Finanza nel mirino, incidenti raddoppiati nel 2025
Il settore finanziario sta vivendo una fase di forte pressione: secondo la ricerca Exposure Management Research di Check Point, nel 2025 gli incidenti informatici a livello globale che hanno colpito banche e servizi finanziari sono più che raddoppiati rispetto al 2024, passando da 864 a 1.858 casi, con un incremento del 114,8%.
Europa: DDoS in prima linea e supply chain sotto pressione
Nel perimetro europeo, lo scenario evidenziato dalla ricerca mostra una forte concentrazione di attività DDoS diretta contro portali finanziari, sistemi di pagamento e servizi esposti al pubblico. A questa ondata si affiancano dinamiche tipiche dell’ecosistema ransomware contemporaneo, dove la supply chain diventa un moltiplicatore d’impatto e consente di scalare rapidamente su più obiettivi, soprattutto in contesti interconnessi come quelli dell’UE.
Il report attribuisce un ruolo centrale anche alle superfici d’attacco “moderne”: cloud e SaaS. Le configurazioni errate e la governance insufficiente dell’identità vengono indicate come fattori ricorrenti dietro violazioni e fughe di dati, con una crescita coerente con campagne a matrice geopolitica e hacktivista che, nel continente, trovano spesso terreno fertile quando i servizi digitali sono ad alta visibilità.
Italia tra i Paesi colpiti: pressione combinata e attacchi multi-vettore
Nel ranking europeo dei Paesi maggiormente colpiti, l’Italia risulta settima con 14 attacchi, dietro Regno Unito (61), Francia (47), Germania (42), Spagna (30), Polonia e Finlandia (20). Il dato va letto come indicatore di esposizione, non come misura “assoluta” di sicurezza, perché la pressione si distribuisce in modo non uniforme a seconda del peso dei sistemi finanziari nazionali, della loro digitalizzazione e della loro visibilità nel contesto geopolitico.
A livello europeo, nel 2025 sono stati conteggiati 74 incidenti ransomware nel settore finanziario, 47 episodi di defacement – spesso legati a tensioni geopolitiche e hacktiviste – e 43 violazioni o fughe di dati. La combinazione di disruption, estorsione e data exposure descrive un rischio “sistemico” che colpisce la continuità operativa e, contemporaneamente, la fiducia dei clienti e l’aderenza regolatoria.
DDoS: da estorsione a strumento di pressione ideologica
Il report indica gli attacchi DDoS come la minaccia più dirompente del 2025: i casi globali passano da 329 a 674, con un incremento del 105%. La novità è la motivazione che non è più solo economica: in molti casi l’obiettivo è negare l’accesso ai cittadini e generare impatto mediatico, colpendo portali bancari, interfacce di pagamento e fornitori di servizi finanziari.
Dal punto di vista operativo, emerge un pattern: campagne rapide, ad alto volume, ripetute, spesso concentrate in finestre temporali brevi ma con frequenza tale da trasformare l’interruzione “spot” in una pressione continua. Questo tipo di stress mette in crisi non solo la capacità di assorbimento della banda, ma anche i processi di risposta e la gestione della comunicazione verso clienti e stakeholder.
Un elemento rilevante è la “centralizzazione” dei gruppi che rivendicano gli attacchi: una porzione importante degli eventi osservati viene attribuita a pochi operatori molto attivi, come Keymous+ (121 attacchi) e NoName057 (98 attacchi). Il modello è tipico dell’hacktivism contemporaneo, che fa leva su botnet facilmente reperibili e su infrastrutture condivise, abbassando la soglia tecnica necessaria per generare impatto.
Sul piano difensivo, il comunicato sottolinea implicitamente un limite: lo scrubbing “on demand” tende a non bastare quando gli attacchi diventano persistenti e multi-ondata. In scenari di questo tipo, la resilienza richiede monitoraggio continuo, architetture di mitigazione sempre attive e strategie di routing capaci di sostenere stress prolungati.
Data breach e leak: l’ombra lunga degli errori nella configurazione di identity e cloud
Le violazioni e fughe di dati salgono da 256 a 443 incidenti globali (+73%). Qui l’impatto è meno “visibile” nell’immediato rispetto ai DDoS, ma spesso più corrosivo: accessi di lunga durata, esfiltrazione silenziosa e disclosure ritardata sono coerenti con campagne furtive che mirano a monetizzare dati o a costruire leve di ricatto e influenza.
