l nuovo Digital Defense Report di Microsoft rivela che il guadagno finanziario supera di gran lunga lo spionaggio. L'IA accelera le minacce, ma la difesa più semplice resta l'autenticazione a più fattori.
L’era dei cyberattacchi non è più dominata solo dallo spionaggio tra nazioni. Oggi, il motore principale che muove i criminali informatici è il denaro. Oltre la metà dei cyberattacchi con motivazioni note (almeno il 52%) è stata guidata da tentativi di estorsione o da ransomware. Al contrario, gli attacchi focalizzati esclusivamente sullo spionaggio hanno rappresentato appena il 4% degli incidenti.
È questo il quadro allarmante che emerge dall’ultimo Microsoft Digital Defense Report, che analizza i trend globali della cybersicurezza tra luglio 2024 e giugno 2025. Sebbene le minacce provenienti da stati-nazione rimangano un pericolo serio, la stragrande maggioranza degli attacchi che le organizzazioni affrontano quotidianamente proviene da “criminali opportunisti che cercano di realizzare un profitto”.
Il rapporto, redatto con il Chief Information Security Officer Igor Tsyganskiy, evidenzia come l’80% degli incidenti analizzati dai team di Microsoft avesse come obiettivo il furto di dati, una tendenza trainata più dal guadagno finanziario che dalla raccolta di informazioni di intelligence.
La democratizzazione del Cybercrime grazie all’IA
La portata del problema è immensa: Microsoft elabora quotidianamente oltre 100 trilioni di segnali di minaccia e blocca circa 4,5 milioni di nuovi tentativi di malware. Secondo il colosso tecnologico, questa escalation è dovuta alla facile reperibilità di strumenti “pronti all’uso” (off-the-shelf) che permettono anche a criminali con competenze tecniche limitate di espandere le loro operazioni.
L’intelligenza artificiale ha ulteriormente aggravato questa tendenza. I criminali la utilizzano per accelerare lo sviluppo di malware, automatizzare campagne di phishing e creare contenuti sintetici (come audio o video falsi) sempre più realistici, rendendo gli attacchi più efficienti. Di conseguenza, “gli attori malevoli opportunisti ora prendono di mira tutti, grandi o piccoli”, trasformando il cybercrime in una minaccia universale.
Servizi critici nel mirino
I bersagli privilegiati di questi attacchi sono spesso i servizi pubblici essenziali, il cui blocco ha un impatto diretto sulla vita delle persone. Ospedali, governi locali e sistemi di trasporto sono obiettivi primari perché spesso dispongono di budget per la sicurezza limitati, software obsoleto e scarse capacità di risposta agli incidenti.
Gli attori ransomware, in particolare, si concentrano su questi settori perché sanno che le vittime hanno opzioni limitate. “Un ospedale,” nota il report, “deve risolvere rapidamente il blocco dei suoi sistemi crittografati, o i pazienti potrebbero morire, non lasciando potenzialmente altra scelta che pagare il riscatto”. I dati sensibili rubati a governi e istituti di ricerca vengono poi monetizzati sul dark web, alimentando ulteriori attività criminali.
Digital Defense Report: gli Stati-Nazione espandono le operazioni
Sebbene la criminalità comune domini in volume, il report avverte che gli attori sponsorizzati da stati-nazione stanno espandendo le loro operazioni, focalizzandosi sullo spionaggio e, in alcuni casi, anche sul guadagno finanziario.
- Cina: Continua la sua vasta campagna di spionaggio e furto di dati, prendendo sempre più di mira ONG e sfruttando dispositivi vulnerabili per evitare di essere scoperta.
- Iran: Ha ampliato i suoi obiettivi, colpendo aziende di logistica e spedizioni in Europa e nel Golfo Persico, sollevando timori sulla possibile interferenza con le operazioni commerciali marittime.
- Russia: Pur concentrandosi sull’Ucraina, ha allargato i suoi obiettivi ai paesi NATO che sostengono Kyiv. Microsoft ha osservato attacchi russi contro piccole imprese in questi paesi, forse utilizzate come “punti di snodo” per accedere a organizzazioni più grandi.
- Corea del Nord: Rimane focalizzata sulla generazione di entrate e sullo spionaggio. Migliaia di lavoratori IT nordcoreani affiliati allo stato hanno cercato impiego in aziende di tutto il mondo, inviando i loro stipendi al regime.
Gli avversari non sfondano le difese: “Stanno semplicemente accedendo”
In un contesto di minacce così sofisticate, una statistica spicca su tutte: oltre il 97% degli attacchi all’identità sono attacchi basati su password. Solo nella prima metà del 2025, questi attacchi sono aumentati del 32%.
Ciò significa che la maggior parte dei tentativi di accesso malevolo avviene tramite attacchi su larga scala per indovinare le password, spesso ottenute da fughe di dati (credential leaks). A questo si aggiunge un aumento nell’uso di malware “infostealer”, progettati per rubare segretamente credenziali e token di sessione del browser, che vengono poi venduti nei forum criminali.
La soluzione, fortunatamente, è semplice. Microsoft sottolinea che “l’implementazione dell’autenticazione a più fattori (MFA) resistente al phishing può bloccare oltre il 99% di questo tipo di attacchi”, anche se l’aggressore è in possesso della password corretta.
Digital Defense Report: una priorità strategica condivisa
Il report si conclude con un appello: la cybersicurezza non è più solo un problema IT, ma “una priorità strategica fondamentale”. Le misure di sicurezza tradizionali non sono più sufficienti.
Mentre aziende come Microsoft utilizzano l’IA per individuare minacce e proteggere gli utenti, il report invoca un’azione collettiva. “Le sole misure difensive non sono sufficienti per scoraggiare gli avversari statali,” afferma Microsoft, esortando i governi a costruire quadri normativi che impongano “conseguenze credibili e proporzionate” per le attività malevole, come sanzioni e incriminazioni.
