Nozomi Networks Labs: attacchi ransomware minacciano il 30% del PIL mondiale, manifatturiero italiano nel mirino

Il nuovo report OT & IoT Security rileva come la Data Manipulation sia la prima tecnica di attacco in Italia, mentre i trasporti sono il settore più colpito a livello globale

Il 70% dell’attività ransomware globale è diretta verso i principali paesi anglofoni, secondo il più recente rapporto OT & IoT Security di Nozomi Networks Labs. Nella seconda metà dello scorso anno, il 40% di tutti gli attacchi ransomware ha preso di mira aziende con sede negli Stati Uniti, mentre gli attacchi contro Canada e Regno Unito hanno rappresentato complessivamente il 30% degli attacchi ransomware.

Poiché i threat actor aumentano l’uso dell’intelligenza artificiale generativa nelle loro attività, gli attacchi contro le aziende dei principali paesi anglofoni stanno crescendo in scala e hanno una maggiore probabilità di successo. Un dato allarmante se consideriamo che questi tre Paesi rappresentano quasi il 30% del PIL mondiale, gli attaccanti hanno quindi il potenziale per causare una massiccia disruption macroeconomica in caso di successo dei loro attacchi.

Leggi il report completo

OT/IoT Cybersecurity Trends and Insights, February 2026

Altri risultati chiave di questo ultimo rapporto includono:

Le reti wireless continuano a rappresentare una grave minaccia per la sicurezza

Le comunicazioni wireless sono sempre più presenti negli ambienti industriali e nelle infrastrutture critiche, spesso senza una progettazione mirata o un’attenzione specifica alla sicurezza, talvolta completamente all’insaputa degli stessi operatori.

Il report di Nozomi ha rilevato che il 68% delle reti wireless osservate opera ancora senza Management Frame Protection (MFP) nonostante utilizzi crittografia moderna, e solo il 2% delle organizzazioni utilizza un’autenticazione di livello enterprise, come 802.1X. Inoltre, circa il 98% delle reti wireless osservate si affida esclusivamente all’autenticazione basata su Pre-Shared Key (PSK), cosa che lo rende di gran lunga il modello dominante negli ambienti operativi.

Questo è particolarmente preoccupante poiché le credenziali condivise eliminano la responsabilità individuale e consentono un riutilizzo a lungo termine, rendendo difficile distinguere l’accesso legittimo dall’uso improprio una volta esposte. Sebbene il modello di sicurezza PSK funzioni bene per bar e Wi-Fi aperte agli ospiti, non è certo adatto alle imprese industriali.

2025: trasporti nel mirino globale, crescono le attività ostili nel settore pubblico

In entrambi i semestri del 2025, il settore dei trasporti è stato il più colpito a livello globale. Nella seconda metà dell’anno, è stato seguito dai settori manifatturiero e pubblico. In particolare, gli attacchi contro il settore pubblico sono aumentati considerevolmente tra il primo e il secondo semestre del 2025, in gran parte a causa delle crescenti tensioni geopolitiche, che hanno favorito un incremento dell’attività da parte di attori statali e fenomeni di hacktivismo. Una caratteristica distintiva del settore pubblico è stata la prevalenza delle tattiche di Discovery, le più comunemente rilevate, probabilmente perché molti threat actor sono ancora nella fase di esplorazione degli ambienti che intendono colpire.

L’attività di Scattered Spider rappresenta quasi la metà degli attacchi

Dopo un periodo molto attivo nell’estate del 2025, Scattered Spider ha rappresentato il 42,9% di tutti gli alert relativi ad attori malevoli nella seconda metà dell’anno. Kimsuky (dalla Corea del Nord), APT29 (dalla Russia), Curium (dall’Iran) e Mustard Tempest (senza affiliazione specifica a stati nazionali) sono stati i gruppi più attivi, rispettivamente dal secondo al quinto posto. Sulla base di questi risultati e date le attuali tensioni geopolitiche, Nozomi prevede che le attività legate a Cina, Iran e Russia saranno le tendenze dominanti da monitorare nel 2026.

L’Italia registra un profilo di minaccia distintivo: Data Manipulation e attacchi al manifatturiero

L’Italia presenta un quadro di minacce peculiare rispetto al panorama globale dove dominano gli attacchi Adversary-in-the-Middle (AiTM), in Italia la tecnica più utilizzata è stata la Data Manipulation, responsabile di oltre un quarto di tutti gli alert. Questa è stata anche la tecnica principale nel periodo di rilevazione precedente, confermandola come un pattern di minaccia strutturale e persistente piuttosto che un picco stagionale.

Il Brute Force si è classificato al secondo posto. Questo profilo suggerisce che gli attaccanti che prendono di mira l’Italia si concentrano sulla corruzione silenziosa dei dati operativi: che può indurre decisioni errate, innescare processi non sicuri, creare non conformità normative e causare danni significativi a valle prima che qualcuno si renda conto che i dati sono compromessi.