Gli Stati Uniti restano l’area più colpita con 177 casi, pari al 40% del totale globale, mentre India e Indonesia vengono indicate come nuovi hotspot. La lettura tecnica è legata alla crescita rapida di ecosistemi finanziari cloud-centrici, dove l’aumento dei volumi di transazioni digitali e l’estensione delle integrazioni con terze parti ampliano la superficie d’attacco e il valore dei dati disponibili.
Attribuzione più difficile: 33% di incidenti senza un responsabile identificato
Un dato che merita attenzione è che il 33% degli incidenti di data breach viene attribuito ad attori sconosciuti. Non è un vuoto statistico: è un segnale di maturità offensiva, con maggiore sicurezza operativa, infrastrutture effimere, identità decentralizzate e account temporanei che rendono più complessa l’attribuzione, soprattutto quando le tracce vengono “sporcate” tra deep e dark web.
Restano attivi anche gruppi specializzati in compromissione e monetizzazione dei dati, descritti come capaci di sfruttare errori di configurazione, acquistare accessi iniziali e usare credenziali in vendita per alimentare estorsioni. La persistenza di bucket aperti, controlli permissivi e API non monitorate viene indicata come sintomo di una governance dell’accesso ancora insufficiente, nonostante gli investimenti.
Ransomware: 451 casi e multi-estorsione come standard operativo
Nel 2025 gli incidenti ransomware rilevati da Check Point nel settore finanziario sono stati 451, in crescita rispetto ai 269 del 2024. Il report lega l’aumento alla maturità del ransomware-as-a-service e all’evoluzione dell’estorsione: non più solo cifratura, ma esfiltrazione, pressione reputazionale e targeting di figure apicali. La posta in gioco cresce perché gli istituti finanziari hanno una bassa tolleranza al downtime e dipendono da catene di servizi interconnessi.
Gli Stati Uniti guidano anche qui con 196 casi (43,5%), seguiti da Corea del Sud (31), Regno Unito (22) e Canada (16). La distribuzione riflette dove il digital banking è più denso e quindi più “monetizzabile”, perché l’attaccante può massimizzare l’effetto leva su servizi essenziali e su basi clienti ampie.
Pochi gruppi, grande impatto: affiliazioni e toolchain condivise
Il comunicato evidenzia una forte concentrazione anche sul fronte ransomware: Qilin guida con 83 incidenti (18,4%), seguito da Akira (37) e Clop (19). Il modello “a programma di affiliazione” rende l’ecosistema resiliente e scalabile, con malware modulari, toolchain condivise e attori che sfruttano vulnerabilità VPN, credenziali rubate e fornitori terzi come punto d’ingresso per colpire più vittime.
Con la multi-estorsione, le contromisure classiche non bastano più: backup e ripristino restano essenziali, ma non eliminano il rischio di esposizione, sanzioni regolatorie e danno reputazionale quando i dati sono già usciti o quando l’attaccante “sposta” la pressione su clienti e management.
Verso il 2026: difesa sempre attiva e intelligence condivisa
Nel passaggio al 2026, Check Point sottolinea la necessità di rafforzare la preparazione agli attacchi DDoS e migliorare la condivisione transfrontaliera delle informazioni sulle minacce. La richiesta è di aumentare la consapevolezza situazionale in tempo reale, unificando threat intelligence, insight dal dark web, analisi delle vulnerabilità e alzando il livello su cloud posture e identity governance, perché gli avversari continuano a sfruttare le fragilità dei sistemi interconnessi europei.
Il messaggio di fondo è che la finanza è entrata in una fase in cui disruption ideologica, compromissione furtiva e estorsione industrializzata convivono. E dove la resilienza non può più essere un insieme di controlli isolati, ma un modello continuo, “always on”, capace di leggere il contesto e anticipare le campagne prima che arrivino sui servizi critici.
- attacchi DDoS banche, Check Point Exposure Management Research, data breach cloud SaaS, identity governance, Keymous+, noname057(16), protezione sistemi di pagamento, Qilin Akira Clop, RaaS multi estorsione, ransomware finanza 2025, resilienza DDoS always on, settore finanziario cybersecurity, supply chain attacchi UE, threat intelligence dark web
Altro in questa categoria