“I dati parlano chiaro – spiega Nadia Martini, avvocato dello studio Rödl Italia e riconosciuta tra i principali esperti in Italia in materia di AI – secondo l’ultimo studio State of Cybersecurity Recap 2025, commissionato da Aused, associazione di utilizzatori sistemi e tecnologie dell’informazione, e realizzato da Certego, basato sull’osservazione di 1,2 milioni di asset digitali appartenenti a 200 imprese italiane, nel 2025 gli alert sono cresciuti del +7% e gli incidenti effettivamente gestiti del +13%. E in tutto questo l’intelligenza artificiale ha avuto e ha un ruolo di moltiplicatore di opportunità.”
La tipologia delle vittime, secondo il report Aused, vede su 16.861 incidenti gestiti nel 2025, oltre un terzo, 5.904 casi, riguardare il mondo manifatturiero e industriale. Segue la finanza e le assicurazioni con 4.450 incidenti, circa il 26% del totale, ma poi anche moda e design con 1.424 incidenti, chimica e farmaceutica (1.085), energia (1.001), industria alimentare (952). Persino sanità, enti locali e grande distribuzione, numeri più contenuti, ma tutt’altro che marginali. Nel complesso, il 67% degli incidenti colpisce il settore privato, il restante 33% quello pubblico.
Inoltre, secondo il report Clusit – Associazione Italiana per la Sicurezza Informatica, nel 2025 sono avvenuti principalmente incidenti DDoS, ovvero casi in cui è stato reso inaccessibile un server, servizio o rete, sovraccaricandolo con un enorme volume di traffico proveniente da molteplici fonti compromesse (38,5% dei casi, erano il 21% nel 2024) mentre il malware è invece sceso al 23%, di 14 punti percentuali rispetto al 2024. Phishing/ingegneria sociale hanno inciso sul 12,4%, in aumento del + 66% rispetto allo scorso anno con l’utilizzo dell’intelligenza artificiale.
TRIPLICANO TENTATIVI DI TRUFFA CON DEEPFAKE. ‘TRACCE DIGITALI’ DI MANAGER E DIPENDENTI DIVENTANO GRIMALDELLO PER INTRUSIONI IN AZIENDA. COME DIFENDERSI?
“Ma non solo – ribadisce l’avv. Nadia Martini di Rödl Italia – guardando anche ai dati del dossier pubblicati da Consumerismo No Profit e Revoluce, si può vedere come i tentativi di truffa tramite intelligenza artificiale che hanno utilizzato il deepfake (sia audio che video) sono aumentati del +300%. E per quanto il phishing via email resti ancora largamente diffuso, i canali che hanno visto una crescita esponenziale sono state le piattaforme di messaggistica istantanea e i social media, che veicolano il 45% delle truffe totali, superando anche le chiamate telefoniche tradizionali.”
E nell’era dell’intelligenza artificiale, post e immagini pubbliche non solo dell’azienda ma anche dei suoi manager e dipendenti condivise sui social media, possono diventare facilmente l’esca per campagne di phishing personalizzate. Il dato emerge da “From holiday snap to custom scam in 30 minutes. How ai turns public photos into targeted attacks”, l’ultimo studio di TrendAI, business unit di Trend Micro, dimostra come per profilare un utente, utilizzando circa 30 immagini tratte da un profilo pubblico di Instagram e creare un sito web di phishing su misura, bastino solamente 30 minuti. “Le ‘tracce digitali’ di imprenditori, dirigenti e dipendenti delle aziende e organizzazioni, sia in contesti lavorativi così come in quelli privati, pubblicate sui social – conferma la super esperta – possono essere utilizzate per creare trappole informatiche che possono essere pericolose per il business stesso dell’azienda”.
“Le minacce, come si vede, sono in continua evoluzione e sempre più sofisticate – precisa l’avv. Nadia Martini di Rödl Italia – quello che le aziende potrebbero fare per proteggersi è adeguarsi a due normative, molto utili per questo obiettivo. Da un lato la Direttiva (UE) NIS2, implementata in Italia il 16 ottobre 2024 tramite il D.lgs. 138/2024 – obbligatoria per alcune tipologie di aziende in settori essenziali e importanti – che permette a qualsiasi azienda di mettere in atto misure concrete di gestione del rischio: a partire dall’effettuazione di un assessment delle misure tecniche ed organizzative, sino alla definizione di un processo di governance cybersecurity e di controllo di filiera. Ciò, implementando piani interni per la gestione dei rischi ICT e di un framework basato su approcci risk-based, avviando programmi di formazione ai dipendenti sulla sicurezza informatica, nonché adottando misure di gestione e notifica degli incidenti. Dall’altra la normativa sull’Artificial Intelligence, introdotta dal Regolamento UE 2024/1689 e, in Italia, anche dalla Legge n. 132/2025 – obbligatoria per tutte le organizzazioni che usino, sviluppino o distribuiscano AI. Essa detta obblighi di definire processi di risk management, mappare sistemi e classificazione di rischio, definire un processo di Governance AI e implementare misure organizzative e tecniche, come la trasparenza e human in/on the loop e di alfabetizzazione.”
