Digital twin “cattivi”, deep fake, attacchi all’IA e alle auto connesse: la cybersecurity 2025 per Trend Micro

Intelligenza artificiale, supply chain, e adeguamento normativo. Sono i temi che caratterizzano il settore della cybersecurity italiana nel 2025 in base al dibattito che si è sviluppato in occasione del SecurityBarcamp di Trend Micro, il tradizionale approfondimento annuale sugli scenari organizzato del colosso della sicurezza informatica guidato da Eva Chen. L’intelligenza artificiale moltiplica i possibili punti di ingresso per sferrare un attacco informatico contro un’impresa, utilizzando ad esempio gli agenti IA per rubare dati, e abilita nuove tecniche di social engineering, con la creazione di falsi gemelli digitali. La digitalizzazione degli impianti produttivi ma anche dei prodotti, ad esempio i sistemi di bordo delle auto, crea per le imprese del manufacturing la necessità di monitorare la sicurezza dell’intera catena di fornitura. Infine, ci sono nuovi obblighi normativi, con la prima fase applicativa della Nis 2, la direttiva europea recepita dall’Italia nell’ottobre scorso.

Il punto di partenza sono i trend tecnologici del settore, contenuti nel report del colosso della sicurezza informatica sulle minacce che caratterizzeranno il 2025, dal titolo “The Easy Way In/Out: Securing The Artificial Future”. Li hanno presentati e commentati il country manager Alessandro Fontana, il technical director Alessio Agnello, e il senior threat researcher Marco Balduzzi. Sono stati calati nella realtà italiana dalle esperienze portate da Gianluca Galasso, direttore del servizio operazioni/ Csirt Italia dell’Agenzia per la cybersicurezza nazionale, Ivan Monti, chief information security officer di Ansaldo, David Neumarker, ciso di Aruba. In un contesto positivo per l’Italia sul fronte cyber.

«Nell’ultimo Global Cybersecurity Index siamo nel pier 1, quindi fra i 46 paesi più virtuosi – segnala Galasso  -. Anche nel cyberindex realizzato da Enisa in Europa abbiamo fatto dei passi avanti».

Il mercato del cybercrime: nel 2024 a livello internazionale rubati 260 milioni di dollari in un semestre, riscatti sempre  più costosi, in Italia vittime in aumento del 42%

Stiamo parlando di un’industria in forte crescita. Marco Balduzzi, che fa parte del team di ricerca globale di Trend Micro, indica che nel 2024, in un semestre, con i ransomware sono stati rubati 260 milioni di dollari. «La cosa rilevante è che negli ultimi anni il riscatto medio è passato da 200mila a 1 milione e mezzo di dollari. Il motivo è che gli attacchi sono più mirati, verso grosse organizzazioni che gestiscono molto dati sensibili, come gli ospedali. I gruppi criminali prendono il controllo della rete, fanno lateral movement sul server, esfiltrano in media da 10 a 100 terabyte di dati, e poi chiedono il riscatto».

Il costo del cybercrime a livello globale nel 2015 era intorno ai 3 trilioni di dollari, quest’anno supererà i 10 trilioni di dollari, con un aumento del 15% anno su anno. Nei marketplace del cosiddetto dark web, fino a dieci anni fa nel 65% dei casi si vendeva droga. Oggi, oltre il 50% è rappresentato da servizi di criminalità digitale. C’è anche una sorta di evoluzione del modello di business: «una volta si comprava un software malevolo, e poi bisognava saperlo usare per sferrare l’attacco. Ora invece si paga un servizio», quindi si delega l’esecuzione a un professionista o a un’organizzazione.

L’attività dell’Agenzia nazionale contro il cybercrime conferma la crescita del settore. L’Acn nell’intero anno ha gestito quasi 2mila eventi, il 42% in più rispetto al 2023. «Noi classifichiamo come eventi tutte le situazioni che possono trasformarsi o meno in incidente – spiega Galasso -. Di questi, sono 584 quelli su cui abbiamo lavorato, quasi il doppio rispetto all’anno scorso. E le vittime sono salite del 124%. Gli attacchi Ddos sono saliti del 64%, i ransomware del 21%».

