Cybercrime in Europa: i trend e le minacce nel 2025 secondo Group-IB - giulio vada cybercrime conference

Cybercrime in Europa: i trend e le minacce nel 2025 secondo Group-IB

A cura di:Redazione Ore

Nel corso dellla 13ª CyberCrime Conference, Giulio Vada (Responsabile per il Sud Europa di Group-IB) ha offerto uno spaccato illuminante sul panorama della criminalità informatica in Europa.

La presentazione, incentrata sui risultati del report annuale High-tech Crime Trends Europe 2025″, ha dipinto il preoccupante quadro di un’economia criminale sempre più strutturata e accessibile, nonché in piena espansione.

«Potete trovarlo sul nostro sito o sui nostri social: è disponibile sia in inglese che in italiano ed è molto corposo» ha spiegato Vada in apertura. «Vi invito a usarlo come strumento di lavoro e guida di riferimento».

Un’esortazione che sottolinea non solo l’ampiezza dell’analisi condotta da Group-IB, ma anche la sua utilità pratica per professionisti e organizzazioni.

In quanto multinazionale specializzata nello sviluppo di soluzioni per investigare, prevenire e combattere il cybercrime, Group-IB rappresenta un osservatorio privilegiato su tale settore dell’economia mondiale. Non a caso, ha sottolineato Vada, l’azienda è stata recentemente nominata da Frost & Sullivan come “leader tecnologico per il 2025 nella cyber threat intelligence”.

La peculiarità di Group-IB risiede anche nella sua stretta collaborazione con forze dell’ordine e agenzie internazionali.

Come ha precisato Vada, «un nostro punto d’orgoglio è la collaborazione attiva a livello di condivisione di dati e informazioni di intelligence: con il nostro team investigativo partecipiamo alle operazioni delle forze di polizia internazionali – tra cui Interpol ed Europol – che portano allo smantellamento delle reti utilizzate dai criminali, all’identificazione e all’arresto di singoli o gruppi».

Una collaborazione che fornisce all’azienda dati di prima mano sull’evoluzione della criminalità informatica, successivamente riversati nel report annuale.

Guarda il video completo dell’intervento di Giulio Vada, Responsabile per il Sud Europa di Group-IB, durante la Cyber Crime Conference 2025:

Il panorama italiano nel contesto europeo

I dati presentati, relativi al 2024 e riferiti all’Europa, confermano un trend in costante crescita che evidenzia la rilevanza economica dell’industria criminale digitale. In questo contesto, l’Italia emerge come uno dei paesi europei più vulnerabili.

«L’Italia è tra le nazioni europee più colpite» ha evidenziato Vada «ed è in una posizione negativa anche a livello globale»: situazione che richiede la massima attenzione, soprattutto considerando l’evoluzione dei settori presi di mira.

Se in passato il settore finanziario era il principale obiettivo degli attacchi, oggi il panorama appare più diversificato. Comparti come il manifatturiero e i servizi hanno registrato incrementi significativi; segno che i criminali stanno ampliando il proprio raggio d’azione, colpendo anche realtà che si ritenevano indenni o comunque meno esposte a queste minacce.

«Tutte le discussioni su come contrastare, governare e gestire questo fenomeno non sono un mero affare tecnico» ha affermato il relatore, sottolineando come la risposta debba essere multidimensionale, coinvolgendo aspetti legislativi, culturali e di cooperazione internazionale, oltre che – naturalmente – tecnologici.

Ransomware: un’economia criminale strutturata

Contrariamente alle previsioni di alcuni anni fa, che lo davano come un “business ormai defunto”, il ransomware continua a rappresentare una delle minacce più significative nel panorama del cybercrime.

I numeri presentati da Vada mostrano un’industria in continua crescita, con un aumento del 44% (nel solo 2024) di nuovi programmi di affiliazione.

Ma cosa rende il ransomware così persistente? Vada ha offerto un’analisi delle ragioni di questo successo: «È una vera e propria economia, strutturata sul modello delle economie legittime, dove però la barriera tecnica all’ingresso è molto ridotta». Ciò significa che «chiunque può pensare di creare la propria impresa con un piccolo investimento; assumendosi un rischio importante, che è quello di finire arrestati, ma potendo ottenere guadagni significativi».

La facilità di accesso a questa “carriera criminale” è amplificata dal modello Ransomware-as-a-Service (RaaS), che ha democratizzato l’accesso al crimine informatico.

