Sono 3.620 le campagne malevole censite nel 2025 dal CERT-AgID, la struttura che si occupa di supportare la Pubblica Amministrazione nella prevenzione rispetto agli incidenti di sicurezza informatica. Oltre 51.500 sono stati gli indicatori di compromissione diramati tempestivamente alle PA, mentre i temi più diffusi nelle campagne di phishing e malware riguardano ordini e spedizioni, home banking, multe e pagamenti.
È quanto emerge dal Report pubblicato oggi che riepiloga le principali campagne che hanno coinvolto il nostro Paese nell’anno appena trascorso.
I dati dipingono un quadro di forte evoluzione tecnologica: gli attori malevoli si stanno concentrando su strumenti e servizi digitali di largo consumo, con l’obiettivo di sfruttare la fiducia riposta dai cittadini nelle piattaforme istituzionali.
I principali trend
Rispetto agli anni precedenti, il 2025 ha registrato la comparsa di una massiccia ondata di phishing a tema PagoPA, con 328 campagne specifiche, sfruttando falsi solleciti di pagamento per presunte sanzioni stradali. In genere, gli utenti vengono attirati su pagine contraffatte che imitano i portali ufficiali con lo scopo di sottrarre dati personali e dettagli delle carte di pagamento.
Parallelamente, si osserva un aumento della PEC come vettore di attacco, quasi raddoppiato nell'ultimo anno. Questo canale viene utilizzato sia per diffondere malware sofisticati come MintsLoader sia per puntare al furto di credenziali bancarie tramite phishing, contando sul fatto che l'utente percepisca i messaggi certificati come intrinsecamente sicuri.
Seppur in calo, persistono le campagne veicolate via SMS, mentre si è osservata una forte crescita di campagne malware che adottano la tecnica ClickFix, una modalità di ingegneria sociale che, spesso attraverso un finto CAPTCHA o istruzioni operative, induce l’utente a eseguire manualmente comandi sul proprio sistema con l’effetto di avviare il download e l’esecuzione di codice malevolo.
Anche l’intelligenza artificiale sta entrando prepotentemente nel toolkit dei criminali informatici, non solo come supporto operativo ma anche come strumento di pressione psicologica nelle estorsioni legate ai dataleak.
Come ricevere gli indicatori di compromissione
Il feed degli Indicatori di Compromissione (IoC) mette a disposizione delle pubbliche amministrazioni i dati raccolti dal CERT nelle attività quotidiane di monitoraggio e prevenzione, come ad esempio gli indirizzi IP utilizzati per attività fraudolente, URL di siti malevoli, impronte hash di file dannosi e altre informazioni sulle campagne malevoli in atto.
Per ricevere questi dati è sufficiente compilare il modulo di accreditamento e seguire le indicazioni disponibili sulla pagina tematica del sito del CERT-AGID .