Con la prima di queste due tipologie citate, si colpisce l’obiettivo con una sorta di bombardamento di traffico che arriva da diverse fonti e che sostanzialmente lo mette fuori uso. Con i ransomware, invece, si entra in un sistema e si blocca l’accesso, chiedendo il pagamento di un riscatto per ripristinarne il funzionamento.

Intelligenza artificiale protagonista nel 2025: deepfake, agenti IA usati come punti di accesso, nuove tecniche di ransomware, punti deboli nell’automotive

Nel 2025, gli attacchi ransomware sono visti in aumento, ma cambiano le strategie: «prevediamo meno phishing, perché spesso basta bucare una Vpn. In generale, è sempre più facile avere i dati senza fare phishing», spiega il technical director di Trend Micro, Agnello.

Un nuovo obiettivo degli attacchi sono gli agenti IA: vengono presi di mira per avere accesso alla grande mole di dati a cui hanno accesso. O anche come veri e propri mezzi per effettuare attività dannose, ad esempio sferrare un attacco Ddos rendendo inservibili determinati servizi aziendali. Per contrastare questi attacchi, Trend Micro consiglia di facilitare la visibilità end to end su questi software di IA, attraverso il monitoraggio costante dei dati.

Le tecniche di social engineering, per carpire informazioni e dati in modo truffaldino, si avvarranno sempre più di deepfake. Vengono usati i modelli di intelligenza artificiale generativa per riprodurre la personalità, lo stile, le abitudini di una persona creando gemelli digitali cattivi, malicious digital twins, che hanno l’obiettivo di trarre in inganno una vittima. Vengono usati per truffe dirette verso privati, per farsi dare dati personali utili a rubare soldi oppure convincerli a fare investimenti falsi. Ma anche nei confronti delle imprese, creando dei falsi dipendenti per compromettere la sicurezza della mail aziendali (Business Email Compromise, Bec).

«Solo il 57% delle persone distingue un’immagine reale da un fake – segnala il Ciso di Aruba, David Neumarker -. Ne deriva una capacità di inganno molto alta di queste tecniche. Nelle aziende, le attività di awareness devono tenerne conto. Ci sono casi di frode che vanno a segno anche prendendo come bersaglio utenti formati, che magari avevano riconosciuto le prime mail come phishing. Ma quando poi ricevono diversi messaggi, coerenti fra loro, su più canali, possono cascare nell’inganno».

Fra le altre evidenze del report, un aumento dell’utilizzo di infosteeler, malware che rubano i dati, attraverso malvertising, banner che reindirizzano verso siti dannosi.

E punti deboli specifici per determinati settori. Ad esempio, nell’automotive, in relazione ai sistemi digitali di bordo, piuttosto che alla rete di ricarica delle centraline. «L’utilizzo da parte delle case automobilistiche di centraline realizzate da pochi produttori riduce i costi, ma rappresenta uno svantaggio per la security» segnala Agnello. Un’altra vulnerabilità può risiedere nelle colonnine, che sono connesse a sistemi di pagamento, quindi a dati sensibili.

Attenzione però: l’intelligenza artificiale è anche un’efficace arma di difesa, le imprese la possono sfruttare per avere informazioni sulle minacce, gestire i profili delle risorse, prevenire il percorso di un attacco e avere indicazioni per la risoluzione, idealmente da un’unica piattaforma. Fra le novità 2025 annunciate da Trend Micro, il potenziamento degli strumenti predittivi. «Stiamo lavorando sulla capacità di anticipare gli attacchi – annuncia Balduzzi -. Nel giro di qualche mese avremo nuovi strumenti nella prediction di attacchi».

L’attenzione alla catena di fornitura al centro dellA strategia 2025 di Ansaldo, anche in ottica di compliance normativa

Il tema della sicurezza della supply chain è legato alla compliance normativa, perché come vedremo rientra fra le previsioni della direttiva europea. Nel corso di SecurityBarcamp è stata portata l’esperienza di Ansaldo Energia, che lo considera una delle priorità operative 2025. «Siamo un fornitore di infrastrutture critiche con clienti in tutto il mondo – sottolinea il ciso, Ivan Monti -. E dobbiamo garantire loro che tutta la nostra catena di forniture sia sicura e compliant con le normative».