Come ha spiegato Vada «ci sono tutti gli strumenti a disposizione: parliamo di servizi che rappresentano ormai il framework alla base di questa industria, con business model e Terms and Conditions già pronti e “confezionati”».

I modelli di affiliazione offerti dai gruppi ransomware sono particolarmente attraenti dal punto di vista economico. I programmi per gli affiliati sono infatti ben dettagliati, ha rivelato Vada: «si definiscono chiaramente responsabilità e compensi. Lo split è migliorato ulteriormente, per cui oggi in media l’affiliato prende il 90% del guadagno, rispetto al 10% per il gruppo che sviluppa il programma».

Una proposta economica che rende questo settore particolarmente appetibile per chi è disposto a rischiare le conseguenze legali delle proprie azioni.

La Triade della Difesa: legislazione, blocco dei pagamenti e cooperazione investigativa

Di fronte a un fenomeno così strutturato e in espansione, quali possono essere le strategie di contrasto?

Secondo Vada, la risposta non può essere meramente tecnologica.
«Lasciando sola l’industria, gestire tutto questo è impossibile» ha affermato con pragmatismo; ricordando come gli investimenti in soluzioni IT, pur aumentati vertiginosamente negli ultimi anni, non possano rappresentare l’unica opzione.

La prima linea di difesa, allora, deve essere legislativa: «riteniamo che solo il legislatore, tramite strumenti di compliance, sia in grado di intervenire sugli operatori economici e sulle pubbliche istituzioni per aumentare la “postura media di sicurezza” e, quindi, aumentare gli strumenti di prevenzione adottati dalle organizzazioni».

Il secondo elemento cruciale è il blocco dei pagamenti dei riscatti. «Finché non ci sarà una legge condivisa da tutti i paesi non se ne uscirà», ha sostenuto il relatore; «i guadagni disponibili sono talmente elevati che è impossibile pensare che aumentando il numero di firewall, antivirus e sistemi di sicurezza si possa arginare il fenomeno».

Il blocco dei pagamenti avrebbe «il grande vantaggio di ridurre la facilità di guadagno», rendendo «meno appetibile, per i criminali, portare avanti attività di questo genere».

Infine – non meno importante – è necessaria una più stretta collaborazione a livello internazionale tra le forze dell’ordine. «Un maggiore coordinamento tra le forze dell’ordine sicuramente assesterebbe un duro colpo ai gruppi ransomware» ha ribadito Vada, evidenziando come questa cooperazione non sia sempre scontata nel contesto geopolitico attuale.

I protagonisti del crimine informatico in Europa

Nel corso della presentazione, Vada ha delineato i principali attori del panorama criminale informatico europeo, offrendo una sorta di “mappa” delle minacce più significative.

Tra i gruppi ransomware più attivi spicca LockBit, definito da Vada come «l’eterno veterano, presente dal 2003 sul mercato e sulla scena criminale»; nonostante sia stato bloccato diverse volte dalle forze dell’ordine, LockBit continua a operare grazie a nuovi affiliati che ne prendono le redini.

Accanto a questo storico gruppo si posizionano realtà più recenti ma altrettanto pericolose, come Clop – descritto come «un ransomware molto pericoloso per i suoi comportamenti e per i suoi recenti sviluppi” – Ransomhub e BlackBasta, altri attori significativi nel panorama europeo.

Il quadro è completato dai gruppi hacktivisti, la cui attività ha conosciuto un incremento significativo in relazione alle tensioni geopolitiche: Vada li ha descritti come «un mix di ragazzini ed esperti» con «efficacia discutibile dal punto di vista tecnico» ma notevole «dal punto di vista del branding, poiché cercano molta visibilità». Tra questi ha citato NoName057, che «ha avuto un lungo periodo di addestramento dopo la guerra in Ucraina» e CyberFork, «gruppo indiano che si definisce anche russo e opera con simili modalità».

Un capitolo a parte meritano i gruppi APT (Advanced Persistent Threat), descritti dal relatore come «coloro che non pubblicizzano le loro attività e sono «più difficili da tracciare, se non quando hanno portato a termine le loro operazioni». Tratti distintivi di questi gruppi sono «il lungo periodo di ingaggio su un target tipicamente di alto profilo» nonché «una complessità di azioni su fronti multipli, anche per confondere le attività di tracciamento delle forze di polizia».

Vada ha menzionato diversi gruppi APT attivi in Europa, tra cui APT28, «operato dai servizi segreti militari russi»; Gamaredon, attivo dal 2022 «a supporto diretto delle operazioni sul campo» in Ucraina; Sticky Werewolf, «emerso recentemente in Europa con attacchi a livello governativo»; e MuddyWater, che «lavora sul fronte dello spionaggio, concentrandosi sull’esfiltrare in maniera silente dati utilizzabili a fini non estorsivi».

