30.12.2025 - La tradizione vuole che nella sua ultima retrospettiva settimanale l’Ufficio federale della cibersicurezza (UFCS) ripercorra le segnalazioni degli ultimi dodici mesi: in totale sono stati notificati quasi 65 000 ciberincidenti. L’aumento rispetto all’anno scorso è significativamente inferiore a quello degli anni precedenti. Sebbene il 2025 abbia visto le consuete segnalazioni di «chiamate minatorie a nome della polizia», in particolare nella seconda metà dell’anno le segnalazioni sono andate significativamente calando. Questo calo è stato compensato dalle segnalazioni di «pubblicità per frodi di investimento online». Sebbene l’aumento quantitativo è andato moderandosi, lo sviluppo qualitativo è notevole.
Settimana 52: Più mirate, più complesse, più sofisticate - l’UFCS ha ricevuto quasi 65 000 segnalazioni nel 2025
Le quasi 65 000 segnalazioni ricevute quest’anno sono in leggero aumento rispetto all’anno precedente. Con una quota del 26%, le «chiamate a nome di false autorità» sono ancora il fenomeno più frequentemente segnalato. Seguono il phishing con il 19% e la «pubblicità per frodi di investimento online» con il 9%. Il rapporto tra le segnalazioni provenienti dalla popolazione (90%) e quelle da parte di imprese, associazioni e autorità (10%) continua a mantenersi stabile. In termini di reati di frode più frequentemente segnalati dalle aziende, anche le frodi dei CEO hanno registrato un aumento quest’anno (2025: 970 / 2024: 719). Al contrario, è stato attestato solo un leggero aumento delle segnalazioni di frode sulle fatture (2025: 132 / 2024: 114). Dopo un calo significativo delle segnalazioni di ransomware lo scorso anno (2024: 92), le stesse sono leggermente aumentate quest’anno, passando a 104, ma rimanendo comunque a un livello inferiore rispetto al 2023 (109). Tuttavia, il numero di casi non è rivelatorio dell’entità del danno. Gli aggressori si concentrano infatti sempre più su obiettivi lucrativi: i danni occasionati da ogni singolo caso sono pertanto destinati ad aumentare in futuro. Va inoltre notato come gli attacchi ransomware hanno quasi sempre coinciso con una fuga di dati, incrementando ulteriormente l’entità del danno. Parallelamente si registra un calo delle segnalazioni di attacchi DDoS. Mentre l’anno scorso sono state ricevute 48 segnalazioni, quest’anno sono state soltanto 35.
Più mirate, più complesse, più sofisticate
Mentre le segnalazioni di frodi sono diminuite di circa 5500 casi, quelle di spam sono aumentate di circa 6500. Le altre categorie sono rimaste praticamente invariate. Il calo delle frodi è dovuto quasi esclusivamente alla diminuzione delle segnalazioni del fenomeno delle «chiamate fraudolente a nome di autorità pubbliche». D’altra parte, l’aumento dello spam è dovuto principalmente al fenomeno della «pubblicità per frodi di investimento online», mentre le segnalazioni di phishing sono rimaste stabili. A prima vista, le cifre non sembrano spettacolari, ma la qualità degli attacchi sta cambiando in modo significativo. Ciò è particolarmente evidente nel fenomeno del phishing. La tendenza si sta infatti spostando dagli attacchi di massa a quelli personalizzati: gli aggressori investono del tempo per colpire singole vittime. Alla luce dei risultati, è uno sforzo che vale la pena compiere.
Ciò risulta evidente negli attacchi di phishing legati ai piccoli annunci, che sono aumentati soprattutto nella prima metà del 2025. I truffatori si fingono potenziali acquirenti e durante il processo di pagamento fingono che si debba andare su una pagina speciale per ricevere il denaro. A seconda della banca di appartenenza, verranno richiesti diversi dati di accesso all’e-banking. In questo caso, tuttavia, i truffatori non prendono di mira direttamente l’e-banking, bensì l’account TWINT della vittima, che in molti casi è collegato al conto bancario. A differenza di un conto bancario, i pagamenti possono essere effettuati istantaneamente. L’importo delle transazioni è limitato solo dalla soglia stabilita dalla vittima. Inoltre, i criminali utilizzano i conti TWINT violati per riciclare denaro e nascondere l’origine dei pagamenti.
Una nuova dimensione: attacchi phishing sofisticati con «SMS blaster»
Quest’anno è stata osservata anche una nuova variante per la diffusione di messaggi di phishing. A partire dall’estate, l’UFCS ha ricevuto numerose segnalazioni di SMS con presunte multe di parcheggio nella Svizzera romanda. Questi tentativi di phishing erano già noti all’UFCS, ma soprattutto sotto forma di e-mail. La novità, quindi, è l’invio mirato tramite SMS. È stato particolarmente sorprendente che i destinatari si fossero trovati nelle stesse aree geografiche poco prima di ricevere il messaggio. Ciò indica che i cibercriminali stavano utilizzando strumenti tecnici per manipolare l’invio dei messaggi di testo. Come si è scoperto in seguito, gli aggressori hanno utilizzato i cosiddetti «SMS blaster»: dispositivi mobili che si spacciano per stazioni radio mobili legittime. Questo ha permesso ai truffatori di inviare SMS falsi direttamente ai dispositivi nelle vicinanze. Le vittime hanno ricevuto il messaggio senza che il loro numero di telefono fosse noto agli autori. Il link contenuto nel messaggio portava a una pagina di pagamento a prima vista autentica che attingeva ai dati della carta di credito.
