L’Agenzia per la cybersicurezza nazionale ha pubblicato la Relazione annuale al Parlamento 2024. Si tratta di un corposo documento, dall’indubbio valore strategico nella ricognizione dello stato dell’arte e nella proiezione di scenari futuri, che si articola in 138 pagine, ove viene descritta la complessiva attività realizzata dall’ACN per rafforzare la resilienza tecnologica dell’Italia come prioritario intervento da realizzare in uno scenario geopolitico sempre più complesso che emerge nel panorama internazionale.
Sul piano metodologico, la Relazione, dopo un’iniziale prefazione seguita da ulteriori preliminari considerazioni introduttive, consta di 10 specifiche sezioni tematiche che approfondiscono, come filo conduttore dell’analisi di studio, le svariate questioni tecno-giuridiche configurabili in materia di cybersicurezza.
Indice degli argomenti
Relazione ACN 2024: quadro normativo e linee guida operative
In particolare, la Sezione 1 prende in considerazione le novità regolatorie che sono state recentemente introdotte nell’ambito del quadro normativo di riferimento (nazionale ed euro-unitario), con particolare riferimento alla disciplina prevista dalla legge 28 giugno 2024, n. 90 (recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”), integrata dalla normativa NIS2 (Direttiva UE 2022/2555, recepita in Italia con il D.lgs. 4 settembre 2024, n. 138), in combinato disposto con il Regolamento Cloud, che arricchisce il panorama legislativo generale, costituito, tra l’altro, dal Cyber Resilience Act (Regolamento UE 2024/2847) e dall’EU AI Act (Regolamento UE 2024/1689).
Rispetto alla cornice normativa delineata, nell’ottica di assicurare la concreta attuazione delle prescrizioni stabilite dal legislatore emerge, come evidenzia espressamente il Rapporto ACN 2024, il crescente ricorso allo strumento delle linee guida, previste dalla legge 90/2024, e adottate, con una valenza applicativa di “soft law”, dall’Agenzia per la cybersicurezza nazionale per “garantire la conformità alle normative e il miglioramento della sicurezza complessiva di Amministrazioni e operatori interessati” (cfr., Relazione annuale al Parlamento, p. 12).
Peraltro, la menzionata legge n. 90/2024, istituendo il Centro nazionale di crittografia presso l’ACN (ex art. 10), in una prospettiva collaborativa di sinergica cooperazione interistituzionale pubblico-privata, incentiva la funzione regolatoria dell’Agenzia per la cybersicurezza nazionale “allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, nonché alla valutazione della sicurezza dei sistemi crittografici” (cfr., Relazione annuale al Parlamento, p. 13).
Delineando un percorso di adeguamento regolatorio verso una una progressiva implementazione applicativa del quadro legislativo vigente, soprattutto rispetto alle disposizioni di derivazione euro-unitaria stabilite dalla Direttiva NIS2 (UE) 2022/2555, recepita con il D.Lgs. n. 138/2024 dall’Italia (tra i primi Stati membri UE a completare il relativo iter procedurale di trasposizione interna), la Relazione ACN 2024 individua entro il semestre del prossimo anno (da aprile 2026) l’orizzonte temporale della fase finale per il completamento applicativo a regime della nuova disciplina NIS, dopo il passaggio di tappe intermedie destinate alla graduale attuazione della menzionata regolamentazione, da cui si evince una rinnovata governance nazionale in materia di cybesicurezza, basata sulla rilevante centralità dell’Agenzia per la cybersicurezza nazionale (che opera nella plurima veste di Autorità nazionale competente e Punto di contatto NIS, nonché di CSIRT nazionale, cui si aggiunge il ruolo di Autorità di gestione delle crisi informatiche su vasta scala, per la parte relativa alla resilienza nazionale).
Minacce informatiche in crescita nella relazione ACN 2024
Particolarmente interessante è la Sezione 2 (“La minaccia cyber in evoluzione: prevenzione e gestione di eventi e incidenti cibernetici”), ove si sottolinea l’incremento esponenziale di minacce informatiche “dal punto di vista quantitativo e qualitativo, con possibili conseguenze importanti per le vittime e per il sistema Paese nel suo complesso” (cfr., Relazione annuale al Parlamento, p. 27).
