Cybercrime, furto di dati e responsabilità degli operatori nel 2025
Cybercrime, furto di dati e responsabilità degli operatori nel 2025

Cybercrime, furto di dati e responsabilità degli operatori nel 2025

Evoluzione recente delle esposizioni informative

I dati diffusi dall’Osservatorio Cyber di CRIF attestano, per il 2025, una crescita significativa dell’esposizione informativa sul dark web, fenomeno che incide direttamente sui profili di responsabilità degli operatori e sulle misure organizzative richieste dalla normativa in materia di protezione dei dati personali.

Gli alert relativi alla comparsa di dati sul dark web hanno superato i 2,2 milioni di segnalazioni, con un incremento pari al 5,8 per cento rispetto all’anno precedente. Parallelamente, gli avvisi collegati a compromissioni sul web aperto si sono ridotti a circa 55.000 casi, con una diminuzione del 6,6 per cento rispetto al 2024. Il baricentro del rischio, pertanto, si sposta con decisione verso ambienti non indicizzati e strutturalmente opachi alle ordinarie attività di controllo.

Non è soltanto il volume delle esposizioni a destare attenzione. La gravità media delle compromissioni rilevate sul dark web si è innalzata del 22 per cento, circostanza riconducibile alla diffusione di insiemi informativi più ricchi e qualificati come, ad esempio, l’associazione di indirizzi e mail a password, credenziali di accesso complete e riferimenti puntuali agli account violati. Configurazioni di questo tipo accrescono in modo sensibile il rischio di utilizzi secondari non autorizzati, tra cui frodi finanziarie e impiego illecito di identità digitali.

Scenari geopolitici e redistribuzione del rischio

Mutamenti nella geografia delle compromissioni

La dimensione del rischio cyber non è più soltanto tecnologica o organizzativa. L’evoluzione del quadro geopolitico sta contribuendo a ridisegnare la mappa delle vulnerabilità, con effetti evidenti sulle analisi di rischio che imprese e pubbliche amministrazioni sono chiamate a svolgere.

In questo contesto, l’Iran rappresenta un caso emblematico. Il Paese passa infatti dal 124º al 3º posto a livello globale per numero di indirizzi e mail compromessi, dato che indica una forte concentrazione di campagne ostili mirate, frequentemente inserite nel più ampio scenario delle tensioni in Medio Oriente. Un indicatore di questa portata impone di considerare, nelle valutazioni di rischio, non soltanto i fattori interni ma anche l’eventuale esposizione a conflitti ibridi e a operazioni di cyberspionaggio e cyber sabotage.

Il ruolo dell’Italia nel panorama delle minacce

Dati di sintesi sulla compromissione degli utenti italiani

L’Italia continua a collocarsi tra i Paesi maggiormente esposti. Il sistema nazionale risulta essere al 6º posto al mondo per numero di e mail compromesse e al 23º per presenza di dati relativi a carte di credito sul dark web. Più della metà degli utenti italiani monitorati, pari al 51,8 per cento, ha ricevuto almeno un alert nel corso del 2025, per lo più connesso al rinvenimento di informazioni su piattaforme del dark web, a conferma della crescente pervasività delle azioni illecite.

Distribuzione territoriale degli alert

Sotto il profilo territoriale, Lazio, Lombardia e Sicilia risultano essere le regioni con i volumi assoluti più elevati di segnalazioni. Tuttavia, se si considera il rapporto tra numero di alert e popolazione residente, emergono aree differenti: Sardegna, Umbria, Lazio, Calabria e Friuli Venezia Giulia evidenziano indici di esposizione particolarmente significativi. Tale dato è rilevante ai fini della pianificazione delle politiche di prevenzione e di formazione, tanto nel settore pubblico quanto in quello privato.

Nuove tecniche di attacco e impiego dell’intelligenza artificiale

Potenzialità offensive dei modelli generativi

L’impiego dell’intelligenza artificiale da parte dei soggetti dediti al cybercrime amplia in misura considerevole l’efficacia e la scalabilità delle campagne fraudolente. Modelli linguistici avanzati consentono di generare contenuti altamente persuasivi, in grado di replicare stili comunicativi specifici e di adattarsi al profilo della vittima, con un incremento notevole del tasso di successo degli attacchi di social engineering.

Tecniche ormai note quali smishing, phishing, vishing e spear phishing vengono profondamente trasformate da queste capacità. I contenuti sono più credibili, personalizzati e coerenti con il contesto; a ciò si aggiunge l’impiego di deepfake audio e video, che agevola la creazione di scenari di truffa sofisticati, specie in ambiente aziendale. Prendono così forma campagne di omni phishing su più canali, nelle quali il confine tra comunicazione autentica e fraudolenta diventa sempre più sottile.

Servizi di stealers as a service e takeover degli account

Professionalizzazione della filiera criminale

Alla dimensione tecnologica si affianca la crescente industrializzazione dell’offerta criminale. I servizi di stealers as a service consentono, anche a soggetti con competenze tecniche limitate, di acquisire strumenti dedicati alla sottrazione massiva di credenziali, cookie e altre informazioni sensibili. I dati così ottenuti vengono successivamente organizzati e commercializzati in pacchetti, con logiche assimilabili a quelle di un mercato secondario strutturato.

Contestualmente aumenta in modo significativo il rischio di account takeover, vale a dire la presa di controllo di account legittimi da parte di terzi non autorizzati. Quando le credenziali sottratte vengono integrate con tecniche evolute di social engineering, gli attaccanti sono in grado di superare con maggiore facilità i controlli basati su riconoscimento comportamentale, domande di sicurezza o procedure di verifica non adeguatamente aggiornate.

