Attacchi informatici 2025 alle aziende italiane: analisi dei casi reali e lezioni apprese

Il 2025 conferma un trend ormai strutturale: il sistema produttivo italiano rappresenta un target privilegiato per attacchi informatici sempre più sofisticati. La combinazione di digitalizzazione accelerata, integrazione IT/OT e forte dipendenza da supply chain interconnesse ha ampliato in modo significativo la superficie di attacco.

Nel corso del 2025, la criminalità digitale ha ulteriormente affinato strumenti, tattiche e obiettivi, dimostrando una capacità di adattamento che spesso supera la velocità di risposta delle organizzazioni.

Gli attacchi non si concentrano più esclusivamente sulla sottrazione di dati, ma puntano in modo crescente a interrompere processi critici, paralizzare le attività operative e colpire la reputazione delle aziende. Secondo i dati disponibili, nei primi sei mesi del 2025 l’Italia ha concentrato circa il 10,2 % degli attacchi informatici a livello mondiale, in aumento rispetto al 9,9 % del 2024. Un dato che conferma come le vulnerabilità del tessuto produttivo nazionale abbiano una rilevanza significativa anche sul piano internazionale.

Tecniche come hacktivism, attacchi DDoS e malware avanzati hanno colpito indistintamente infrastrutture IT e ambienti OT, evidenziando la necessità di un approccio alla sicurezza realmente integrato. Il bilancio dell’anno riporta oltre 9.200 attacchi registrati e quasi 50.000 alert preventivi diramati dalla Polizia Postale, numeri che raccontano un fenomeno in costante evoluzione.

In questo contesto, l’analisi di casi reali consente di osservare con maggiore chiarezza come si sviluppano gli attacchi, quali vulnerabilità vengono sfruttate e quali conseguenze operative ne derivano per le aziende coinvolte.

Gennaio 2025 – Conad

Conad, tra le principali insegne della Grande Distribuzione Organizzata in Italia, con una rete capillare di punti vendita e una filiera logistica altamente digitalizzata, è stata colpita tra la fine del 2024 e l’inizio del 2025 da un attacco hacker di tipo. L’operazione è riconducibile al modello ormai consolidato della doppia estorsione: il gruppo criminale è riuscito ad accedere ai sistemi aziendali e a copiare parte dei dati interni prima di avviare la richiesta di riscatto, minacciandone la pubblicazione.

• Vulnerabilità sfruttate: Il vettore di attacco non è stato reso pubblico e non sono state comunicate CVE specifiche. Tuttavia, il profilo dell’attacco è coerente con tattiche comunemente utilizzate dai gruppi ransomware, che includono phishing mirato, compromissione di credenziali e abuso di servizi esposti o configurazioni non aggiornate.
• Conseguenze: sono stati sottratti documenti aziendali interni, tra cui contratti con fornitori, piani operativi e materiali HR. A seguito del mancato pagamento del riscatto, parte delle informazioni è stata pubblicata. L’azienda ha coinvolto la Polizia Postale e notificato l’incidente al Garante per la Protezione dei Dati Personali. Secondo le comunicazioni ufficiali, non risultano compromessi dati dei clienti.
• Lezioni apprese: Il caso evidenzia l’importanza di un approccio strutturato alla threat intelligence, dell’analisi degli hash associati ai gruppi ransomware e di attività preventive come penetration testing sugli accessi remoti, patch management rigoroso e controlli di accesso basati sui ruoli (RBAC).

Gennaio 2025 – Marposs S.p.A

Marposs S.p.A., realtà di riferimento nella meccatronica e nei sistemi di misura e controllo per l’industria manifatturiera, è stata colpita il 26 gennaio 2025 da un attacco Ransomware di tipo Cryptolocker., che ha portato alla cifratura di alcuni server aziendali, con impatti diretti sui reparti logistici e amministrativi.