Al riguardo, nel 2024, nonostante il potenziamento dei meccanismi di difesa, preventivi e reattivi predisposti, unitamente al perfezionamento del sistema nazionale delle notifiche di incidenti cibernetici (senza dubbio in grado di ridurre i rischi di vulnerabilità esistenti), si continuano a registrare in Italia frequenti attacchi verso svariati soggetti pubblici e privati, in numerosi settori, anche “critici”.
Le PA centrali sono le organizzazioni maggiormente prese di mira (38%), seguono le aziende di telecomunicazioni (TELCO), che occupano la seconda posizione con il range del 23%, mentre l’ultimo posto del podio tra i 3 settori più colpiti è occupato dalle Università e enti di ricerca (18%).
Le principali tipologie di minacce rilevate sono costituite da attività DDoS (29%), information disclosure (12%) e brand abuse (11%).
Entrando nel dettaglio dei dati monitorati, tra l’altro, sono stati gestiti 1.979 eventi cyber (con una media di circa 165 al mese e un picco massimo di 283 nel mese di maggio), verificandosi 573 incidenti con impatto confermato (48 al mese) e 2.734 vittime accertate, che hanno reso necessari 40 interventi a supporto dei soggetti colpiti. I picchi, registrati nei mesi di febbraio, maggio e dicembre 2023, sono stati determinati da campagne di attacchi DDoS rivendicate dal gruppo hacktivista filorusso “NoName057(16)” – che sta intensificando gli attacchi contro numerosi Paesi occidentali, nel contesto del conflitto russo-ucraino (cfr., Relazione annuale al Parlamento, p. 32).
Nell’ambito degli eventi cyber, le principali compromissioni hanno avuto un impatto più significativo sulla riservatezza e l’integrità dei dati (35%), nonché sulla disponibilità dei dati (26%), con ulteriori azioni pregiudizievoli di danneggiamento intenzionale riguardanti il funzionamento di account (21%), sistemi (13%) e applicazioni (5%), mediante svariati vettori di attacco (come ad esempio, tra l’altro, “lo sfruttamento o l’utilizzo indebito di email per indurre l’utente a divulgare credenziali, eseguire codice malevolo o fornire informazioni sensibili” […] e l’utilizzo di social media “per raccogliere informazioni sensibili o agevolare ulteriori fasi dell’attacco informatico, come la profilazione di specifici bersagli per operazioni mirate”; cfr. Relazione annuale al Parlamento, p. 34).
Analisi dei dati cyber nella relazione ACN 2024
Inoltre, sono stati segnalati 11.290 dispositivi e servizi a rischio e 722 tentativi di phishing, mentre sono state inviate 53.470 comunicazioni dirette di allertamento rivolte agli interessati (4.456 al mese), cui si aggiungono 587 alert e bollettini pubblicati sul portale pubblico e 64 alert e bollettini pubblicati sul portale servizi, con 629 stime di impatto di nuove vulnerabilità, rispetto a 91 attori ransomware e 77 attori hacktivisti rilevati (cfr., Relazione annuale al Parlamento, p. 28).
Le vittime accertate nel 2024, che hanno raggiunto la soglia di quasi 2.800 (come dato generale, che si riduce a al dato statistico di 1.260 per identificare le vittime univoche, destinatarie di singoli attacchi), sono localizzate prevalentemente nel Centro-Nord dell’Italia, “confermando una concentrazione delle attività ostili in contesti caratterizzati da un’elevata densità di insediamenti industriali, di infrastrutture critiche e di sedi di rilevanza istituzionale” (cfr., Relazione annuale al Parlamento, p. 36). A riprova di ciò, la riferibilità prevalente delle vittime è associata al settore della Pubblica Amministrazione centrale (483), cui segue il comparto TELCO (290), Università e ricerca (227), i trasporti (214), il settore tecnologico (199), la Pubblica Amministrazione locale (198), i servizi finanziari (178), il settore manifatturiero (169), sanitario (144) e quello dell’energia (123).
