Cybersecurity: il vero problema non è l’escalation delle minacce, ma la maturità con cui le imprese imparano a leggerle.
Nel dibattito pubblico sulla cybersecurity domina una narrazione lineare: le minacce aumentano, gli attacchi diventano più sofisticati, i danni crescono. È una narrazione corretta, ma incompleta. Perché, se è vero che il volume degli attacchi continua a salire, è altrettanto vero che la maggior parte delle compromissioni avviene sempre secondo le stesse modalità, sfruttando debolezze note, comportamenti prevedibili e scelte organizzative che non tengono il passo con la trasformazione del cybercrime.
La distanza che oggi separa molte imprese dal rischio reale non è tecnologica. È una distanza di maturità, di comprensione del contesto, di capacità di leggere i segnali prima che diventino incidenti. Un divario che emerge con particolare evidenza nel mondo delle piccole e medie imprese, nel quale la digitalizzazione avanza rapidamente (finalmente, si potrebbe dire) mentre la sicurezza resta spesso un sotto-tema, affidato a interventi puntuali e a logiche prevalentemente difensive.
PMI e cybersecurity: quando la consapevolezza non diventa strategia
Secondo Cesare D’Angelo, General Manager Italy, France & Mediterranean di Kaspersky, uno degli equivoci più diffusi è pensare che le PMI sottovalutino la cybersecurity. In realtà, il problema è più sottile.
“La consapevolezza del rischio esiste. Quello che manca è la capacità di tradurla in una strategia strutturata, che accompagni l’evoluzione dell’azienda nel tempo.”
I dati lo confermano: solo il 25% delle PMI europee dichiara di avere una strategia di cybersecurity solida e realmente implementata. La maggior parte si affida a strategie teoriche che non producono effetti concreti, mentre molte aziende non hanno alcun obiettivo strutturato in ambito cyber. E l’Italia, in questo quadro, rappresenta un caso particolarmente critico: il 25% degli attacchi europei rivolti alle PMI si concentra nel nostro Paese, spesso sotto forma di PUA (Potentially Unwanted Applications) e malware che imitano brand legittimi.
In molte realtà di piccole e medie dimensioni, la sicurezza viene affrontata come una risposta a un evento o a una pressione esterna: un attacco subito, una richiesta di un cliente, un obbligo normativo. Raramente come un percorso continuo, pensato per crescere insieme al business.
“Si investe per risolvere un problema immediato, ma non per costruire una postura di sicurezza che sia coerente con il modello operativo dell’azienda”, spiega D’Angelo.
Questo approccio reattivo si riflette anche nell’organizzazione interna. Nelle PMI la cybersecurity non è quasi mai una funzione dedicata. È una responsabilità aggiuntiva che ricade sull’IT, spesso su poche persone chiamate a gestire contemporaneamente infrastruttura, applicazioni, utenti e sicurezza. Il 17% delle aziende dichiara di non disporre di personale qualificato, ma l’esperienza sul campo suggerisce che questa percentuale sia in realtà molto più alta.
“Quando le stesse risorse devono occuparsi di tutto, il rischio è che la sicurezza venga trattata come una delle tante priorità, non come un asse strategico. E se gli strumenti producono troppo rumore, è inevitabile che qualcosa venga trascurato.”
Il tema non è solo quantitativo, ma qualitativo: la sicurezza compete con il tempo, con le urgenze operative, con la pressione del business. Un dato particolarmente significativo emerge dalla ricerca: il 33% delle PMI riceve troppi avvisi dai sistemi di sicurezza, mentre il 30% considera il monitoraggio delle minacce un lavoro a tempo pieno. In questo contesto di sovraccarico informativo, segnali critici rischiano di perdersi nel rumore di fondo.
Compliance e sicurezza: una sovrapposizione solo apparente
Un altro fattore che contribuisce a questa fragilità è la sovrapposizione, spesso impropria, tra cybersecurity e compliance. Le normative (qui la guida alla Nis 2) hanno avuto il merito di portare il tema al centro dell’agenda manageriale, ma hanno anche generato un effetto collaterale.
“In molti casi la sicurezza viene progettata per superare un audit, non per resistere a un attacco reale”, osserva D’Angelo. “In questo momento storico si registra una forte spinta verso la compliance normativa. Le aziende pianificano la spesa in cybersecurity soprattutto per evitare sanzioni, multe o penali. Si investe perché bisogna farlo, non perché esista una progettualità coerente con il modello di business e con la crescita della superficie digitale dell’azienda.”
