Operational summary: report sulla gestione delle crisi cyber

L’Agenzia per la Sicurezza Nazionale ha pubblicato l’operational summary di aprile 2025, un documento che riporta su base mensile alcuni numeri e indicatori derivanti dalle attività operative dell’Agenzia utili per caratterizzare lo stato della minaccia cyber in Italia.

In particolare, il CSIRT Italia, articolazione tecnico-operativa dell’Agenzia, è hub nazionale delle notifiche obbligatorie e volontarie di incidenti previste per legge (Perimetro di Sicurezza Nazionale Cibernetica, Legge 28 giugno 2024, n. 90, Direttiva NIS) e riceve altresì informazioni provenienti da fonti aperte e commerciali nonché da altre articolazioni omologhe nazionali ed internazionali, che le condividono di iniziativa o in base ad accordi di collaborazione. Queste informazioni dotano l’Agenzia di un ampio cono di visibilità sullo stato della minaccia cyber a danno del sistema Paese e forniscono, dal punto di vista qualitativo, un quadro strutturato delle minacce e del livello di esposizione dei soggetti nazionali. Tutte le informazioni vengono studiate e valorizzate dagli operatori del CSIRT Italia, i quali nella fase di triage le analizzano e classificano come eventi cyber; per ognuno di questi vengono esperite una serie di attività a seconda del soggetto impattato e del tipo di evento, come:

• approfondire le informazioni a disposizione, analizzando i contenuti anche dal punto vista strettamente tecnico, quale lo studio dei malware, valutando il rischio d’impatto sistemico di vulnerabilità e incidenti;
• se necessario inviare richieste di informazioni ai soggetti;
• fornire supporto da remoto o in loco ai soggetti impattati;
• inviare comunicazioni ai soggetti impattati oppure a tutti i soggetti potenzialmente impattati;
• pubblicare alert o bollettini.

Ad aprile 2025 si è registrata una diminuzione del numero di eventi, mentre il numero di incidenti è rimasto sostanzialmente nella media rispetto ai sei mesi precedenti.

I settori con il maggior numero di vittime registrate sono stati Pubblica amministrazione centrale, Telecomunicazioni e Trasporti.

L’aumento degli eventi nel settore Telecomunicazioni è riconducibile ad un incremento dei tentativi di spearphishing segnalati dai soggetti coinvolti. È stata inoltre rilevata un’errata configurazione dei meccanismi di autenticazione della posta elettronica (DMARC, DKIM e SPF) sui server di numerosi soggetti istituzionali, prontamente allertati dal CSIRT Italia.

Nel corso del mese, in continuità con quanto già osservato nel mese precedente, si è registrata una ulteriore sensibile attenuazione delle campagne di hacktivism, riconducibili al contesto del conflitto russoucraino, che hanno preso di mira l’Italia dal dicembre 2024 al febbraio 2025. In particolare, si rileva una diminuzione di circa il 90% degli attacchi DDoS e dell’80% degli attacchi di defacem.

I vettori di attacco maggiormente rilevati ad aprile 2025 sono stati: campagne malevole veicolate tramite e-mail, utilizzo di credenziali valide precedentemente compromesse e sfruttamento di vulnerabilità note.

Fonte: Operational summary aprile 2025