Nel 2025 il panorama delle truffe digitali in Italia ha attraversato una mutazione significativa. Non stiamo parlando di un semplice aumento numerico, ma di un cambio di strategia da parte dei criminali informatici: hanno imparato a trasformare la fiducia nei servizi pubblici in un’arma contro i cittadini. Il CERT-AGID, la struttura dell’Agenzia per l’Italia Digitale che presidia la sicurezza informatica della Pubblica Amministrazione, ha censito 3.620 campagne malevole attive nel corso dell’anno, distribuendo 51.530 indicatori di compromissione alle amministrazioni coinvolte. I numeri raccontano una storia precisa: gli attacchi diventano sempre più mirati, sfruttano canali considerati sicuri e puntano su esche che fanno leva sulla quotidianità. Ordini online, home banking, pagamenti digitali e presunte sanzioni amministrative rappresentano i terreni di caccia preferiti per campagne di phishing e distribuzione di malware. Ma il 2025 ha portato con sé due novità particolarmente insidiose: l’esplosione delle truffe a tema PagoPA e l’abuso sistematico della Posta Elettronica Certificata come veicolo di attacco.
Il fenomeno del phishing PagoPA merita un’analisi approfondita. Il CERT-AGID ha rilevato 328 campagne basate su falsi solleciti di pagamento per presunte multe stradali. Le prime tracce emergono a fine marzo, ma è da maggio che la strategia prende quota, arrivando a rappresentare circa il 9 per cento di tutte le campagne malevole censite. Il meccanismo è tanto semplice quanto efficace: arriva una email che comunica una violazione del codice della strada, invita a pagare tramite PagoPA e fornisce un link. Il link porta a una pagina contraffatta, visivamente identica a quella ufficiale, progettata per raccogliere dati personali e soprattutto informazioni sulle carte di pagamento. Qui non si tratta solo di tecnica: c’è un abuso reputazionale. PagoPA è diventato negli anni un punto di riferimento per i pagamenti verso la Pubblica Amministrazione, uno strumento che ha costruito credibilità attraverso un processo di adozione capillare. I criminali sfruttano proprio questo capitale di fiducia. Quando il mittente sembra istituzionale e il flusso comunicativo ricalca quello di un’interazione reale, aumenta esponenzialmente la probabilità che l’utente normalizzi l’azione: cliccare, inserire dati, concludere il pagamento.
Ma se PagoPA rappresenta la nuova frontiera delle esche di massa, la vera sorpresa del 2025 è l’uso massiccio della Posta Elettronica Certificata come canale d’attacco. Le campagne via PEC sono cresciute dell’80 per cento rispetto al 2024, con 103 eventi registrati. La domanda sorge spontanea: perché i criminali puntano proprio su un sistema nato per garantire valore legale e tracciabilità delle comunicazioni? La risposta sta nel paradosso della fiducia. La PEC viene percepita da molti utenti, compresi dipendenti pubblici e professionisti, come un canale intrinsecamente sicuro. Una email certificata genera automaticamente un livello di attenzione diverso, un bias cognitivo che abbassa le difese. I criminali lo sanno e lo sfruttano in due modi: compromettendo caselle legittime, trasformando mittenti buoni in distributori involontari di truffe e malware, oppure creando indirizzi PEC ad hoc che vengono poi dismessi rapidamente dopo le prime segnalazioni.
I messaggi veicolati tramite PEC spaziano dal phishing bancario alla distribuzione di malware come MintsLoader, un dropper capace di scaricare ulteriori payload malevoli una volta insediato nel sistema. Il report sottolinea una verità scomoda per la Pubblica Amministrazione: la sicurezza del canale non è un attributo di default. Va governata con igiene delle credenziali, autenticazione a più fattori dove possibile, monitoraggio costante delle anomalie di accesso e procedure interne che aiutino a distinguere l’autenticità del canale dall’autenticità del contenuto. Sul fronte dello smishing, cioè le truffe via SMS, si registra un calo del 23 per cento nel numero complessivo di campagne, ma con un elemento preoccupante: cambia la natura degli attacchi. La quota di messaggi usati per diffondere malware passa dal 28 per cento al 45 per cento in un solo anno. Meno volume, più infezioni. Gli SMS restano un vettore efficace per abusare di nomi di enti e servizi pubblici, spingendo le vittime a installare applicazioni fasulle, soprattutto su dispositivi Android.
Proprio Android rappresenta un terreno di crescita importante per i criminali. Le campagne malware contro il sistema operativo di Google sono aumentate del 55 per cento. Copybara, Irata e SpyNote sono le famiglie più diffuse. Spesso l’infezione parte da un SMS che invita a installare un presunto aggiornamento o una app bancaria, veicolando file APK dannosi. Gli archivi compressi, che da soli rappresentano quasi la metà di tutti i file malevoli rilevati, diventano il cavallo di Troia perfetto: formati come ZIP e RAR arrivano quasi al 30 per cento del totale, seguiti da 7Z, GZ, Z e TAR. Questi contenitori permettono di incapsulare file pericolosi o link malevoli, superando più facilmente i primi controlli di sicurezza dei server di posta. Tra le tecniche emergenti c’è ClickFix, una forma di ingegneria sociale che spinge l’utente a eseguire manualmente comandi sul proprio computer. Non è un exploit automatico, ma un inganno psicologico: falsi CAPTCHA o istruzioni apparentemente legittime che convincono la vittima a digitare comandi in PowerShell o a modificare impostazioni di sistema. Segnalata per la prima volta in Italia a gennaio 2025, è stata usata in circa 70 campagne, soprattutto per diffondere malware come AsycRat, Lumma Stealer e XWorm.
