di applicarle davvero, perch\u00e9 il rischio \u00e8 che gli obblighi restino sulla carta mentre gli attacchi corrono.<\/p>\n\n\n\n

Confronto: come si posiziona l’Europa rispetto al resto del mondo<\/h2>\n\n\n\n

Il profilo europeo ha caratteristiche proprie. Mentre negli Stati Uniti il dibattito ruota soprattutto attorno al ransomware contro le grandi aziende e alle infrastrutture critiche, in Europa il peso dell’hacktivismo a sfondo geopolitico \u00e8 nettamente superiore. La prossimit\u00e0 ai teatri di conflitto e la presenza delle istituzioni dell’Unione rendono il continente un bersaglio simbolico oltre che economico.<\/p>\n\n\n\n

C’\u00e8 poi una differenza di approccio. L’Europa punta in modo deciso sulla regolamentazione orizzontale, NIS2 e Cyber Resilience Act ne sono la prova, mentre altri sistemi privilegiano linee guida settoriali e incentivi di mercato. Questa scelta ha un vantaggio, fissa standard minimi comuni, e un costo, la complessit\u00e0 di adeguamento per le piccole e medie imprese, che in Italia rappresentano la spina dorsale del sistema produttivo.<\/p>\n\n\n\n

Cosa possono fare adesso le aziende e le amministrazioni italiane<\/h2>\n\n\n\n

I dati ENISA suggeriscono priorit\u00e0 concrete. Visto che il phishing apre il 60% degli attacchi, la prima difesa \u00e8 umana e organizzativa: formazione continua, simulazioni di attacco e procedure chiare per verificare richieste sospette di pagamento o di accesso. Subito dopo viene l’autenticazione a pi\u00f9 fattori, che neutralizza gran parte delle credenziali rubate, e la gestione tempestiva delle patch, dato che oltre un quinto degli accessi iniziali sfrutta vulnerabilit\u00e0 note.<\/p>\n\n\n\n