Nel mirino dei truffatori anche i dati «poco appariscenti»
Oltre alle fughe di dati note, l’anno scorso l’UFCS ha osservato un aumento degli attacchi in cui i truffatori hanno raccolto attivamente informazioni personali. Mentre il phishing classico mira principalmente a impossessarsi di account di e-banking o di posta elettronica, queste campagne perseguono un obiettivo diverso: la creazione di un profilo di dati delle vittime il più completo possibile. Gli autori hanno creato siti web ingannevolmente credibili copiando il design di istituzioni affidabili come banche, compagnie assicurative, casse malati o fornitori di servizi di pagamento. Con il pretesto di «verificare» o «aggiornare» i dati, agli utenti è stato chiesto di rivelare numerose informazioni. I dati richiesti andavano ben oltre i dati di accesso. In un caso recente, un sito web falso ha richiesto una firma digitale oltre ai dati personali in relazione a un presunto rimborso. I profili delle vittime così creati sono particolarmente preziosi per le attività criminali, in quanto consentono il furto di identità, gli attacchi mirati di social engineering o la rivendita di dati sul mercato nero. Più completa è l’informazione, maggiore è il potenziale profitto.
Sempre più abusati anche i nomi delle aziende
Non sono solo i privati a essere bersaglio di furti d’identità, ma sempre più spesso anche le aziende. Il motivo è l’alto livello di fiducia nel nome di un’azienda consolidata, che i truffatori sfruttano a proprio vantaggio. Le aziende che non hanno un proprio sito web sono particolarmente a rischio, in quanto non sono praticamente presenti su Internet e la loro identità può essere facilmente imitata. I cibercriminali utilizzano un approccio sistematico: cercano le aziende nei registri di commercio, registrano i domini opportuni e creano siti web a prima apparenza autentici. Per fingere serietà, utilizzano dati ufficiali come l’indirizzo e il numero di registro di commercio della società reale. Su questa base, lanciano una serie di truffe: da false offerte di lavoro e falsi negozi online a piattaforme di investimento progettate professionalmente. L’uso improprio di un’identità aziendale realmente esistente riduce notevolmente lo scetticismo delle potenziali vittime e aumenta le possibilità di successo degli autori senza che questi debbano costruirsi una reputazione credibile.
Il ruolo dell’intelligenza artificiale nella cibercriminalità
Sebbene l’intelligenza artificiale stia giocando un ruolo crescente nella cibercriminalità, non è ancora così dominante come ci si potrebbe aspettare. L’anno scorso ha colpito in modo particolare l’uso dell’IA nelle campagne pubblicitarie per le frodi sugli investimenti online. Ad esempio, sono state realizzate interviste a prima vista reali a noti politici che avrebbero raccomandato un metodo segreto per investire denaro con alti rendimenti. Questi contenuti deepfake sfruttano la fiducia nelle personalità più conosciute per manipolare le vittime. Ora emergono anche i primi casi di immagini compromettenti create con l’aiuto dell’IA per ricattare le persone. Questo sviluppo dimostra che l’intelligenza artificiale offre ai cibercriminali nuove opportunità per rendere i loro attacchi più credibili e personalizzati. Alla luce dei rapidi progressi tecnologici, si può ipotizzare che tali metodi occuperanno l’UFCS sempre di più nei prossimi anni. Tuttavia, non va dimenticato che questi approcci offrono l’opportunità di comprenderne meglio la complessità e ridurre i rischi in modo precoce.
Obbligo di segnalare ciberattacchi a infrastrutture critiche
Dal 1º aprile 2025, gli operatori di infrastrutture critiche devono segnalare i ciberattacchi all’UFCS entro 24 ore. Le 221 segnalazioni ricevute finora consentono all’UFCS di ottenere una migliore panoramica della situazione delle minacce informatiche in Svizzera e dei metodi usati dagli aggressori. Le conoscenze acquisite supportano la gestione di incidenti specifici, la valutazione della situazione nazionale di minaccia e l’allerta tempestiva delle organizzazioni potenzialmente interessate. È inoltre particolarmente positivo che, dall’entrata in vigore dell’obbligo di segnalazione, un numero crescente di organizzazioni (attualmente 1660) abbia partecipato attivamente allo scambio di informazioni, che l’UFCS continuerà a perseguire per rafforzare ulteriormente la sicurezza informatica della Svizzera.
L’Ufficio federale della cibersicurezza vi ringrazia per la vostra fiducia e il vostro sostegno e vi augura un nuovo anno senza frodi e virus e un buon inizio del 2026!
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 30.12.2025