La compliance diventa così un traguardo, non un punto di partenza. Le aziende implementano controlli minimi, scelgono soluzioni che permettono di “mettere una spunta” su un requisito, ma senza interrogarsi sulla loro efficacia nel tempo. Quando il contesto cambia – nuove tecnologie, nuove modalità di lavoro, nuove minacce – quella sicurezza formale mostra rapidamente i suoi limiti. Il risultato è una difesa statica in un ambiente che, per definizione, statico non è.
Particolarmente preoccupante è un altro dato emerso dalla ricerca: il 25% degli executive nelle PMI non riconosce ancora il valore strategico della cybersecurity. Da qui discende tutto il resto: investimenti inadeguati, formazione insufficiente, risorse limitate. La cultura della sicurezza, in queste organizzazioni, è ancora indietro rispetto a ciò che sarebbe necessario per affrontare il panorama delle minacce contemporaneo.
Il cybercrime non improvvisa: si organizza
Per comprendere perché questo modello difensivo sia sempre meno efficace, bisogna osservare l’altra metà dell’equazione: l’evoluzione del cybercrime. Fabio Sammartino, Head of Pre-Sales di Kaspersky, invita a non limitarsi ai numeri assoluti, ma a soffermarsi sulla struttura dell’ecosistema criminale.
“I grandi numeri fanno impressione, ma sono i dati di dettaglio a raccontare davvero cosa sta succedendo. L’aumento di backdoor, spyware e password stealer descrive il modo in cui gli attacchi vengono costruiti oggi.”
I sistemi di rilevamento globali di Kaspersky, che monitorano circa un miliardo di dispositivi, individuano ogni giorno circa 500.000 nuovi file malevoli mai visti prima, con un aumento del 7% rispetto all’anno precedente.
Ma più dei numeri aggregati, sono i dettagli a raccontare la storia. In Europa si registra un aumento del 50% delle backdoor, del 48% dei password stealer, del 64% degli spyware. Questi non sono dati casuali: rappresentano le fasi operative della catena di attacco contemporanea.
Il cybercrime contemporaneo è un sistema industriale. Non è più composto da singoli attori isolati, ma da catene del valore nelle quali ogni fase dell’attacco può essere delegata, esternalizzata, venduta come servizio.
“Esistono gruppi specializzati solo nella raccolta di credenziali, altri nello sviluppo di piattaforme, altri ancora nella monetizzazione degli accessi. Chi vuole colpire non deve più saper fare tutto: può comprare quello che gli serve.”
Questo modello abbassa drasticamente la soglia di ingresso e rende il numero degli attaccanti potenziali molto più elevato. Ma soprattutto rende gli attacchi più ripetibili, più standardizzati, più facili da scalare.
L’ecosistema professionale del crimine digitale
Una ricerca condotta dal team di Digital Footprint Intelligence di Kaspersky nel 2025, basata sull’analisi di circa 2.200-2.300 annunci di lavoro nel dark web, offre uno spaccato illuminante delle competenze che compongono questo ecosistema.
Le professionalità più richieste sono penetration tester e developer: competenze di livello alto, con retribuzioni che riflettono il loro valore. I reverse engineer possono guadagnare fino a 5.000 dollari al mese, i penetration tester circa 4.000, gli sviluppatori 2.000. È interessante notare come il penetration tester, figura teoricamente associata alla difesa e all’ethical hacking, sia tra i ruoli più ricercati anche nel mondo criminale. In alcuni contesti, l’uscita dal mercato di molte aziende occidentali ha spinto competenze dal settore legale a quello illegale, spesso per necessità economica.
I developer sono centrali perché l’ecosistema criminale oggi non offre solo malware, ma piattaforme complete. Esistono veri e propri servizi a cui ci si collega online con meccanismi “sicuri”, completi di istruzioni, strumenti, moduli, talvolta persino credenziali o accessi iniziali già compromessi. È un modello commerciale strutturato: chi sviluppa deve anche proteggere la piattaforma, evitare furti e abusi da parte di altri criminali. Paradossalmente, hanno problemi molto simili a chi produce software nel mondo legittimo.
Altre figure come exploit developer sono fondamentali ma meno richieste nel mass market: sono competenze che servono soprattutto ai gruppi più finanziati e con obiettivi di alto profilo, tipicamente nell’ambito APT (Advanced Persistent Threat).
