Cybercrime-as-a-Service (CaaS): la democratizzazione del crimine digitale trasforma l'Italia in un bersaglio primario

Nel dark web, un abbonamento mensile da poche decine di dollari è sufficiente per trasformare chiunque in un cybercriminale dando così vita al fenomeno del Cybercrime-as-a-Service (CaaS) che ha rivoluzionato l’economia del crimine digitale.

Con perdite globali stimate a 9,5 trilioni di dollari nel 2024, destinate a raggiungere i 10,5 trilioni nel 2025[1], e l’Italia che subisce il 10,1% degli attacchi informatici globali nonostante rappresenti solo il 2% del PIL mondiale[2], il CaaS rappresenta oggi la minaccia più democratica e pervasiva nel panorama della cybersecurity. Le piattaforme criminali offrono ransomware pronti all’uso, supporto tecnico 24/7 e persino garanzie di rimborso in caso di insuccesso, trasformando il cybercrime in un’industria strutturata con modelli di business identici alle migliori tech company della Silicon Valley.

L’Italia nel mirino: vulnerabilità strutturale di un Paese esposto

L’Italia si posiziona al terzo-quarto posto mondiale per numero di attacchi ransomware subiti, mantenendo il primato in Europa[3]. Nel 2024, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha documentato un incremento significativo degli eventi cyber, con picchi che hanno portato l’Italia a registrare fino a 283 eventi in un singolo mese (maggio 2024), rappresentando un aumento del 148% rispetto al periodo precedente[4]. Il Rapporto CLUSIT 2025 conferma 357 incidenti cyber rilevanti in Italia nel 2024, con una crescita del 15% rispetto all’anno precedente[5].

Secondo i rapporti ufficiali dell’ACN, i settori più colpiti nel 2024 sono la pubblica amministrazione centrale (38% degli incidenti) e il settore manifatturiero (15,7%)[6]. La distribuzione geografica mostra una concentrazione assoluta nel Nord Italia, riflettendo la maggiore presenza di imprese manifatturiere e infrastrutture critiche, sebbene il Centro-Sud presenti una densità di attacchi per abitante superiore[7].

Roberto Baldoni ha evidenziato come la risposta richieda “un’autonomia strategica europea nel contrasto al cybercrime”, sottolineando che l’Italia non può affrontare da sola una minaccia che opera senza confini geografici. L’investimento italiano in cybersecurity rimane tuttavia modesto: solo lo 0,12% del PIL, posizionando il Paese all’ultimo posto nel G7 per questo indicatore, ben distante dallo 0,34% degli Stati Uniti[8]. Nonostante ciò, il mercato italiano della cybersecurity ha raggiunto 2,48 miliardi di euro nel 2024, con una crescita del 15% annuo[9].

Il supermercato del crimine: prezzi accessibili per minacce devastanti

Nel mercato underground del cybercrime, i prezzi seguono le logiche dell’economia digitale legittima. Gli Initial Access Brokers vendono l’ingresso a reti aziendali a prezzi che nel 2024 hanno registrato una media di circa 1.295 dollari, con una fascia di prezzo tipica tra 500 e 2.000 dollari[10]. Nonostante il targeting si sia spostato verso organizzazioni più grandi (con fatturati medi di 1,96 miliardi di dollari), i prezzi sono paradossalmente diminuiti del 60% rispetto al 2023 (da 3.066 dollari), indicando la crescente commoditizzazione del mercato[11].

I gruppi ransomware più strutturati operano con modelli di revenue sharing che garantiscono agli affiliati fino al 90% dei profitti, trattenendo solo una commissione per l’infrastruttura e il supporto tecnico[12]. I dati di Group-IB indicano 39 annunci di programmi Ransomware-as-a-Service attivi nel 2024, con un aumento del 44% negli sforzi di reclutamento di affiliati[13].

La democratizzazione totale del cybercrime si manifesta nei servizi accessori: hosting bulletproof, sistemi di pagamento anonimi, portali di negoziazione automatizzati e persino “customer service” dedicato. I servizi più sofisticati includono garanzie di successo, politiche di rimborso e sistemi di reputazione simili a quelli delle piattaforme e-commerce legittime.

L’impatto economico è devastante: il caso Change Healthcare ha dimostrato la portata del danno. Dopo aver pagato 22 milioni di dollari di riscatto al gruppo BlackCat senza ottenere la cancellazione dei dati, l’azienda ha dovuto sostenere costi totali di 2,45 miliardi di dollari per la gestione dell’incidente[14], evidenziando come i riscatti rappresentino solo una frazione del danno complessivo. L’incidente ha compromesso oltre 190 milioni di record sanitari, rappresentando il più grande data breach del settore sanitario nella storia degli Stati Uniti.

La risposta europea: tra NIS2, DORA e operazioni internazionali

L’Europa ha risposto con un arsenale normativo senza precedenti. La direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024 ed entrata in vigore il 18 ottobre 2024[16], amplia il perimetro di sicurezza a 18 settori critici e introduce sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per i soggetti essenziali[16]. Dal 17 gennaio 2025, il regolamento DORA impone requisiti ancora più stringenti al settore finanziario, con multe che possono raggiungere il 5% del fatturato globale[17].

