Il livello di ciberminaccia rimane elevato e gli attacchi diventano sempre più mirati e complessi
Berna, 30.03.2026 — Il rapporto semestrale pubblicato oggi dall’Ufficio federale della cibersicurezza (UFCS) descrive gli incidenti e gli sviluppi rilevanti nel contesto delle ciberminacce contro la Svizzera e a livello internazionale nel secondo semestre del 2025. Oltre alle segnalazioni volontarie relative a ciberincidenti, vengono conteggiati per la prima volta anche i ciberattacchi a infrastrutture critiche, soggetti all’obbligo di segnalazione dal 1º aprile 2025. Le segnalazioni volontarie ricevute mantengono numeri stabili a livelli elevati, ma assumono caratteristiche sempre più sviluppate e sono sempre più mirate. Per proteggersi efficacemente è importante una stretta collaborazione a livello nazionale e internazionale tra Stato, economia e società.
Il rapporto semestrale pubblicato oggi dall’Ufficio federale della cibersicurezza (UFCS) illustra come gli attori attivi a livello globale stiano rendendo i loro attacchi sempre più personalizzati, anche grazie all’utilizzo dell’intelligenza artificiale (IA). Infatti, nel secondo semestre del 2025, l’UFCS ha nuovamente registrato numerose campagne di voice phishing e di phishing in tempo reale. I cibercriminali le hanno combinate con annunci pubblicitari fraudolenti pubblicati su motori di ricerca, volti a indirizzare le vittime verso falsi siti web. Fanno spesso riferimento a peculiarità locali, come per esempio noti programmi fedeltà di grandi commercianti al dettaglio, che sfruttano come pretesto. Dall’estate del 2025 si è diffuso in Svizzera l’impiego dei cosiddetti «SMS blaster», dispositivi che simulano antenne di telecomunicazione mobile e consentono agli aggressori di inviare messaggi brevi ai telefoni cellulari nelle vicinanze, aggirando i sistemi di filtraggio degli operatori di telecomunicazioni.
La minaccia costante dei ransomware
I ransomware e l’estorsione di dati ad essi collegata continuano a rappresentare un serio pericolo per le organizzazioni svizzere. Nel secondo semestre del 2025 sono stati segnalati 57 casi di questo tipo. Il gruppo «Akira», le cui attività si sono ulteriormente intensificate nel periodo in esame, ha suscitato particolare attenzione. Un fattore determinante è stato lo sfruttamento delle vulnerabilità dei dispositivi del produttore SonicWall: gli aggiornamenti di sicurezza relativi a una vulnerabilità già nota nel 2024 non erano stati attuati in modo coerente da tutte le persone colpite, aumentando ulteriormente le superfici d’attacco.
Attacchi a catene di approvvigionamento di software internazionali
Nel periodo in esame sono stati osservati maggiormente attacchi a catene di approvvigionamento di software internazionali. Oltre a sfruttare le vulnerabilità, i cibercriminali sono passati a compromettere sempre più spesso componenti di software open source consolidati e ampiamente utilizzati. Poiché le applicazioni moderne si basano su numerosi componenti di software open source, le lacune di sicurezza che questi presentano possono avere ripercussioni sistemiche e di vasta portata. I complessi rapporti di dipendenza tecnica aumentano quindi notevolmente il rischio di problemi di sicurezza su larga scala.
Reti ORB nascoste anche in Svizzera
Sempre più spesso viene constatata la presenza anche in Svizzera di reti ORB («Operational Relay Boxes») nascoste, ovvero reti costituite da dispositivi, server e router infettati con malware e connessi a internet («Internet of Things», IoT), che vengono controllati a distanza dagli aggressori e a volte anche affittati a terzi. Tali infrastrutture fungono da punto di partenza per sferrare ulteriori attacchi e compromettono la privacy dei proprietari di questi dispositivi che ne vengono colpiti. Aggiornare e proteggere in modo coerente i propri dispositivi esposti a internet è essenziale per arginare la formazione di reti simili.
145 segnalazioni obbligatorie nel secondo semestre 2025
Dal 1º aprile 2025, gli operatori di infrastrutture critiche devono segnalare i ciberattacchi all’UFCS entro 24 ore. Da allora, l’UFCS ha ricevuto 325 segnalazioni, di cui 145 nel secondo semestre del 2025. La maggior parte delle segnalazioni proveniva dal settore amministrativo (25 %), da aziende operanti nel settore informatico e delle telecomunicazioni (18 %) e da banche e assicurazioni (15.7 %). Le tipologie di attacchi segnalati più comuni sono gli episodi di hacking (20 %) e gli attacchi DDoS (16 %), seguiti dal furto di dati di accesso (12 %), malware (10 %), fughe di dati (10 %) e ransomware (9 %).
I rapporti di dipendenza digitali sempre più al centro dell’attenzione
L’analisi degli episodi registrati dimostra chiaramente come i ciberattacchi funzionino grazie a rapporti di dipendenza digitali, attraversando i confini tra organizzazioni, settori e Paesi diversi. La cibersicurezza è quindi un compito sociale. Nonostante il contesto geopolitico teso, la situazione di ciberminaccia in Svizzera rimane nel complesso stabile e la ciber-resilienza si dimostra solida nella maggior parte dei casi. Per affrontare questa evoluzione dinamica in modo efficace è decisivo adottare strutture di governance chiare, procedure di reazione e ripristino ben funzionanti e una stretta collaborazione tra Stato, economia e società a livello nazionale e internazionale.