Il settore più colpito in Italia è stato il manifatturiero, seguito dai trasporti. Considerando la peculiare base industriale italiana questo dato assume rilevanza strategica. Gli attacchi al manifatturiero possono bloccare le linee di produzione, provocare perdite finanziarie e interrompere le supply chain con effetti a cascata.

Tra gli incidenti più rilevanti, nell’estate 2025 diversi hotel italiani sono stati compromessi in un attacco coordinato che ha portato al furto di decine di migliaia di documenti d’identità.

Approfondimenti sulla sicurezza e raccomandazioni per proteggere le infrastrutture critiche

“Le infrastrutture critiche non hanno mai affrontato un panorama di minacce più pericoloso, e la scala e la gravità degli attacchi contro di esse non faranno che aumentare”, spiega Chris Grove, Director of Cybersecurity Strategy di Nozomi Networks. “È imperativo per gli operatori comprendere l’attuale panorama delle minacce e preparare i propri sistemi di conseguenza. Devono stabilire una chiara visibilità degli asset, sfruttare sistemi di sicurezza basati sull’intelligenza artificiale per rilevare anomalie e minacce, dare priorità alla gestione delle vulnerabilità basata sul rischio e consentire la condivisione di intelligence per tenere il passo con le tattiche in evoluzione.”

Il report “OT/IoT Cybersecurity Trends and Insights” di Nozomi Networks Labs fornisce ai professionisti della sicurezza informazioni aggiornate per rivalutare i modelli di rischio e le iniziative di sicurezza, oltre a raccomandazioni per la protezione delle infrastrutture critiche.

Contenuti correlati

• 
  IndraMind Cybersecurity rafforza la protezione del gruppo Arvedi

  IndraMind Cybersecurity, l’unità di cybersecurity di IndraMind (Indra Group), ha implementato per il Gruppo Arvedi, tra i principali produttori siderurgici italiani, un servizio di sicurezza gestita (Managed Global Security Service) attivo H24, 7 giorni su 7, che...
• 
  Dalla robotica alla Robotica-as-a-Service: come cambia l’approccio all’automazione delle PMI

  L’automazione non è più una prospettiva futura: è già realtà nella maggior parte delle aziende industriali italiane. Secondo una recente indagine di reichelt elektronik, l’83% delle imprese utilizza già robot nei propri processi produttivi. Tuttavia, la modalità...
• 
  Manifatturiero sotto pressione: AI e automazione, una risposta concreta per le PMI

  L’Emilia-Romagna è la seconda Regione italiana per PIL pro capite e un polo di eccellenza manifatturiera che vale il 23% del suo PIL, ben al di sopra della media nazionale (14%). Un primato costruito in decenni che...
• 
  Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescita

  Rockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report. La ricerca evidenzia un cambiamento nell’approccio dei produttori italiani alla trasformazione digitale: oggi, infatti, crescita ed espansione della capacità produttiva...
• 
  The smarter E Europe: networking sicuro per infrastrutture energetiche critiche con Moxa

  Moxa Europe GmbH, azienda punto di riferimento nelle soluzioni di comunicazione e networking industriale, presenterà a EM-Power Europe, nell’ambito di The smarter E Europe (Messe München dal 23 al 25 giugno 2026), presso il Padiglione B.5, Stand...
• 
  Si delinea il programma di secsolutionforum 2026

  Secsolutionforum 2026 torna in presenza il 7 e 8 ottobre 2026 a BolognaFiere, all’interno di Urban Tech 2026 – The Urban Technology Show, l’ecosistema dedicato a e-mobility, traffic, commuting, tlc & data ed environment. Dopo sei edizioni...
• 
  Lo standard IEC62443

  Vediamo qui la norma IEC62443, che stabilisce linee guida e regole da seguire per la sicurezza delle reti industriali OT Leggi l’articolo
• Manifatturiero italiano sotto attacco: ecco il paradosso che i dati non raccontano

  “Never touch a running system”: è il principio non scritto che governa la gestione dei macchinari in molti stabilimenti italiani. Non per resistenza al cambiamento, ma perché ogni intervento può avere un costo operativo immediato e, a volte,...
• 
  Moxa ottiene la prima certificazione IEC 62443-4-2

  Moxa annuncia che la sua serie NPort 6000-G2 è diventata il primo server di dispositivi seriali al mondo a ottenere la certificazione IEC 62443-4-2 Livello di Sicurezza 2 nell’ambito dello schema di certificazione IECEE. Questo traguardo riflette l’impegno...
• 
  Tra crescente consapevolezza e incompleta maturità

  Le aziende italiane aumentano l’attenzione alla cybersecurity, ma restano divari operativi, soprattutto nelle PMI. Tra minacce sempre più evolute e nuove tecnologie, emerge la necessità di un approccio strutturato, resiliente e orientato al modello Zero Trust Leggi...