• Vulnerabilità sfruttate: non sono stati divulgati dettagli tecnici specifici. Il pattern osservato è coerente con campagne di phishing e compromissione di credenziali, spesso aggravate dalla presenza di sistemi legacy non aggiornati e da una segmentazione interna insufficiente.
• Conseguenze: La cifratura dei dati ha causato rallentamenti operativi significativi, rendendo necessario il ricorso alla cassa integrazione per alcuni reparti. La produzione ha subito impatti più contenuti, ma comunque rilevanti in termini di coordinamento e pianificazione.
• Lezioni apprese: Il monitoraggio di indicatori tipici dei ransomware Cryptolocker, come l’eliminazione delle shadow copy e la cifratura estesa di endpoint e server, risulta cruciale. Backup offline, segmentazione della rete e simulazioni periodiche di attacco informatico sono elementi chiave per rafforzare la resilienza.

Ottobre 2025 – Poltronesofà S.p.A.

Poltronesofà S.p.A., brand leader nel settore dell’arredo con un modello di business omnicanale, ha subito il 27 ottobre 2025 un attacco Ransomware con possibile esfiltrazione e cifratura dei dati presenti sui server aziendali.

L’incidente ha compromesso l’accesso a macchine virtuali critiche e ha esposto l’azienda a obblighi di notifica in conformità alle normative GDPR.

• Vulnerabilità sfruttate: in assenza di un’analisi tecnica pubblica, fonti di settore indicano come probabili vettori di attacco lo spear phishing, la compromissione delle credenziali e i movimenti laterali all’interno di reti non adeguatamente segmentate.
• Conseguenze: I server aziendali sono stati cifrati e resi temporaneamente inaccessibili. L’azienda ha isolato i sistemi e avviato le attività di ripristino con il supporto di specialisti esterni. Sono stati potenzialmente esposti dati anagrafici di migliaia di clienti, con il rischio di successive campagne di phishing mirato e social engineering basate su informazioni sottratte.
• Lezioni apprese: il caso sottolinea la centralità dell’autenticazione multifattoriale (MFA), della rotazione sicura delle credenziali e del monitoraggio continuo tramite SIEM ed EDR per intercettare comportamenti anomali nelle fasi iniziali dell’attacco cibernetico.

Novembre 2025 – Fulgar S.p.A.

Tra la fine di ottobre e l’inizio di novembre 2025 Fulgar S.p.A., azienda attiva nel settore tessile e fashion con una forte proiezione internazionale, è stata colpita da un attacco Ransomware rivendicato dal gruppo RansomHouse. Secondo quanto riportato, l’attacco avrebbe comportato la possibile esfiltrazione di dati finanziari e comunicazioni interne.

• Vulnerabilità sfruttate: Non sono disponibili informazioni pubbliche su CVE o exploit utilizzati. Il comportamento rivendicato dal gruppo suggerisce una combinazione di phishing e compromissione di credenziali, seguita da accesso persistente ai sistemi interni.
• Conseguenze: Come misura precauzionale, l’azienda ha spento i sistemi IT in Italia e ha avviato le attività di ripristino con una task force mista interna ed esterna. I dati potenzialmente esposti includono documenti contabili, bilanci, email interne e comunicazioni con partner, con evidenti rischi reputazionali e impatti sulla supply chain.
• Lezioni apprese: Il caso mette in evidenza l’importanza dell’analisi forense post-incidente, della verifica dei backup air-gapped, di una gestione rigorosa delle patch e dell’implementazione di sistemi IDS/IPS. I feed di threat intelligence risultano fondamentali per individuare indicatori come note di riscatto, indirizzi di pagamento e hash di payload noti.

Novembre 2025 – Ponzini S.p.A.

L’8 novembre 2025 il gruppo criminale DragonForce ha rivendicato un attacco Ransomware ai danni di Ponzini S.p.A., azienda specializzata nella produzione di prodotti per la cura della persona. dichiarando l’esfiltrazione di oltre 314 GB di dati aziendali prima della possibile pubblicazione.

• Vulnerabilità sfruttate: La disclosure non riporta CVE specifiche. Il pattern operativo attribuito a DragonForce prevede l’utilizzo di servizi di accesso remoto non adeguatamente protetti (RDP/VPN), credenziali compromesse e movimenti laterali non rilevati all’interno della rete.
• Conseguenze: Gli attaccanti hanno minacciato la pubblicazione di dati sensibili, tra cui documentazione finanziaria, email interne e file riservati. Il sito aziendale è rimasto operativo e non sono state comunicate interruzioni dirette delle attività produttive.
• Lezioni apprese: Il caso conferma che la fase di esfiltrazione precede spesso la cifratura dei sistemi. Indicatori come compressioni anomale di grandi volumi di dati e trasferimenti verso infrastrutture esterne devono essere monitorati tramite strumenti di Data Loss Prevention e network monitoring. MFA, segmentazione della rete e attività strutturate di threat hunting risultano essenziali.