L’Operazione Cronos del 20 febbraio 2024 ha dimostrato l’efficacia della cooperazione internazionale: guidata dalla National Crime Agency britannica con FBI ed Europol, ha portato al sequestro di 34 server dell’infrastruttura di LockBit, al recupero di oltre 1.000 chiavi di decrittazione, 2 arresti e il congelamento di oltre 200 conti cryptocurrency[18]. L’operazione ha ridotto del 73% gli attacchi LockBit nel Regno Unito. Nonostante il successo, la resilienza dell’ecosistema criminale si è manifestata nella rapida riorganizzazione dei gruppi colpiti.

ENISA, l’agenzia europea per la cybersecurity, ha identificato una crescita significativa degli incidenti contro organizzazioni di infrastrutture critiche nel 2024, basandosi sull’analisi di oltre 11.000 incidenti cyber[19]. Il settore pubblico rappresenta una percentuale crescente degli incidenti totali. La cooperazione tra stati membri si è intensificata attraverso meccanismi di coordinamento delle crisi cyber.

Il panorama italiano si distingue per alcune peculiarità: mentre a livello globale gli attacchi sono motivati principalmente da profitto economico (circa l’86% dei casi nel 2024)[20], in Italia si registra una percentuale significativa di attacchi motivati da hacktivismo, riflettendo tensioni geopolitiche e sociali specifiche del contesto nazionale.

L’intelligenza artificiale amplifica la minaccia mentre le difese arrancano

L’integrazione dell’AI generativa ha accelerato drammaticamente l’evoluzione del CaaS. I report del 2024 documentano un aumento significativo degli attacchi potenziati dall’intelligenza artificiale, con variazioni percentuali tra il 30% e l’85% secondo diverse metodologie di misurazione[21]. I gruppi criminali utilizzano l’AI per generare codice malware sofisticato, creare comunicazioni di phishing indistinguibili da quelle legittime e automatizzare l’identificazione di vulnerabilità. Il volume di email di phishing è aumentato del 202% nella seconda metà del 2024, con il 40% ora generato tramite AI[22].

Gli esperti di sicurezza avvertono che la crescita delle operazioni CaaS, combinata con l’avvento dell’AI generativa, offre agli attori delle minacce strumenti sempre più accessibili e potenti. Una percentuale significativa di tutte le minacce informatiche alle organizzazioni proviene ora da servizi Malware-as-a-Service, mentre i tempi di movimento laterale all’interno delle reti compromesse continuano a ridursi drasticamente[23].

Le previsioni per il futuro sono allarmanti: le stime di Cybersecurity Ventures indicano che entro il 2031 si verificherà un attacco ransomware ogni pochi secondi a livello globale[24]. Il Canadian Centre for Cyber Security prevede che “nei prossimi due anni, gli attori ransomware intensificheranno quasi certamente le loro tattiche di estorsione”, sfruttando tecniche di doppia e tripla estorsione che combinano crittografia dei dati, furto di informazioni sensibili e attacchi DDoS simultanei[25].

La risposta richiede un approccio multidimensionale che combini tecnologie avanzate, formazione continua e collaborazione internazionale. La maggioranza dei CISO intervistati nelle ricerche del 2024 si aspetta un attacco significativo nei prossimi 12 mesi, mentre un’elevata percentuale prioritizza le security operations come focus principale²⁶. L’implementazione di architetture zero-trust, l’automazione delle patch di sicurezza e lo sviluppo di capacità di incident response rappresentano i pilastri fondamentali della difesa moderna.

Conclusioni: una sfida esistenziale che l’Italia non può permettersi di perdere

Il Cybercrime-as-a-Service ha trasformato irreversibilmente il panorama delle minacce digitali, rendendo accessibile a chiunque un arsenale di strumenti devastanti. Con decine di programmi ransomware attivi nel 2024 e un ecosistema criminale che genera profitti paragonabili al PIL di intere nazioni, la sfida per l’Italia e l’Europa è esistenziale.

Le normative NIS2 e DORA rappresentano passi importanti ma insufficienti senza un cambio di paradigma culturale e operativo. Le aziende italiane stanno aumentando i budget per la cybersecurity, con il mercato che ha raggiunto 2,48 miliardi di euro nel 2024, ma la velocità di evoluzione della minaccia richiede investimenti e competenze di ordine superiore. La creazione dell’ACN e il rafforzamento della cooperazione europea attraverso ENISA ed Europol sono segnali positivi, ma la battaglia si combatte anche sul fronte della consapevolezza: ogni dipendente, ogni cittadino deve comprendere di essere potenziale bersaglio e prima linea di difesa.

Il futuro della sicurezza digitale italiana dipenderà dalla capacità di trasformare questa minaccia democratizzata in un’opportunità per costruire resilienza sistemica, investire in competenze nazionali e sviluppare quell’autonomia strategica che Roberto Baldoni ha identificato come essenziale per la sovranità digitale del paese. In un mondo dove poche decine di dollari bastano per diventare cybercriminali, la vera democrazia si difende con investimenti strutturali, cooperazione internazionale e la consapevolezza che ogni click può fare la differenza tra sicurezza e catastrofe.