Sul piano tecnico, gli infostealer restano il malware più diffuso, coprendo circa il 60 per cento delle 90 famiglie identificate. Sono programmi progettati per rubare informazioni dal dispositivo della vittima in modo silenzioso e continuo: password salvate nei browser, sessioni attive, cookie, credenziali di portafogli digitali. FormBook è il malware più rilevato in Italia, davanti a Remcos e AgentTesla. I RAT, Remote Access Trojan, rappresentano circa il 30 per cento delle minacce e permettono ai criminali di controllare completamente il dispositivo infetto da remoto. Le catene di infezione diventano sempre più articolate, combinando ingegneria sociale, loader e dropper per aggirare i controlli automatici. La posta elettronica ordinaria rimane il canale principale di diffusione, usato nel 91,7 per cento dei casi, seguita da SMS con il 5,2 per cento e PEC con il 2,8 per cento, quest’ultima in forte crescita. Le campagne di phishing hanno coinvolto 153 brand e mirano soprattutto al furto di credenziali bancarie, accessi webmail e dati di pagamento.
Accanto ai formati compressi, continuano a essere molto usati PDF, documenti di testo, fogli di calcolo e presentazioni, che insieme rappresentano circa il 10 per cento dei file malevoli. Questi documenti possono contenere link a risorse dannose o macro VBA che eseguono codice al momento dell’apertura. I file di script come JS, VBS, BAT e PS1 coprono circa il 20 per cento dei casi, spesso impiegati nelle fasi intermedie delle catene di infezione, insieme agli eseguibili EXE avviabili con un semplice doppio clic. I file APK, utilizzati per diffondere applicazioni malevole su Android, rappresentano il 4,4 per cento del totale dei file analizzati. Un elemento che nel 2025 diventa strutturale è l’uso dell’intelligenza artificiale da parte dei criminali informatici. L’AI viene sfruttata in due direzioni.
La prima è la generazione di messaggi di phishing più credibili e personalizzati, capaci di adattarsi al contesto della vittima e di superare i filtri antispam. La seconda è ancora più inquietante: l’intelligenza artificiale compare come leva estorsiva nelle dinamiche ransomware. Alcuni gruppi criminali minacciano di usare i dati rubati per addestrare modelli di AI, affiancando questa pressione alla classica pubblicazione dei dati trafugati sui forum del dark web. Non è solo una minaccia tecnica, ma reputazionale: l’idea che informazioni sensibili possano essere processate, correlate e utilizzate per generare nuovi attacchi mirati crea un livello di ansia superiore.
Sul fronte dei dati trafugati, il CERT-AGID ha rilevato 89 compromissioni nel corso del 2025, per lo più legate alla diffusione illegale di database di aziende private e servizi commerciali. I file contenevano oltre 500mila indirizzi email riconducibili a enti pubblici e, nella maggioranza dei casi, anche password. Un caso particolarmente rilevante ha riguardato la vendita online di documenti d’identità sottratti a strutture alberghiere italiane. Tra giugno e luglio 2025 sono state rubate centinaia di migliaia di scansioni di documenti, con un’estensione progressiva delle violazioni che ha coinvolto dodici hotel nel corso dell’estate. Documenti che finiscono in mani sbagliate possono alimentare furti di identità, aperture di conti correnti fraudolenti, richieste di finanziamenti a nome della vittima. Cosa significa tutto questo per la Pubblica Amministrazione e per i cittadini? Significa che le minacce cyber sono uscite dalla dimensione tecnica per entrare in quella culturale e comportamentale. Non basta più installare un antivirus o attivare un firewall. Serve un cambio di paradigma nella percezione del rischio: ogni canale, anche quello considerato sicuro, va presidiato con consapevolezza. Ogni comunicazione che chiede un’azione urgente, un pagamento immediato, l’inserimento di dati personali deve essere verificata attraverso canali alternativi.
La PA ha una responsabilità doppia: proteggere le proprie infrastrutture e educare i cittadini. Le campagne di sensibilizzazione non possono limitarsi a consigli generici, devono entrare nel dettaglio delle tecniche, mostrare esempi concreti di email malevole, spiegare come verificare l’autenticità di un dominio, insegnare a riconoscere i segnali di allarme. Perché quando un servizio pubblico diventa esca di massa, il danno non è solo economico: è un colpo alla fiducia collettiva in un processo di digitalizzazione che dovrebbe semplificare la vita, non complicarla con nuovi pericoli.