Phishing e Scam: la porta d’ingresso degli attacchi

Nonostante l’evoluzione delle tecniche di attacco, il phishing rimane uno degli strumenti principali nel repertorio dei criminali informatici.

«Ancora oggi il phishing è uno degli strumenti principali di qualunque gruppo informatico criminale», ha affermato Vada, «siano essi motivati finanziariamente (quindi in particolare a fini estorsivi) o siano entità statuali che praticano attività di spionaggio, oppure volte a colpire organizzazioni governative o militari».

Come osservato per il ransomware, anche il phishing rappresenta un’industria in continua crescita, caratterizzata da barriere di ingresso estremamente basse. «È un’industria che cresce enormemente», ha spiegato Vada. «Le barriere di ingresso sono limitatissime ed è molto facile entrare: basta trovare il programma o la piattaforma giusta, che può mettere a disposizione pannelli di amministrazione con cui gestire tutta la propria campagna comodamente da casa, senza sforzi e anche con poche conoscenze tecniche».

Un aspetto interessante evidenziato nella presentazione è il progressivo spostamento verso settori considerati – rispetto al comparto finanziario, tradizionale target del cybercrime – più semplici da attaccare.

«Ci si sposta su settori molto più facili, in cui monetizzare velocemente, poiché sono ambiti poco presidiati»; a titolo di esempio Vada ha citato la logistica e il mondo dei trasporti, richiamando il recente attacco contro l’azienda di trasporti milanese ATM.

Nel panorama del phishing Vada ha altresì evidenziato come diversi gruppi criminali siano andati via via specializzandosi «sul mondo mobile, in particolare sui sistemi Android».

Le sfide del futuro: IA, Cloud e Geopolitica

Guardando oltre l’attualità, il relatore ha delineato alcune tendenze che caratterizzeranno il panorama della sicurezza informatica nel prossimo futuro.

L’intelligenza artificiale emerge come uno dei fattori di cambiamento più significativi. «Per il 2025 il grande “convitato di pietra” sarà l’intelligenza artificiale» ha anticipato, «sia come strumento a supporto degli attaccanti e dei difensori, per migliorare le capacità da entrambi i lati, ma soprattutto per la sicurezza degli stessi sistemi IA».

Un aspetto allarmante riguarda la compromissione degli account per accedere ai sistemi di IA.

«L’anno scorso abbiamo pubblicato una ricerca dove la compromissione di account per accedere a ChatGPT, anche da parte di utenti di aziende critiche – ad esempio del comparto militare o governativo – appariva significativa, con più di 5.000 account compromessi» ha rivelato Vada. Il problema nasce dal fatto che «le persone utilizzano l’account aziendale per accedere a ChatGPT con i vari abbonamenti e poi vi condividono documenti sensibili, che quindi non solo finiscono nel sistema di training ma diventano anche esposti a compromissioni».

Anche il contesto di instabilità globale continuerà a influenzare significativamente il panorama delle minacce informatiche, con «un aumento delle attività legate alla situazione geopolitica e alle minacce a livello Nation-State».

Parallelamente il cloud computing si affermerà come «nuova frontiera dello scontro», imponendo particolare attenzione sui problemi collegati all’autenticazione e ai sistemi di crittografia utilizzati per proteggere i propri dati».

Un’ulteriore sfida all’orizzonte è rappresentata dall’avvento del quantum computing, che potrebbe rivoluzionare tanto le capacità offensive quanto le strategie difensive nel campo della sicurezza informatica.

Un ecosistema criminale in evoluzione

La presentazione di Giulio Vada alla 13ª Cyber Crime Conference ha offerto uno spaccato dettagliato e preoccupante di un ecosistema criminale informatico sempre più strutturato e professionalizzato: un panorama in cui l’Italia si trova in una posizione particolarmente vulnerabile, richiedendo risposte coordinate a livello tecnologico, legislativo e di cooperazione internazionale.

Il report completo “High-tech Crime Trends Europe 2025”, disponibile sul sito di Group-IB, rappresenta uno strumento prezioso per comprendere a fondo queste dinamiche e sviluppare strategie di difesa adeguate. Come ha sottolineato il relatore, la sfida del cybercrime non può essere affrontata solo sul piano tecnologico, richiedendo un approccio integrato che coinvolga legislatori, forze dell’ordine e operatori del settore.

