L’ultimo articolo Digital Defense Report 2025 di Microsoft rivela che la maggior parte degli attacchi informatici osservati in tutto il mondo sono guidati da motivi finanziari piuttosto che da spionaggio o sabotaggio. I risultati evidenziano come i gruppi criminali organizzati stiano sfruttando le vulnerabilità sia nel settore pubblico che in quello privato per generare profitti, spesso attraverso ransomware, furto di credenziali ed estorsione di dati.
Secondo Microsoft, l’attività finanziariamente motivata rappresenta quasi tre quarti di tutti gli attacchi analizzati tra giugno 2023 e giugno 2024. Il report si basa sui dati raccolti attraverso la rete globale di intelligence sulle minacce di Microsoft, che monitora ogni giorno oltre 78 trilioni di segnali di sicurezza.
Il rapporto mostra che il crimine informatico finanziario continua a superare le operazioni sponsorizzate dallo stato sia in scala che in frequenza. Il ransomware e il furto di informazioni rimangono i principali metodi di attacco. Queste operazioni spesso iniziano con campagne di phishing o lo sfruttamento di vulnerabilità software prive di patch prima di passare al furto o alla crittografia di dati preziosi.
Microsoft ha osservato che gli aggressori si sono spostati verso campagne ransomware più brevi e mirate, progettate per spingere le vittime a pagare rapidamente. I gruppi criminali stanno anche adottando sempre più modelli di “ransomware-as-a-service”, che consentono agli attori meno qualificati dal punto di vista tecnico di acquistare l’accesso a strumenti di attacco già pronti.
Il rapporto sottolinea che le reti criminali finanziarie sono ora strutturate più come le imprese tradizionali. Hanno gerarchie, catene di approvvigionamento e sistemi di comunicazione in stile assistenza clienti per coordinare pagamenti e negoziazioni.
Aumento del furto di credenziali e dell’ingegneria sociale
Oltre al ransomware, il furto di credenziali e l’ingegneria sociale rappresentano una quota crescente di attacchi motivati finanziariamente. Microsoft osserva che le minacce basate sull’identità sono diventate un punto debole critico in tutte le organizzazioni. Gli aggressori spesso sfruttano l’errore umano inviando messaggi di phishing convincenti, utilizzando falsi portali di accesso o lanciando truffe vocali progettate per rubare le credenziali.
Una volta che gli aggressori ottengono l’accesso ad account validi, possono aggirare gli strumenti di sicurezza e spostarsi lateralmente attraverso le reti senza essere rilevati. Il rapporto avverte che questa tendenza continua ad espandersi nonostante la maggiore adozione dell’autenticazione a più fattori, suggerendo che i criminali stanno evolvendo le loro tecniche più velocemente di quanto molte organizzazioni possano adattarsi.
Microsoft ha anche osservato un aumento dei “broker di dati” all’interno dell’ecosistema del crimine informatico. Questi attori sono specializzati nella vendita di credenziali rubate e nell’accesso a reti compromesse, fornendo un punto di ingresso per gli operatori di ransomware e i gruppi di frode.
L’attività sponsorizzata dallo Stato continua, ma si concentra sulle interruzioni
Mentre il crimine informatico a sfondo finanziario domina, gli attacchi sponsorizzati dallo stato rimangono una seria preoccupazione. Secondo i risultati di Microsoft, le operazioni di spionaggio e informazione stanno diventando sempre più sofisticate, in particolare quelle legate a Russia, Cina, Iran e Corea del Nord.
Queste campagne spesso prendono di mira agenzie governative, infrastrutture energetiche e reti di telecomunicazioni. Microsoft riferisce che alcune operazioni mirano a raccogliere informazioni, mentre altre hanno lo scopo di causare interruzioni o confusione, in particolare durante i conflitti geopolitici o le elezioni.
Gli analisti dell’azienda osservano che le operazioni informatiche legate alle tensioni geopolitiche sono sempre più legate agli sforzi di disinformazione online, che mirano a manipolare la percezione pubblica attraverso campagne coordinate sui social media.
L’intelligenza artificiale nelle operazioni informatiche
Il rapporto del 2025 sottolinea come l’intelligenza artificiale stia cambiando le strategie informatiche sia offensive che difensive. I criminali utilizzano strumenti di intelligenza artificiale per creare e-mail di phishing più persuasive, automatizzare il furto di credenziali e sviluppare contenuti deepfake che migliorano le tattiche di ingegneria sociale.
Allo stesso tempo, i difensori stanno implementando analisi basate sull’intelligenza artificiale per rilevare più rapidamente le anomalie e prevedere potenziali violazioni. Microsoft sottolinea che l’intelligenza artificiale può aiutare i team di sicurezza a elaborare enormi quantità di dati in tempo reale, migliorando la risposta agli incidenti e riducendo i ritardi di rilevamento.
Tuttavia, il rapporto avverte anche che la dipendenza dall’IA deve essere bilanciata con la supervisione umana. I sistemi automatizzati da soli non sono sempre in grado di distinguere tra attività legittime e dannose, soprattutto quando gli aggressori imitano deliberatamente il normale comportamento degli utenti.
Raccomandazioni di Microsoft per la difesa
Per combattere la crescente portata e sofisticazione degli attacchi a sfondo finanziario, Microsoft consiglia alle organizzazioni di concentrarsi sulla protezione dell’identità, sulla gestione delle vulnerabilità e sulla consapevolezza dei dipendenti. L’azienda raccomanda di implementare l’autenticazione a più fattori su tutti gli account, di applicare tempestivamente le patch ai sistemi e di ridurre i privilegi amministrativi per limitare l’esposizione.
La formazione del personale per riconoscere i tentativi di phishing rimane una delle difese più efficaci. Microsoft suggerisce inoltre di adottare un modello di sicurezza “zero trust”, che presuppone che ogni richiesta di accesso possa essere dannosa fino a quando non viene verificata.
Inoltre, il rapporto sottolinea la necessità di una cooperazione globale tra governi, aziende private e ricercatori di sicurezza informatica. La collaborazione consente una condivisione più rapida delle informazioni e risposte coordinate alle operazioni di criminalità informatica su larga scala.
Il costo crescente del crimine informatico
Microsoft stima che il costo economico del crimine informatico continuerà ad aumentare notevolmente nei prossimi anni, spinto dalla crescente professionalità delle reti criminali e dall’espansione dell’infrastruttura digitale. L’azienda osserva che mentre le minacce sostenute dallo stato attirano l’attenzione del pubblico, i gruppi motivati finanziariamente causano i danni più diffusi sia agli individui che alle imprese.
Il rapporto conclude che la resilienza della sicurezza informatica dipende dalla vigilanza costante, dagli investimenti nella prevenzione e dallo sviluppo di sistemi di difesa adattivi. Con gli aggressori che perfezionano i loro metodi ogni giorno, le organizzazioni devono trattare la sicurezza informatica non come un progetto, ma come un processo continuo che si evolve con la tecnologia e il comportamento umano.