La metamorfosi delle comunicazioni criminali
Un’altra trasformazione significativa osservata nell’ultimo anno riguarda le piattaforme di comunicazione utilizzate dall’ecosistema criminale. Per anni Telegram è stato uno snodo centrale: compravendita di informazioni, scambio dati, carding, vendita di malware, servizi di doxing, coordinamento tra gruppi. La piattaforma, grazie alle sue funzionalità avanzate come i bot, consentiva un’automazione su larga scala delle attività criminali.
Negli ultimi 12-18 mesi, però, Telegram ha iniziato a introdurre più controlli e meccanismi di riduzione delle attività illegali. Per questo, si osserva uno spostamento verso altre piattaforme come Signal, ma anche qualcosa di ancora più significativo: alcuni gruppi stanno costruendo propri strumenti di messaggistica proprietari, per aumentare sicurezza e controllo.
Per chi difende è un problema, perché monitorare l’ecosistema significa “seguire” i criminali dove si spostano. Capire come comunicano, cosa vendono e quali servizi scambiano è essenziale per anticiparne le mosse.
Dal malware agli strumenti legittimi: il paradigma “living off the land”
Una delle trasformazioni più rilevanti riguarda la natura stessa degli attacchi. Sempre più spesso non si parla di malware tradizionale, ma di tecniche che sfruttano strumenti già presenti negli ambienti IT delle vittime.
“Molti attacchi oggi non introducono software esterno. Utilizzano ciò che trovano sul campo: comandi di sistema, strumenti di amministrazione, funzionalità legittime”, spiega Sammartino.
È il paradigma degli attacchi living off the land. Un paradigma che mette in crisi le difese basate su firme e pattern statici, perché ciò che viene utilizzato non è, di per sé, malevolo. È proprio questo che rende questi attacchi particolarmente insidiosi e che spiega la crescita delle PUA (Potentially Unwanted Applications) come vettore di compromissione.
Questo spostamento richiede un cambio radicale di approccio: dalla ricerca dell’oggetto sospetto all’analisi delle dinamiche, delle sequenze, delle anomalie rispetto al funzionamento normale dei sistemi. Non basta più cercare un file malevolo: bisogna riconoscere quando uno strumento legittimo viene utilizzato in modo improprio, quando una sequenza di comandi normali produce un risultato anomalo, quando un’applicazione autorizzata comunica con destinazioni sospette.
Le credenziali come chiave dell’intero ecosistema
All’interno di questo scenario, le credenziali diventano l’asset più prezioso. Password stealer e info stealer alimentano un mercato strutturato di accessi compromessi, che possono essere riutilizzati in modi diversi. L’aumento del 48% dei password stealer in Europa non è un dato casuale: riflette l’efficacia di questo vettore di attacco.
“Le credenziali permettono di entrare nei sistemi in modo apparentemente legittimo. È per questo che sono così pericolose”, sottolinea D’Angelo.
Il modello operativo è chiaro: esistono gruppi specializzati che fanno solo raccolta di credenziali e dati utili. Tengono ciò che serve per le proprie operazioni e mettono il resto in circolo nella “community” criminale, spesso a costi bassissimi. Queste credenziali alimentano poi l’accesso iniziale per attacchi più complessi.
Una volta ottenuto l’accesso iniziale attraverso credenziali valide, l’attaccante può muoversi lateralmente nella rete, osservare, studiare l’ambiente, preparare l’attacco finale. In molti casi, la compromissione rimane invisibile per settimane o mesi, proprio perché l’accesso avviene con credenziali legittime e senza l’introduzione di software malevolo facilmente identificabile.
“Quando l’attacco diventa evidente, spesso siamo già nelle fasi finali: furto di dati, estorsione, cifratura. A quel punto il margine di manovra è minimo”, aggiunge Sammartino.
La catena dell’attacco, quindi, non è un evento improvviso, ma un processo articolato. Ed è proprio nelle fasi iniziali che si gioca la possibilità di difesa. Se le credenziali di un’organizzazione circolano nel dark web, quello è spesso il segnale che precede un attacco. È in quel momento che bisogna alzare le antenne, non quando l’intrusione è già in fase avanzata.