Il mercato su questo tema sembra ancora caratterizzato da una sorta di discontinuità. Da una parte, segnala Ivan Monti, ciso del produttore di impianti e tecnologie per la generazione di energia «non esiste una gara, o un semplice contatto con un cliente, in cui non ci vengano fatte domande su come affrontiamo la cyber». Dall’altra, «in fase di valutazione della security policy dei fornitori, un’azienda che fa parte della nostra supply chain ha ammesso di non avere al momento alcuna attività di sicurezza informatica attiva, assicurandoci al contempo che a fronte della commessa avrebbe provveduto. È un atteggiamento relativamente comune nelle imprese piccole e medie. Noi cerchiamo di aiutarle, ma non possiamo gestire la loro cybersicurezza».

Il monitoraggio della catena di fornitura sarà al centro delle attività di Ansaldo Energia nel 2025. «Siamo un’azienda di ingegneria, un furto di dati relativi alla proprietà intellettuale è un grosso rischio, e la catena di fornitura è un aspetto sensibile. Se un attacco informatico modifica un nostro progetto, ad esempio intervenendo sulla qualità di un materiale, noi riportiamo un danno notevole. Quindi il fornitore deve porsi il problema della sicurezza dei dati».

La direttiva Nis 2, le grandi e le medie imprese dei settori considerati sensibili devono registrarsi entro il 28 febbraio alla piattaforma gestita dall’Acn

La sicurezza della catena di fornitura è prevista dalla direttiva europea sulla cybersicurezza, Nis 2, recepita in Italia nell’ottobre scorso con il dlgs 138/2024. Gli obblighi della Nis 2 riguardano nella maggior parte dei casi società di dimensione grande o media, anche se in alcuni settori devono adeguarsi anche le piccole. È il caso ad esempio dei fornitori o gestori di determinate tecnologie, come i Dns (sistemi dei nomi di dominio), oppure di reti pubbliche di comunicazione elettronica.

Con queste eccezioni, le piccole imprese non hanno al momento particolari obblighi sulla Nis 2 ma, come detto, sono coinvolte nel momento in cui fanno parte della catena di fornitura di un soggetto definito essenziale o importante.

I soggetti essenziali e importanti sono precisamente definiti dalla stessa normativa. Sintetizzando, si tratta di pubbliche amministrazioni e di aziende grandi e medie appartenenti a determinati settori. Fra gli altri: energia, trasporti, banche, sanità, spazio, gestione rifiuti, infrastrutture digitali, produzione, trasformazione e distribuzione di alimenti, ricerca. A seconda dei diversi comparti, gli obblighi possono riguardare solo le grandi aziende, anche le medie, e nel caso della PA e di determinate aziende digitai (fornitori e gestori di nomi di dominio, Dns e Tld) sono coinvolte anche le piccole imprese. Sul portale dell’Agenzia nazionale per la cybersicurezza sono pubblicate tabelle con il dettaglio di tutti i soggetti obbligati.

Entro la fine di febbraio le aziende catalogate come soggetti essenziali o importanti devono registrarsi sulla piattaforma gestita dall’Acn, che nei due mesi seguenti adotterà l’elenco e notificherà gli obblighi di base. Fra i quali, quello di notificare eventuali attacchi. Nei mesi successivi, e poi nel 2026, procede la fase attuativa con la graduale adozione anche degli obblighi a lungo termine.

A regime, enti pubblici e soggetti privati compresi nella Nis 2 dovranno assicurare un livello di protezione adeguata ai rischi esistenti, effettuare analisi del rischio, avere policy per gestire gli incidenti, assicurare la continuità operativa, dotarsi di adeguate procedure di crittografia e cifratura. E anche essere in grado di garantire la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi ai rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

Ci sono specifiche indicazioni in materia di formazione, sia per gli organi sia per i dipendenti, con l’obiettivo di favorire l’acquisizione di conoscenze e competenze sufficienti al fine di valutare i rischi, il loro impatto sulle attività e sui servizi offerti, e gestire la sicurezza informatica.