ENISA ha pubblicato il Threat Landscape 2025, il report che analizza le principali tendenze e minacce alla sicurezza informatica dell’Unione Europea. Il documento rivela un panorama in continua evoluzione, caratterizzato da gruppi di minaccia che riutilizzano strumenti e tecniche, introducono nuovi modelli di attacco, sfruttano vulnerabilità note e collaborano tra loro per colpire la resilienza digitale dell’UE.
Basato sull’analisi di 4.875 incidenti avvenuti tra il 1° luglio 2024 e il 30 giugno 2025, il report offre una panoramica completa delle principali minacce informatiche che interessano istituzioni, infrastrutture critiche e settori essenziali europei.
Punti salienti
- Tipologia di incidente: gli attacchi DDoS sono stati il tipo di incidente dominante e hanno rappresentato il 77% degli incidenti segnalati, la maggior parte dei quali è stata attuata da hacktivisti, mentre i cyber criminali rappresentano solo una piccola parte.
- Il ransomware è considerato la minaccia più influente nell’UE.
- L’hacktivism ha preso il sopravvento, rappresentando quasi l’80% del numero totale di incidenti, principalmente attraverso campagne DDoS a basso impatto che hanno preso di mira i siti web delle organizzazioni degli Stati membri dell’UE, con solo il 2% degli incidenti di hacktivism che hanno causato l’interruzione del servizio.
- I gruppi di minaccia affiliati allo Stato hanno intensificato costantemente le loro operazioni contro le organizzazioni dell’UE. Gli attori collegati allo Stato hanno condotto attività di cyberspionaggio contro la pubblica amministrazione, mentre i pubblici poteri dell’UE si sono trovati ad affrontare casi di manipolazione e interferenza di informazioni straniere (FIMI).
- Il phishing (60%), seguito dallo sfruttamento delle vulnerabilità (21,3%), sono i due principali punti di accesso alle intrusioni.
- Per quanto riguarda gli obiettivi valutati di questi incidenti, quasi l’80% sono stati incidenti guidati da ideologie, portati avanti esclusivamente da hacktivisti tramite attacchi DDoS.
Le tendenze chiave
Il report evidenzia una crescente convergenza tra attori malevoli, con tattiche e strumenti sempre più sovrapposti tra hacktivisti, cybercriminali e gruppi statali. Fenomeni come il faketivism mostrano intrusioni condotte da attori statali che si mascherano da hacktivisti.
Il metodo principale di intrusione iniziale, il phishing (inclusi vishing, malspam e malvertising) è identificato come il vettore principale, rappresentando circa il 60% dei casi osservati. Un trend chiave è rappresentato dall’uso dell’intelligenza artificiale, sia come strumento di automazione delle minacce (ad esempio nelle campagne di phishing-as-a-service) sia come nuovo punto di esposizione. All’inizio del 2025, oltre l’80% delle attività di social engineering osservate a livello globale risultava supportato da IA.
Cresce anche l’attenzione sugli attacchi alla supply chain e sui dispositivi mobili, in particolare quelli obsoleti.
Settori più colpiti
In cima alla lista dei bersagli si conferma la pubblica amministrazione (38,2%), seguita da trasporti (7,5%), infrastrutture e servizi digitali (4,8%), finanza (4,5%) e manifatturiero (2,9%). Il 53,7% degli incidenti ha riguardato entità essenziali, come definite dalla Direttiva NIS2, a conferma della sua centralità nel rafforzare la sicurezza europea.
Leggi il report completo ENISA Threat Landscape 2025