Cybersecurity, la vittima non è quella più ricca, ma quella più esposta
Un altro mito che l’analisi delle dinamiche criminali smonta riguarda la scelta delle vittime.
“Gli attaccanti motivati economicamente cercano il percorso più semplice. La vittima non è necessariamente quella che vale di più, ma quella che oppone meno resistenza”, afferma Sammartino.
Questo significa che ridurre l’esposizione iniziale è spesso più efficace che inseguire ogni nuova minaccia. Eliminare vulnerabilità note, limitare l’uso improprio delle credenziali, monitorare ciò che accade fuori dal perimetro aziendale può essere sufficiente per evitare di finire nel mirino di molte campagne opportunistiche.
Cybersecurity e threat intelligence: capire prima di reagire
È in questo contesto che la threat intelligence assume un ruolo centrale. Non come semplice elenco di indicatori, ma come capacità di interpretare il contesto.
“La difesa reattiva non basta più. Bisogna capire cosa sta succedendo prima che l’attacco si manifesti”, spiega Sammartino.
La threat intelligence permette di osservare l’attività dei gruppi criminali, di capire quali infrastrutture stanno utilizzando, quali settori stanno prendendo di mira, quali tecniche stanno privilegiando. Alimenta gli strumenti di detection con informazioni aggiornate e consente di identificare segnali deboli che, da soli, non genererebbero un allarme.
“Per anni si è pensato che la threat intelligence fosse riservata alle grandi organizzazioni. Oggi questa distinzione non regge più”, sottolinea D’Angelo. “Anche le PMI devono poter accedere a queste informazioni, perché è lì che si gioca l’anticipo.”
Osservare la propria esposizione dall’esterno, come farebbe un attaccante, monitorare la presenza di credenziali compromesse, individuare comunicazioni verso infrastrutture di comando e controllo: sono tutti elementi che spostano la sicurezza su un piano più strategico. Non si tratta più solo di bloccare ciò che arriva, ma di capire cosa potrebbe arrivare e prepararsi di conseguenza.
Gli strumenti di threat intelligence si declinano su diversi livelli, a seconda della maturità organizzativa. I più semplici da implementare sono i threat data feed, che si integrano direttamente nei firewall di perimetro con feed su domini malevoli, server C2, infrastrutture criminali. L’integrazione richiede pochi minuti e innalza immediatamente la capacità di blocco, con falsi positivi molto bassi.
I servizi di Digital Footprint e Brand Monitoring lavorano su due aspetti cruciali: credenziali compromesse e superficie esposta. Il Digital Footprint fornisce una visione “da attaccante” degli asset esposti e dei punti deboli perimetrali, permettendo di concentrare gli investimenti dove l’esposizione è maggiore. Il Brand Monitoring lavora sulla reputazione e sulle frodi: social, siti, app mobile fake e altri elementi che possono impattare direttamente sul business e sulla fiducia degli utenti.
Per organizzazioni più mature esistono strumenti dedicati agli analisti, come il Threat Intelligence Reporting e servizi per la qualificazione e gestione degli incidenti: report su campagne, attori, tecniche e indicatori utili sia al livello strategico sia a chi fa incident response.
Sicurezza come capacità evolutiva
La cybersecurity, in questo scenario, non può essere concepita come uno stato finale da raggiungere. È una capacità evolutiva, che deve adattarsi continuamente al cambiamento del business e delle minacce.
Non si tratta di accumulare strumenti, ma di integrarli in una visione coerente. Non di inseguire ogni nuova tecnologia, ma di comprendere le dinamiche che rendono un’organizzazione più o meno esposta. Le PMI chiedono proprio questo: non solo soluzioni puntuali, ma strategie di medio-lungo termine che permettano di investire in modo scalabile e modulare nel tempo. Il 25% delle aziende indica esplicitamente la necessità di chiarezza sui rischi reali e spiegazioni semplici da parte dei vendor, mentre un altro 25% chiede supporto nella definizione di strategie di lungo periodo.
In un ecosistema in cui il cybercrime opera come un’industria globale, altamente specializzata e adattiva, la differenza non la fa la singola soluzione, ma la capacità di leggere il contesto, riconoscere i segnali e intervenire prima che l’attacco diventi inevitabile. Il punto è spostare la strategia da una detection puramente reattiva a una postura proattiva: riconoscere i segnali deboli e intervenire prima. Prima si intercetta un attacco, minore è l’impatto e più semplice è la mitigazione.