Dicembre 2025 – Fiorucci

A fine dicembre 2025, Fiorucci, storica azienda italiana del settore alimentare e brand di riferimento nel comparto dei salumi, è stata colpita nel pieno del periodo natalizio da un grave attacco informatico di tipo ransomware che ha compromesso i sistemi deputati all’elaborazione e alla gestione degli ordini.

Secondo quanto comunicato ufficialmente dall’azienda, l’attacco hacker di natura criminale ha interessato i sistemi informatici utilizzati per la gestione delle attività commerciali. A seguito dell’incidente, Fiorucci non è stata temporaneamente in grado di processare ed evadere le consegne già programmate né di accettare nuovi ordini attraverso i canali digitali.

• Vulnerabilità sfruttate: nel comunicato ufficiale non sono stati resi pubblici dettagli tecnici relativi alle vulnerabilità o ai vettori di accesso utilizzati. In assenza di informazioni su CVE o exploit specifici, l’attacco risulta coerente con scenari comunemente osservati nel settore food, in cui i sistemi di order management e supply chain possono essere esposti a rischi legati a phishing mirato, compromissione di credenziali o accessi applicativi non adeguatamente protetti. L’impatto sui sistemi di gestione ordini suggerisce un attacco mirato alla discontinuità operativa, più che alla sola esfiltrazione dei dati.
• Conseguenze: l’attacco ha determinato la sospensione delle operazioni informatizzate di gestione degli ordini in uno dei periodi più delicati dell’anno. La discontinuità operativa ha generato ritardi nelle consegne e criticità nella distribuzione dei prodotti, con potenziali effetti sull’intera catena di approvvigionamento. L’azienda ha precisato che i dati coinvolti nell’attacco informatico non risultano essere stati divulgati o diffusi a terzi, ma esclusivamente cifrati. Le informazioni personali interessate riguarderebbero unicamente i dati di contatto presenti nelle anagrafiche clienti.
• Lezioni apprese: il caso Fiorucci evidenzia come un attacco cibernetico che colpisce i sistemi di gestione degli ordini possa produrre effetti immediati sulla continuità operativa, soprattutto in contesti caratterizzati da elevata stagionalità. La protezione dei sistemi applicativi critici, la segmentazione delle infrastrutture logistiche, la disponibilità di piani di business continuity testati e una comunicazione tempestiva e trasparente rappresentano elementi essenziali per ridurre l’impatto di un attacco informatico nel settore alimentare.

I dati della Polizia Postale e l’analisi dei casi esaminati convergono su un punto chiave: la maggior parte degli incidenti non nasce da una vulnerabilità tecnica, ma da comportamenti quotidiani. Un clic su un link di phishing, una password riutilizzata o un allegato aperto senza verifica diventano spesso il primo varco che gli attaccanti sfruttano per infiltrarsi nei sistemi.

Questi comportamenti aprono la strada a ransomware, malware e campagne mirate, con conseguenze immediate come cifratura dei dati, richieste di riscatto, interruzioni operative e danni reputazionali. Le PMI e le organizzazioni meno strutturate risultano particolarmente esposte.

In questo contesto, la formazione non è solo un obbligo formale, ma una leva strategica. Deve essere continua, pratica e calibrata sui diversi ruoli aziendali. Programmi di awareness strutturati, simulazioni realistiche e micro-learning possono ridurre fino all’80% il rischio legato al social engineering, contribuendo a costruire una cultura diffusa della sicurezza.

Il vero punto debole delle aziende non è la tecnologia, ma il modo in cui viene utilizzata. Azioni quotidiane apparentemente innocue possono compromettere intere infrastrutture.

La resilienza digitale nasce dalla consapevolezza, supportata da processi chiari e tecnologie adeguate. Formazione continua, simulazioni realistiche e responsabilizzazione dei team trasformano ogni dipendente da potenziale punto di vulnerabilità a primo livello di difesa. La

sicurezza non è più un costo operativo, ma un asset strategico fondato sulla cultura e sul comportamento umano.