Gen ha pubblicato il Gen Threat Report Q4 2025, che analizza le tendenze da ottobre a dicembre relative alla sicurezza informatica. Il report evidenzia come la criminalità informatica abbia fatto sempre più leva su azioni digitali quotidiane piuttosto che su attacchi tecnicamente sofisticati. Tra browser, feed social, app di messaggistica e strumenti finanziari, gli attacchi più dannosi hanno avuto successo quando le persone hanno completato personalmente l’ultimo passaggio: cliccare su un link, scansionare un codice QR, autorizzare l’associazione di un dispositivo o inserire un codice di verifica.
“Nel corso del 2025, le truffe hanno smesso di presentarsi come minacce evidenti. Si sono mimetizzate nelle routine digitali quotidiane”, ha dichiarato Siggi Stefnisson, Cyber Safety CTO di Gen. “Gli attaccanti hanno sfruttato piattaforme familiari, interfacce affidabili e meccanismi di persuasione automatizzati, per poi scalare queste tattiche su dispositivi e canali diversi”.
Truffe e malvertising dominano shopping e social media
Le truffe sono comparse proprio dove le persone trascorrono già il loro tempo online: nei feed social e nei video. I falsi shop online hanno dominato durante la stagione natalizia, con oltre 45 milioni di attacchi da falsi shop bloccati nel Q4, più della metà di tutti gli attacchi di questo tipo bloccati nel 2025 e un aumento superiore al 62% rispetto allo stesso periodo del 2024.
Questi negozi falsi hanno rappresentato anche il 65% di tutte le minacce bloccate sui social media e si sono concentrati soprattutto su Facebook e YouTube, da cui partiva la maggior parte dei clic di shopping rischiosi. Il phishing si è diffuso più ampiamente tra le piattaforme, guidato da Facebook (77%), seguito da YouTube (13%) e Reddit (4%). Per i consumatori, la diffusione delle truffe è apparsa sempre più indistinguibile da normali annunci, post e video, fino al momento in cui venivano richiesti denaro, credenziali o accesso remoto.
I dati di telemetria di Gen mostrano inoltre che il malvertising (annunci pubblicitari falsi) è stata la principale minaccia informatica per gli utenti nel 2025, rappresentando il 41% di tutti gli attacchi e costituendo il primo clic che conduceva a molte truffe sui social media e su Internet in generale. Questo dato è in linea con recenti notizie che citano documenti interni di Meta, secondo cui la pubblicità legata a truffe e beni vietati potrebbe rappresentare circa il 10% dei ricavi pubblicitari annuali (circa 16 miliardi di dollari).
Deepfake pericolosi
Gen ha introdotto il rilevamento on-device su Windows, focalizzato sull’intersezione tra media manipolati e intento fraudolento. Le prime analisi mostrano che YouTube è stata la piattaforma con la quota maggiore di video-truffa basati su AI bloccati, seguita da Facebook e X.
La maggior parte dei contenuti bloccati riguardava esche finanziarie, investimenti e criptovalute, ed è stata intercettata durante la riproduzione piuttosto che durante il download.
Crescono i rischi per identità e finanze
L’abuso d’identità ha continuato ad ampliarsi oltre il tradizionale uso improprio del credito. I dati di Gen indicano che il numero di violazioni è aumentato del 192% trimestre su trimestre, con una crescita significativa lungo tutto l’anno. I dati mostrano inoltre un aumento degli alert legati a:
- nuovi registri immobiliari
- attività insolite su conti bancari di uso quotidiano
- nuove richieste di prestiti rateali, leasing e credito al dettaglio
- anomalie a livello di singole transazioni su carte di credito e prestiti
L’aumento del rischio in queste categorie conferma quanto emerge anche da report esterni: la frode d’identità sta diventando più complessa, coinvolgendo simultaneamente registri immobiliari, depositi, strumenti di credito e tecniche di ingegneria sociale basate su truffe.
Le minacce si spostano tra piattaforme
Nel Q4, Gen ha osservato come le truffe si muovessero sempre più spesso avanti e indietro tra dispositivi, usando le persone stesse per trasferire l’attacco da una piattaforma all’altra. Alcune campagne iniziavano su desktop con pagine di finti tutorial, per poi spingere le vittime a scansionare lo schermo con il telefono, spostando i passaggi successivi sul mobile, dove autorizzazioni, sideloading o verifiche risultavano più probabili. Altre seguivano il percorso inverso.
Negli attacchi GhostPairing, scoperti e denominati per la prima volta da Gen Threat Labs, le vittime inserivano un codice numerico su WhatsApp dal proprio telefono, collegando inconsapevolmente un browser controllato dall’attaccante come dispositivo affidabile e consentendo una rapida diffusione tra i contatti.
Questi schemi dimostrano come le truffe moderne attraversino i confini tra dispositivi per scalare rapidamente e rimanere nascoste.
Alla chiusura del 2025, i dati Q4 di Gen indicano che la superficie di attacco è divenuta continua tra browser, chat, piattaforme social e app finanziarie. Gli incidenti più dannosi sono iniziati con azioni piccole e familiari, compiute sotto pressione o in una falsa sensazione di sicurezza.
Il panorama delle minacce in Italia nel Q4
In Italia, i dati del Q4 confermano un panorama delle minacce coerente con le tendenze globali, ma con dinamiche di crescita particolarmente marcate. Le principali minacce osservate sono state truffe, malvertising, attacchi Scam-Yourself, adware e accesso remoto malevolo (MRA) e ransomware.
L’attività complessiva delle truffe è aumentata del 9%, trainata soprattutto dalle truffe negli e-shop (+176%), seguiti da truffe generiche (+37%), truffe legate al gioco d’azzardo (+36%) e truffe sentimentali (+32%).
Gli infostealer sono cresciuto del +15%, principalmente a causa di picchi nel web skimming (+192%) e nello spyware (+79%). articolarmente rilevante è stato l’aumento degli attacchi Scam-Yourself (+162%), con un’impennata dei falsi tutorial (+192%) e delle false scansioni di sicurezza (+164%), che riflettono l’uso crescente di percorsi guidati e apparentemente legittimi per indurre le vittime a compromettersi da sole.
L’accesso remoto malevolo (MRA) è aumentano dell’82%, trainato da RAT – trojan di accesso remoto (+120%), mentre adware (+68%) e malvertising, soprattutto tramite notifiche push (+22%), hanno continuato a rappresentare vettori chiave di distribuzione. Worm (+15%) e file infector (+8%) hanno mostrato una crescita costante, contribuendo a un quadro di rischio sempre più complesso e persistente per gli utenti italiani.
