Trend Micro: la cybersecurity proiettata…

Si è tenuto a Milano l’edizione 2025 del SecurityBarCamp di Trend Micro, un evento a tema cybersecurity in cui l’azienda e i suoi partner tirano le somme sull’anno appena concluso e discutono i trend più significativi dei prossimi dodici mesi. Questa edizione del SecurityBarCamp ha visto ospiti molto importanti: ACN (Agenzia per la Cybersicurezza Nazionale), Ansaldo Energia e Aruba.

Nell’introduzione all’evento, tenuta da Alessandro Fontana, Country Manager di Trend Micro, è stato precisato che il SecurityBarCamp è un incontro in cui si parla di sicurezza e non di aziende. Infatti, uno degli elementi emersi più frequentemente è stato quello della formazione e della consapevolezza, soprattutto per le fasce più deboli e le nuove generazioni. Trend Micro e sui partner, infatti, sono molto attivi nelle collaborazioni con gli istituti scolastici e di formazione.

La cybersecurity tra 2024 e 2025

A tracciare un veloce scenario su come siamo usciti dal 2024 ci pensa Marco Balduzzi, Presidente di No Hat e Technical Research Lead di Trend Micro. Di fatto, il costo del cybercrime sta seguendo un trend in crescita, passando dai 3 mila miliardi di dollari del 2015 ai 10 mila miliardi stimati per il 2025, con un aumento anno su anno di circa il 15%.

La modalità più tristemente nota di cybercrime, l’attacco ransomware, sta però cambiando volto. Sembra infatti che stia abbandonando il target consumer per orientarsi maggiormente verso le grandi organizzazioni. Insieme all’ecosistema del ransomware, cambiano anche i marketplace utilizzati da chi perpetra crimini informatici. I gruppi organizzati che fanno cybercrime si stanno spostando progressivamente dai forum del dark web (in qualche modo rintracciabili dalle forze dell’ordine) a sistemi decentralizzati o protetti, come le chat di Telegram e Signal, molti più complesse da bloccare.

Il cambiamento più significativo, però, sembra riguardare la merce scambiata in questi marketplace. Pare infatti che si sia passati da stupefacenti e armi a veri e propri servizi di criminalità. Mentre una volta si pagava per il software necessario a compiere exploit ed era responsabilità dell’acquirente mettere in atto l’attacco, oggi è possibile acquistare i servizi di un gruppo organizzato che si occupa di eseguire l’attacco usando le proprie risorse.

L’AI come driver per cybersecurity e cybercrime

Durante la discussione è emerso l’elemento dell’intelligenza artificiale come leva di amplificazione per le attività illecite. L’abbiamo visto nel 2024 ma, secondo Trend Micro, il fenomeno è destinato ad aumentare ulteriormente nel 2025. L’argomento è stato affrontato da Alessio Agnello, Technical Director di Trend Micro Italia.

L’intelligenza artificiale, come già sappiamo, viene sfruttata per molte attività illecite, ma non si limita più a migliorare la qualità delle e-mail di phishing. Oggi il meccanismo dei deepfake permette di impersonare soggetti anche in maniera interattiva. Per cui, la videocall o la telefonata di un’AI che replica il CEO di un’azienda è molto più difficile da mettere in discussione. Gli LLM addestrati a simulare utenti specifici per mettere a segno truffe aziendali stanno diventando sempre più comuni, così come stanno aumentando i kit di phishing prodotti tramite AI, pensati per eventi specifici e creati in tempi brevissimi.

Questo fenomeno, ci ha spiegato Agnello, viene purtroppo alimentato anche dalla corsa delle aziende all’AI che, per abbreviare i tempi, mettono in secondo piano molti aspetti di sicurezza, con pessimi risultati. Infatti, gli agenti di intelligenza artificiale, per poter prendere decisioni, hanno accesso a una grande quantità di dati sensibili aziendali. Queste informazioni possono essere esfiltrate interagendo con l’AI seguendo pattern non previsti dai progettisti. Questo tipo di attacco risulta particolarmente problematico perché non è contemplato dalle architetture di sicurezza tradizionali.

Cosa ci aspetta nel 2025?

Secondo Trend Micro, nel 2025 l’obiettivo del cybercrime si sposterà dal profitto allo spionaggio industriale e politico. Questo avrà una serie di implicazioni geopolitiche che potranno fare leva sull’impiego dell’intelligenza artificiale anche per campagne di disinformazione.

L’intelligenza artificiale potrebbe smettere di essere solo uno strumento e aumentare la sua importanza come superficie di attacco. Oltre a essere soggetta a esfiltrazione di dati, potrebbe diventare bersaglio di attacchi DDoS (Distributed Denial of Service). Sul lungo periodo, il blocco o la destabilizzazione di una AI potrebbe diventare problematico per un azienda tanto quanto la mancanza di connettività.

