Il panorama delle minacce cyber è in rapida e continua evoluzione, con un livello di sofisticazione crescente che preoccupa sempre di più. Ne abbiamo parlato con Pierluigi Paganini, esperto di cybersecurity e Cybercrime Analyst, che, anticipando alcuni temi del suo intervento al Cybersecurity Summit del prossimo 19 novembre 2025 a Roma, ha evidenziato tre tendenze particolarmente critiche: l’aumento della capacità evasiva degli attaccanti, la diffusione del modello Cybercrime-as-a-Service (e in particolare del Ransomware-as-a-Service) e l’adozione dell’intelligenza artificiale da parte dei cyber criminali.
TIG. Il panorama delle minacce cyber è in continua evoluzione. Quali sono, a tuo giudizio, le tendenze che ritieni più preoccupanti per persone, aziende, organizzazioni e Nazioni?
Pierluigi Paganini. Quello che preoccupa maggiormente è, oltre alla continua evoluzione delle minacce, il livello di sofisticazione raggiunto, che aumenta costantemente, non solo di anno in anno, ma direi quotidianamente. Questo si traduce in una maggiore incisività del fenomeno criminale, soprattutto considerando le azioni legate ad attori statali.
Un altro aspetto cruciale è l’aumento della capacità evasiva degli attaccanti. L’ultimo rapporto ENISA ci metteva in guardia proprio su questo, sottolineando come gli attaccanti riescano a essere sempre più evasivi nelle loro azioni. Eludono i sistemi progettati per la difesa, modificano il proprio comportamento per non essere rilevati dai controlli di sicurezza.
Tra le tendenze più preoccupanti poi il Cybercrime-as-a-Service, un modello operativo che permette al crimine informatico di estendere i propri servizi ad altri attori “non esperti” che desiderano entrare nell’arena criminale. Ciò significa che oggi anche attori senza avanzate capacità tecniche possono sferrare attacchi estremamente pericolosi.
TIG. Infatti, si parla sempre più di “mafie 4.0” per indicare come il crimine tradizionale si stia spostando nel cyberspazio, trovando a disposizione risorse pronte all’uso per le proprie attività illecite …
Pierluigi Paganini. Si sta assistendo a una preoccupante fusione tra crimine ordinario e crimine informatico. Il crimine informatico dispone di grossi capitali e la volontà di reinvestirli in attività remunerative. Questo modello “as-a-Service” risponde a tale esigenza, consentendo anche a figure nell’ecosistema criminale senza competenze tecniche di dedicarsi al crimine informatico con risultati potenzialmente devastanti.
TIG. In questa situazione già critica, è arrivata l’intelligenza artificiale. Dobbiamo preoccuparci degli sviluppi in corso, considerando che l’AI è a disposizione dei cybercriminali? Stai notando anche azioni per contrastare questo utilizzo, ad esempio da parte di chi sviluppa gli strumenti GenAI, per evitare gli scopi malevoli, o la tecnologia è a completa disposizione di chiunque?
Pierluigi Paganini. Sicuramente l’AI sta cambiando in modo significativo il panorama delle minacce, sia in ambito di difesa che di attacco. Lato difesa, l’automazione offerta dall’intelligenza artificiale è fondamentale per rispondere ad attacchi sempre più sofisticati e a volumi di attacco sempre più elevati. Le nuove soluzioni incorporano questa tecnologia per supportare la risposta alle minacce cibernetiche.
Tuttavia, stiamo osservando un uso crescente dell’AI da parte degli attaccanti. Le motivazioni non derivano solo dalle nostre osservazioni, ma anche da quelle delle aziende fornitrici di intelligenza artificiale generativa. Ad esempio, gli ultimi due rapporti pubblicati da OpenAI, l’azienda che ha sviluppato ChatGPT, confermano che la loro piattaforma è stata utilizzata per:
- Campagne di disinformazione.
- Campagne di phishing molto articolate, rapide e sofisticate.
- Sviluppo di codici malevoli da parte di attori Nation State.
Il fatto che queste aziende se ne accorgano è un primo passo. Però, l’elevato livello di automazione fa sì che, pur essendo consapevoli del fenomeno, la situazione diventi una rincorsa tra gatto e topo. La domanda è: fino a che punto saremo capaci di contrastare questi utilizzi? Non si può pensare di introdurre feature nei modelli linguistici che li blocchino automaticamente in caso di uso malevolo. È un discorso simile a quello che abbiamo affrontato anni fa con le piattaforme dei social network. Dobbiamo ricordare che le aziende che sviluppano questi tool hanno fini di lucro, sono guidate dal profitto. Bisogna quindi trovare un equilibrio tra le azioni di contrasto e la garanzia del loro profitto. Anche i social network potrebbero fare di più per bloccare le campagne di disinformazione, e in parte lo fanno, ma siamo ancora lontani dall’eradicare il fenomeno. La situazione con l’AI è analoga.
