Secondo il rapporto mensile di CSIRT Italia, a novembre gli eventi cyber sono in calo a doppia cifra.

“Il nuovo operational summary dell’ACN conferma un quadro di minaccia ‘a fisarmonica’”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

In particolare, secondo Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “emerge un dato: calano gli eventi segnalati, ma crescono gli incidenti con impatto confermato, segno che la pressione offensiva si sposta sempre più sulla qualità degli attacchi, non sulla quantità“.

Operational summary ACN: i settori più colpiti a novembre

Dal nuovo rapporto mensile dell’ACN emerge che “a novembre 2025 gli eventi cyber monitorati scendono a 182 (-32% rispetto a ottobre), ma restano concentrati su PA centrale, PA locale e Telco, settori strutturalmente esposti”, come osserva Paganini.

Infatti, il numero di eventi cyber calano rispetto ai 267 del mese precedente. Invece gli incidenti (54) aumentano del 13% rispetto ad ottobre. E Pubblica amministrazione centrale, PA locale e Tlc rimangono i settori più colpiti ovvero rilevano il numero più alto di vittime di eventi cyber.

Inoltre, gli attacchi attribuibili all’hacktivism sono passati dal 49% del mese precedente al 31% degli eventi complessivi di novembre. “Interessante è infatti il calo dell’hacktivism, in controtendenza rispetto al Rapporto Clusit 2025, che indica l’hacktivismo come vettore dominante in Italia (54% degli attacchi noti nel primo semestre)”, secondo Pierluigi Paganini.

Il CSIRT Italia afferma che l’andamento è riconducibile al calo degli attacchi di tipo DDoS registrati nel periodo, che, prevalentemente, riguardano il settore dei Trasporti e la PA, non solo a livello locale, ma anche centrale.

In questo ambito, attacchi DDoS sono sferrati contro siti internet di talune società di gestione aeroportuale, operanti su differenti scali nazionali: hanno causato temporaneamente inaccessibilità dei servizi web, indisponibilità che si limitano a intervalli di alcuni minuti.

“PA centrale e locale, trasporti e telecomunicazioni confermano che il perimetro critico nazionale è ormai bersaglio strutturale, con il DDoS che torna a essere rumore di fondo più che fenomeno straordinario, pur colpendo nodi sensibili come la gestione aeroportuale”, mette in guardia Dario Fadda.

Pmi del manifatturiero nel mirino

Nello stesso quadro, e in linea con le osservazioni dei mesi scorsi, CSIRT Italia ha rilevato rivendicazioni di compromissioni di interfacce di sistemi SCADA, associati a piccole aziende del settore manifatturiero.

Le realtà, possibilmente coinvolte, ricevono prontamente le informazioni, permettendo così di effettuare le verifiche tecniche necessarie e di mitigare i rischi cyber.

Un’azione preventiva sempre più matura

Per monitorare la superficie esposta dei soggetti italiani, l’ACN ha spedito 423 comunicazioni di allerta a pubbliche amministrazioni e aziende che contavano 614 servizi Internet a rischio, con prodotti potenzialmente vulnerabili. Gli alert riguardavano soprattutto le CVE di WatchGuard Firebox (CVE-2025-59396) e SolarWinds Web Help Desk (CVE-2025-40549, CVE-2025-40548 e CVE-2025-40547).

Analizzando i log derivanti dagli infostealer, è stata possibile l’identificazione di 112 account riconducibili a soggetti istituzionali, tutti tempestivamente allertati.

“Preoccupano, da un lato, la persistenza di minacce avanzate come le varianti di BadCandy su Cisco IOS XE e lo sfruttamento mirato di vulnerabilità in prodotti di larga diffusione (WatchGuard, SolarWinds, stack open source), dall’altro l’emersione costante di superfici esposte e account compromessi tramite infostealer, che raccontano un Paese ancora troppo lento nel chiudere ciò che non dovrebbe essere esposto“, avverte Dario Fadda.

Inoltre, le attività di monitoraggio proattivo hanno rilevato una nuova attività malevola per installare varianti aggiornate della webshell nota come BadCandy, legata a minacce di tipo evoluto e la cui osservazione risale all’ottobre 2023, con potenziale impatto su prodotti Cisco IOS XE esposti in rete.

“I dati ACN sul monitoraggio proattivo, 423 allertamenti per 614 servizi esposti e 1.420 comunicazioni CSIRT Italia, mostrano un’azione preventiva sempre più matura, coerente con la traiettoria delineata da ENISA Threat Landscape 2025, che invita a passare da difesa ‘di perimetro’ a modelli intelligence driven e zero trust“.

Queste evidenze hanno portato ad analizzare il rischio in maniera mirata, valutando la diffusione sul territorio nazionale di questo impianto malevolo.

Una difesa sempre più industrializzata

I vettori di attacco più monitorati a novembre 2025 sono risultati le mail, l’uso di account validi e lo sfruttamento di vulnerabilità già conosciute.

Le nuove CVE sono inoltre a quota 3.115, in netto calo rispetto al mese precedente (−1.269).

A novembre 2025, il CSIRT Italia ha infine eseguito 1.420 comunicazioni dirette, in declino rispetto ad ottobre, per avvertire amministrazioni ed aziende italiane di eventuali compromissioni o fattori di rischio.

“Il volume di comunicazioni di allertamento e la proattività del CSIRT Italia restituiscono l’immagine di una difesa sempre più industrializzata, ma anche la necessità urgente di fare il salto da risposta reattiva a igiene digitale di base sistemica“, sottolinea Dario Fadda.

Molto “importante è la recente introduzione da parte di ACN del referente CSIRT, nominabile per ogni organizzazione del perimetro: azione che aumenterà l’efficienza e tempestività delle segnalazioni di incidente a livello Italia”, conclude Dario Fadda.