Compromissione degli account business e riflessi per le imprese

Dati di esposizione degli account professionali

Particolare attenzione merita l’aumento degli account business coinvolti in data breach e campagne di furto credenziali. Nel 2025 si registra un incremento pari al 12,7 per cento degli account professionali compromessi, che arrivano a rappresentare quasi il 10 per cento del totale degli account esposti sul dark web. Le e mail personali rimangono comunque largamente prevalenti, attestandosi intorno al 90 per cento, ma la progressione degli account aziendali esposti è indicativa del valore crescente di tali target per gli attaccanti.

Valore strategico delle informazioni aziendali

Le combinazioni di dati oggi reperibili includono sempre più spesso elementi di natura professionale, come domini aziendali, ruoli organizzativi, riferimenti a funzioni critiche o sistemi interni. Questi insiemi informativi consentono di progettare attacchi mirati ai processi e alle piattaforme delle imprese, ad esempio mediante business e mail compromise, frodi sui pagamenti e infiltrazioni nei flussi operativi. Ne deriva la necessità di riconsiderare, anche alla luce del Regolamento GDPR e della normativa settoriale in tema di sicurezza, la classificazione del rischio connesso alle credenziali corporate e alle identità digitali dei dipendenti.

Dati maggiormente colpiti e rischi per l’identità digitale

Associazioni di dati e possibilità di abuso

Tra le tipologie di dati più esposte emergono in modo chiaro quelle che rendono possibili frodi economiche dirette e appropriazioni indebite di identità. Nel 94,2 per cento dei casi, i dati relativi a carte di credito risultano associati al nome e cognome del titolare, configurazione che aumenta in modo esponenziale il rischio di utilizzo fraudolento delle carte stesse e di contenziosi bancari e assicurativi connessi.

Nel 91,5 per cento dei casi, e mail e password sono registrate congiuntamente, spesso unite alla username di riferimento. Una combinazione di questo tipo espone gli utenti a una probabilità elevata di sottrazione degli account su molteplici piattaforme, soprattutto laddove si registri un uso ripetuto delle medesime credenziali su servizi differenti. A ciò si aggiunge una presenza sempre più rilevante di indirizzi completi, numeri di telefono e numeri di passaporto associati a dati identificativi personali, elemento che facilita scenari di impersonificazione, profilazione per finalità fraudolente e creazione di identità sintetiche.

Servizi digitali coinvolti nelle compromissioni

Superficie di attacco e pluralità dei canali

L’analisi dei servizi maggiormente interessati dalle compromissioni conferma che la posta elettronica rimane il punto di ingresso privilegiato, ma non più esclusivo. Gli account collegati a servizi online in senso ampio rappresentano il 53,7 per cento del totale, includendo ambienti eterogenei quali piattaforme social, siti internet, gaming, portali della pubblica amministrazione, e commerce e servizi finanziari.

Questa ampiezza della superficie di attacco mostra come il furto di credenziali non si limiti a singoli contesti, bensì riguardi un ecosistema articolato di piattaforme interconnesse. Ogni compromissione può costituire la base per ulteriori abusi a catena, con ricadute giuridiche che spaziano dalla violazione della normativa privacy all’illecito trattamento dei dati, fino a specifici reati informatici previsti dal codice penale.

Fattore umano e specificità del mercato italiano

Profilazione delle vittime e criticità comportamentali

Il quadro italiano mette ancora una volta in evidenza il peso decisivo del fattore umano. La maggior parte degli utenti che hanno ricevuto un alert si concentra nelle fasce di età 51 60, 41 50 e oltre 60 anni, con prevalenza del genere maschile. Si tratta di segmenti di popolazione che spesso dispongono di risorse economiche e patrimoniali significative e che utilizzano con continuità servizi digitali e strumenti di pagamento online.

Le analisi relative al web aperto mostrano che i dati più frequentemente esposti sono indirizzi e mail e codici fiscali, mentre nel dark web prevalgono credenziali e mail, numeri di telefono e codici fiscali, talvolta organizzati anche per età, genere e area geografica. Una strutturazione così dettagliata delle basi dati agevola la predisposizione di campagne di attacco mirate su specifici gruppi demografici, con un potenziale impatto rilevante in termini di danno economico e lesione dei diritti della personalità.

Educazione digitale e misure di autotutela

Strumenti di prevenzione e monitoraggio

Alla luce di questo scenario, assumono rilievo giuridico e operativo alcune direttrici di intervento che CRIF individua nelle proprie analisi e raccomandazioni e che convergono con i principi di accountability e sicurezza previsti dal diritto europeo e nazionale. Tra le misure fondamentali rientrano l’educazione digitale continua degli utenti, la scelta di password robuste e specifiche per ciascun servizio, l’adozione sistematica di strumenti di monitoraggio del dark web e la progressiva alfabetizzazione rispetto alle tecniche di attacco basate sull’intelligenza artificiale.

Resta quindi essenziale che titolari e responsabili del trattamento, operatori finanziari e utenti finali integrino tali misure in strategie di gestione del rischio coerenti e documentabili, affinché la risposta al cybercrime nel 2025 non sia solo reattiva ma parte di un presidio strutturale e consapevole dell’identità digitale.

L’analisi qui richiamata si basa sui dati e sulle considerazioni pubblicate da CRIF e riprese da Iusletter nell’articolo Cybercrime e furto di dati nel 2025: aumento dell’esposizione sul dark web e minacce sempre più mirate, disponibile sul sito Iusletter.