TIG. Parliamo del Ransomware. Lo vedi ancora come la minaccia più pericolosa, soprattutto in Italia dove causa molti danni?
Pierluigi Paganini. Il Ransomware è un problema sentito su scala mondiale e continua a essere incisivo sul tessuto di qualunque organizzazione governativa o azienda privata. È un problema globale, che osserviamo in particolare in Europa, dove l’ultimo rapporto ENISA lo indica come la minaccia principale per la collettività. La minaccia del Ransomware continua a evolvere, e ciò che stiamo osservando è la crescente capacità degli attori di essere sempre più evasivi nello sviluppo di questi codici malevoli. Inoltre, il modello Ransomware-as-a-Service (parte del Cybercrime-as-a-Service) permette a un numero sempre maggiore di attori di dedicarsi a questa pratica.
La “buona notizia” è che l’azione delle forze dell’ordine incide su questi fenomeni. Tuttavia, spesso assistiamo alla genesi di numerosi nuovi gruppi Ransomware ogni volta che uno viene smantellato. Rimane quindi un fenomeno estremamente pericoloso.
TIG. Parliamo di una delle maggiori preoccupazioni dei CISO: la IT supply chain. Perché gli attacchi alla supply chain sono così critici e come possono le aziende gestire il rischio dei fornitori digitali? Qual è il ruolo della compliance a norme come NIS2 e DORA?
Pierluigi Paganini. Ci troviamo a fronteggiare una vera e propria emergenza riguardo alla supply chain. Nonostante gli esperti ci abbiano avvertiti da anni, ci siamo accorti che la supply chain può diventare un vulnus se non viene garantito un livello di sicurezza omogeneo al suo interno.
L’attaccante, osservando una filiera, può colpire l’anello più debole, compromettendo l’efficacia delle operazioni dell’intera filiera. Un attacco alla supply chain può avere quindi un effetto a cascata: colpendo un fornitore, si può ottenere accesso a tutte le aziende da esso servite, il che è estremamente devastante.
Un altro elemento critico è che questi attacchi sfruttano il trust, ovvero la fiducia nel provider. Se l’attacco passa da un fornitore con cui si ha una relazione decennale, o una cieca fiducia nelle sue operazioni, è più facile che passi inosservato. Sfruttando questa relazione di fiducia, gli attacchi alla supply chain sono estremamente difficili da individuare e possono avere impatti devastanti.
Come si contrastano? Solo innalzando il livello di sicurezza su tutta la filiera. Questo è un elemento ripreso da regolamenti come DORA in ambito bancario e la direttiva NIS 2, che pongono un’attenzione importante sul livello di sicurezza dell’intera catena di approvvigionamento. Garantire che l’elemento più debole della filiera abbia requisiti stringenti di sicurezza aumenta in modo significativo la resilienza dell’intera supply chain.
Tuttavia, il problema è che le norme non hanno fornito indicazioni chiare, efficaci ed efficienti su come fare. Questo è dovuto a una mancanza di chiarezza, difficoltà nel recepire le indicazioni e scarso bilanciamento tra operatività e capacità di implementazione. Da un lato sono stati introdotti nelle normative maggiori livelli di attenzione per le filiere, dall’altro lato, non ci si è sforzati di capire quanto sia realmente applicabile la norma o i suggerimenti forniti.
TIG. Per concludere, dato il panorama in continua evoluzione e tutti i punti di attenzione discussi, come dovrebbero cambiare gli approcci alla cybersecurity in azienda? Qual è un consiglio pratico che daresti oggi a un’azienda che vuole rafforzare la propria postura di sicurezza?
Pierluigi Paganini. Come sottolineo sempre, la cybersecurity richiede un approccio multilivello e olistico. Oggi abbiamo bisogno della componente tecnologica, ma non possiamo assolutamente dimenticarci della componente umana, sfruttata dalla quasi totalità degli attacchi. In un approccio olistico, dobbiamo essere in grado di coniugare la componente tecnologica con le capacità e le conoscenze umane. Questa capacità di unire ambiti diversi, di mettere al tavolo, anche in situazioni di crisi, capacità, conoscenze e professionalità differenti, permette di fronteggiare la minaccia cibernetica in modo più efficace. Quando parlo di più professionalità, intendo avere allo stesso tavolo non solo il super tecnico o l’esperto, ma anche:
- Una componente legale.
- Un analista geopolitico.
- Chi ha capacità economiche, per valutare gli impatti o prevedere l’applicazione di determinati modelli di difesa nel medio e lungo termine.
Questo approccio multilivello è oggi necessario per affrontare un panorama delle minacce che varia con una cadenza che definirei quotidiana.
—–
L’evoluzione del PANORAMA DELLE MINACCE CYBER sarà presentata e discussa da Pierluigi Paganini in occasione del CYBERSECURITY SUMMIT 2025, organizzato da The Innovation Group il prossimo 19 novembre a Roma.
L’Agenda è ora consultabile online: iscriviti per riservarti il posto!
