Nell’epoca agentica, l’industria del cybercrime può essere meglio contrastata da una difesa integrata e comune con la supply chain. Il report Acronis della seconda metà del 2025 descrive precisamente i numeri della situazione e le migliori ipotesi di difesa.
Una cosa è chiara: nel panorama della cyber security odierna, la velocità non va più considerata un vantaggio, bensì un prerequisito per la sopravvivenza. C’è una linea netta tra il passato anche forte della difesa reattiva e un futuro che deve necessariamente essere guidato dall’intelligenza artificiale, la stessa usata dagli attaccanti.
Fattore tecnico e fattore umano
La chiave della resistenza ad attacchi sempre nuovi risiede nella capacità di gestire una telemetria ricca e onnicomprensiva. “Ma non basta più raccogliere dati, perché “le organizzazioni criminali si sono industrializzate: serve un’analisi potenziata da un’AI autonoma capace di agire in tempo reale”, osserva Umberto Zanatta, senior solutions engineer di Acronis, quindi la difesa deve rispondere colpendo i punti di monetizzazione degli attacker, principalmente il phishing e il ransomware.
Per farlo, Acronis sta dotando i propri sistemi di agenti AI in grado di prendere autonomamente decisioni contestuali, neutralizzando la minaccia prima che l’operatore umano possa anche solo accorgersi dell’anomalia.
Tuttavia, la tecnologia da sola non basta e bisogna coinvolgere anche l’uomo, che è ancora un passo indietro. “È fondamentale non trascurare le basi, perché la sicurezza parte dall’elemento umano, dalla scelta di password robuste alla formazione continua del personale”, ha spiegato Irina Artioli, security solutions consultant di Acronis. Inoltre, Artioli pone un forte accento sulla supply chain: “in un mondo interconnesso, la vulnerabilità di un fornitore diventa la vulnerabilità di tutti: per prevenire l’ingresso dei criminali nei dati aziendali, formazione e consapevolezza devono estendersi lungo tutta la catena del valore”.
Il Report H2 2025: la previsione diventa cronaca
Il report offre un’analisi operativa per le decisioni strategiche. Il cybercrime è ormai un modello as-a-service scalabile e richiede una difesa industrializzata. La velocità di risposta deve passare da ore a secondi, l’integrazione nativa deve prendere il posto della collazione di strumenti separati, gli LLM devono identificare spostamenti di privilegi e anomalie nei workflow.
Il report semestrale analizza l’attività delle minacce a livello globale sulla base dei dati di telemetria raccolti dai sensori proprietari e analizzati dalla Acronis Threat Research Unit (TRU). Le valutazioni fatte hanno anticipato gli avvenimenti successivi: negli ultimi tempi, infatti, l’AI non ha solo amplificato il numero degli attacchi, ma ha anche compresso i tempi di esecuzione. Analogamente, la difesa dipende dagli agenti: “per andare su larga scala dobbiamo aggiungere più agenti difensivi autonomi, perché un attacco automatico va contenuto già nei primi secondi”, spiega Artioli.
Certamente un problema strutturale risiede nel cosiddetto modello Frankenstein adottato in azienda: nel tempo, le organizzazioni compongono stack di sicurezza composti da decine di pacchetti software, spesso malamente collegati tra loro: ciascuna giuntura tra tool (firewall, antivirus, endpoint) diventa un possibile punto di rottura. Inoltre il report rivela che il 100% delle vulnerabilità oggi individuate sui sistemi gestiti è classificato come High o Critical, perché gli attaccanti aumentati dall’AI si inseriscono proprio in queste zone d’ombra, dove le policy sfumano.
Cresce l’attacco agli MSP
Il bersaglio d’elezione per attacchi destinati a colpire centinaia di clienti a cascata è rivolto agli MSP (Managed service provider). Questo è un target mirato. Un dato è sorprendente: il 100% delle vulnerabilità rilevate sulle piattaforme MSP è classificato come High o Critical: qui il collo di bottiglia è la velocità di patching. L’epoca in cui il cybercriminale era un ragazzo che si divertiva a sfidare sistemi protetti è finita: il phishing rappresenta il 52% degli attacchi agli MSP. I criminali utilizzano l’AI per generare malware polimorfico e abusano di strumenti legittimi come PowerShell. L’AI analizza i workflow di Slack e Teams – dove gli attacchi passano dal 12% al 31% – agendo con modalità indistinguibili da quelle di un amministratore di sistema.
Pattern d’attacco in Italia
In Italia l’accesso iniziale avviene soprattutto tramite Remote desktop protocol (RDP) esposto e abuso di credenziali (valide o compromesse); la tecnica di estorsione applica il modello della double extortion, che – per massimizzare la pressione sulla vittima – prevede sia la cifratura dei sistemi, sia il leak pubblico dei dati sottratti. Parlando di esposizione, sebbene la Spagna registri i valori più alti, l’Italia mostra picchi di rilevamento malware sincronizzati con quelli di Germania e Francia. La percentuale normalizzata di rilevamenti malware in Italia è oscillata tra l’1,65% e il 3,57% durante il 2025. I targeting prevalenti sono MSP e Telco: a livello globale, l’Italia rappresenta il 3% delle vittime totali sia per quanto riguarda gli MSP, sia per gli operatori di Tlc. Il sistema a pacchetti scollegati è un ormai un debito tecnico. Per opporsi a una minaccia che corre a velocità folli, serve una transizione verso una cyber protection integrata e una formazione continua di tutte le persone che accedono al sistema. Analisi sempre migliori su una telemetria ricca, operate su una piattaforma nativa e integrata, possono rispondere ai cybercriminali AI-driven, contrastandoli efficacemente sul loro stesso terreno.