Anche l’uso di vulnerabilità architetturali dovrebbe subire un aumento. Continueremo a vedere i classici exploit e SQL injection, ai quali si aggiungeranno quelli rivolti alle API cloud e la tecnica di container escape. Quest’ultima è un attacco di sicurezza in cui l’attaccante riesce a uscire dal confinamento di un container per manomettere il sistema ospitante.

Emergeranno inoltre nuove superfici di attacco che ora sono solo agli inizi. Ad esempio, tutto il settore dell’automotive. Questo settore, già oggi sotto attacco attraverso le centraline di controllo e i sistemi di infotainment, ha visto un incremento degli attacchi perpetrati attraverso le colonnine di ricarica.

La parola ai partner

In una fase successiva del dibattito il discorso si è allargato ai partner presenti, tutte realtà di primo piano nel panorama nazionale. Questi hanno espresso una serie di interessanti considerazioni sui loro settori specifici.

Agenzia per la Cybersicurezza Nazionale

L’ACN è stata rappresentata dal suo Direttore del Servizio Operazioni, l’ex Ammiraglio Gianluca Galasso. Galasso ha dipinto un panorama per il nostro Paese piuttosto positivo ma anche estremamente pragmatico.

Oggi l’Italia è uno dei Paesi più industrializzati al mondo, ma si trova purtroppo indietro in termini di digitalizzazione rispetto alla media europea. Questo la rende molto esposta a rischi di natura cibernetica. Infatti, l’ACN, durante il 2024, ha dovuto gestire più di 2.000 incidenti, con un incremento del 42% rispetto all’anno precedente. In questo contesto, il numero delle vittime di crimini informatici è aumentato del 124%.

Quello che ci serve durante il 2025, continua Galasso, è una risposta a livello di sistema. Già molto è stato fatto a livello regolamentare, e abbiamo di fronte a noi l’attuazione del NIS2, che porterà ulteriori cambiamenti. La risposta a livello di sistema, per l’ACN, passa soprattutto attraverso attività di formazione e awareness, un fronte su cui l’Agenzia è molto attiva.

La situazione generale non è da intendersi in maniera negativa. Infatti, secondo il Global Cybersecurity Index dell’ITU (International Telecommunication Union), il posizionamento dell’Italia in ambito europeo è molto migliorato negli ultimi anni.

Guardando al futuro, per l’Agenzia Il principale obiettivo del 2025 vuole essere una efficace pianificazione e implementazione del NIS2 sul territorio nazionale.

Ansaldo Energia

Ivan Monti, CISO di Ansaldo, porta una testimonianza importante da parte di una grande azienda che opera a livello multinazionale.

Per Ansaldo, la cybersecurity riguarda non solo la sicurezza dei propri sistemi, ma anche tutto ciò che viene venduto ai clienti. Questo è un tema tutt’altro che semplice per una multinazionale, perché le regolamentazioni variano da paese e paese e sono molto complesse.

Anche le PMI che operano come fornitori hanno la necessità di essere protette. Infatti, Monti racconta di una fortissima attenzione a tutti gli aspetti della supply chain, perché bisogna garantire che tutta la catena di fornitura sia compliant con le normative. In questo panorama, l’onere di acquisire le competenze ricade, anche economicamente, sulle spalle delle PMI, soprattutto perché non si può dare per scontato che ogni PMI conosca nei dettagli la direttiva NIS2.

L’intelligenza artificiale, per Monti, è uno strumento importante soprattutto in ambito OT (Operational Technology) per l’identificazione dei falsi positivi nei sistemi di produzione. Diversamente da altre realtà, però, l’azienda concepisce l’intelligenza artificiale unicamente come uno strumento supervisionato e non autonomo.

Aruba

David Neumarker, CISO di Aruba, propone la visione di chi si frappone tra l’utente finale, anche business, e il resto della rete.

Aruba vede, come si suol dire, il bicchiere mezzo pieno. L’aumento degli attacchi sta anche a significare un incremento della digitalizzazione delle imprese. Il compito di cui l’azienda si sente investita è quello di rendere il processo di digitalizzazione sicuro. Questa sicurezza viene raggiunta attraverso due strade: da una parte, un’academy interna per il riconoscimento e la consapevolezza delle truffe enterprise perpetrate tramite AI; dall’altra, data center con un orientamento molto forte alla sicurezza e alla resilienza del dato, che rappresentano anche la spina dorsale del servizio offerto alle aziende. Va comunque ricordato che il ruolo di un fornitore come Aruba è quello di intervenire in caso di necessità: può svolgere il ruolo di competence center, ma non quello di SOC (Security Operations Center) a meno di accordi specifici.

Infine, un tema importante e complesso per Aruba è anche quello relativo alla difesa del cloud, soprattutto considerando che le architetture cloud sono diventate ibride e i dati, spesso, non sono più fisicamente localizzati in un unico data center.