In questo scenario complesso e in rapida evoluzione, la conoscenza approfondita delle minacce e delle loro dinamiche rappresenta il primo, fondamentale passo per una difesa efficace: solo attraverso un approccio sistemico e collaborativo sarà infatti possibile contrastare efficacemente la crescente minaccia del crimine informatico in Europa e nel mondo.

Condividi sui Social Network:

Ultimi Articoli

Cybercrime e hacker - autorità britanniche hanno arrestato quattro persone in relazione agli attacchi informatici

Cybercrime: nel Regno Unito arrestati presunti hacker, attacchi da 440 Milioni a M&S, Co-op e Harrods

A cura di:Redazione Ore Pubblicato il

La National Crime Agency (NCA) del Regno Unito ha annunciato il 10 luglio 2025 l’arresto di quattro persone in relazione a una serie di attacchi informatici su larga scala che hanno colpito i giganti del retail britannico Marks & Spencer (M&S), Co-op e Harrods all’inizio dell’anno. Gli individui, due uomini di 19 anni, un ragazzo…

'evoluzione tattica di Hunter International da ransomware tradizionale a data extortion stealth mode

La gang ransomware Hunter International: perché regalano le chiavi per decrittare

A cura di:Fabrizio Baiardi Ore Pubblicato il

Recenti notizie di threat intelligence[1] parlano di una interessante evoluzione del fenomeno del ransomware: le gang non sono più interessate a criptare le info ed addirittura regalano le chiavi per decrittare. Ricordando il ben noto, ed inutile, “Timeo danaos et dona ferentes” questo contributo vuole segnalare come questa sia, in fondo, una pessima notizia e…

Bitchat: la nuova applicazione di messaggistica decentralizzata di Jack Dorsey

Bitchat: la nuova applicazione di messaggistica decentralizzata di Jack Dorsey

A cura di:Redazione Ore Pubblicato il

Il presente articolo fornisce un’analisi tecnica approfondita di Bitchat, la nuova applicazione di messaggistica decentralizzata di Jack Dorsey, concentrandosi sulla sua architettura, sui meccanismi di protezione della privacy e sulle implicazioni per la cybersecurity. Vengono esaminati i principi operativi delle reti mesh Bluetooth Low Energy (BLE), i protocolli crittografici implementati e le funzionalità avanzate per…

operazione Microsoft-Europol 2025 che mostra lo smantellamento dell'infrastruttura criminale di Lumma Stealer infostealer

Lumma Stealer: Europol e Microsoft unite contro il cybercrime

A cura di:Luca Cadonici Ore Pubblicato il

Nel maggio 2025, Microsoft ed Europol hanno unito le forze in un’operazione internazionale volta a smantellare l’ecosistema criminale di Lumma Stealer – noto anche come LummaC2 – tra i più diffusi infostealer globali, con oltre 394.000 dispositivi Windows infettati tra marzo e maggio 2025. Il malware, in grado di esfiltrare credenziali, cookie, portafogli di criptovalute…

L'evoluzione dell'ecosistema Ransomware: la democratizzazione delle minacce informatiche. Matteo Carli, cybercrime conference

L’evoluzione dell’ecosistema Ransomware: la democratizzazione delle minacce informatiche

A cura di:Redazione Ore Pubblicato il

Il panorama delle minacce informatiche sta subendo una profonda trasformazione, come illustrato dall’analisi esposta da Matteo Carli (CTO di una società di cyber intelligence ed esperto di sicurezza informatica) durante la 13ª Cyber Crime Conference, l’ecosistema ransomware è in continua evoluzione. La presentazione ha rivelato come l’ecosistema dei ransomware stia attraversando un processo di democratizzazione…

Sicurezza IT e OT: criticità nella gestione degli accessi privilegiati e remoti. Cyber crime conference, Olivier Cavroy (Solutions Engineer di Wallix)

Sicurezza IT e OT: criticità nella gestione degli accessi privilegiati e remoti

A cura di:Redazione Ore Pubblicato il

Nel contesto della sicurezza informatica, gli accessi privilegiati rappresentano una vulnerabilità critica che le organizzazioni non possono permettersi di trascurare. Durante la 13ª Edizione della Cyber Crime Conference, Olivier Cavroy (Solutions Engineer di Wallix) ha offerto un’illuminante dissertazione su questa tematica, proponendo strategie innovative per mitigare rischi che potrebbero compromettere l’integrità di intere infrastrutture informatiche….