L’incremento delle minacce e le principali tipologie di attacco
Alla luce di tale scenario, emerge un notevole incremento degli eventi cyber (+40% rispetto al 2023), degli incidenti (+89,1% rispetto al 2023), sino a raggiungere la soglia incrementale di +122,6% per quanto riguarda le vittime univoche identificate (pari a 1.260 soggetti).
Tutto ciò dimostra l’esistenza di accadimenti pregiudizievoli in crescente proliferazione quantitativa che, secondo l’analisi della Relazione ACN 2024, sarebbero determinati, oltre che dal progressivo aumento delle notifiche obbligatorie, da una serie di ulteriori concreti fattori riscontrabili nella prassi empirica dell’attuale ambiente digitale, che esprime preoccupanti contraddizioni di fondo: a fronte del pervasivo utilizzo di dispositivi cui sono sempre più connessi gli utilizzatori virtuali, si riscontra ancora una condizione di generalizzata obsolescenza tecno-cognitiva nella gestione della cybersicurezza, come principale criticità in grado di compromettere la vulnerabilità delle infrastrutture critiche (cfr., Relazione annuale al Parlamento, pp. 31 e ss.).
Attacchi DDoS e ransomware nella relazione ACN 2024
La Relazione ACN 2024 dedicata uno specifico focus di approfondimento alle principali minacce, classificate in DDoS, ransomware e APT.
In particolare, gli attacchi DDoS, che colpiscono l’Italia come nono Paese al mondo (dopo Ucraina, Israele, Spagna, Stati Uniti d’America, India, Repubblica Ceca, Moldavia e Romania), si concentrano soprattutto su settori e interessi pubblici (trasporti, Pubbliche Amministrazioni centrali e servizi finanziari) e sono riferibili ad attività di cyber-hacktivismo realizzate da “gruppi non statuali ma allineati a specifici interessi geopolitici”, prevalentemente di impronta filorussa nel quadro del conflitto in Ucraina […] contro istituzioni pubbliche e settori strategici, rivendicando le proprie azioni con post sui social media.
Tali azioni, di carattere prettamente dimostrativo, generano disservizi temporanei per le risorse attaccate soltanto nel 15% dei casi, mentre nei restanti casi non sono stati rilevati impatti” (cfr., Relazione annuale al Parlamento, pp. 37 e ss.).
Gli attacchi ransomware (198 eventi rilevati, +20% rispetto al 2023) hanno colpito prevalentemente, nell’ambito del settore privato (83%), le piccole e medie imprese (PMI), complessivamente interessate dal 75% degli eventi; il settore pubblico è stato compromesso in misura minore (17%). Nella maggior parte dei casi si sono verificati risvolti pregiudizievoli minori (95%), mentre solo il 5% degli eventi ha riguardato “soggetti classificati come a criticità massima, ovvero destinatari di obblighi di legge quali la notifica degli incidenti”. Tra i settori economici maggiormente presi di mira, il manifatturiero continua a essere il più colpito (cfr., Relazione annuale al Parlamento, pp. 41 e ss.).
Minacce avanzate APT e ruolo operativo dell’ACN nella relazione 2024
Infine, nel 2024 sono state rilevate minacce avanzate e persistenti (APT – Advanced Persistent Threat), consistenti in “attacchi mirati, volti a installare malware e altri strumenti complessi nelle reti e nei sistemi bersaglio per riuscire a mantenere attivi i canali impiegati per l’esfiltrazione di informazioni di alto valore dalle infrastrutture IT della vittima”. In particolare, sono stati colpiti soggetti, pubblici e privati, afferenti al settore diplomatico, governativo, della difesa, dell’aerospazio, dei trasporti, delle telecomunicazioni, dell’istruzione e della tecnologia mediante la compromissione di reti e sistemi tramite diverse tecniche di “sfruttamento di vulnerabilità o di relazioni di fiducia, nonché attraverso account validi e attività di social engineering complesse” (cfr., Relazione annuale al Parlamento, p. 43).
In tale prospettiva, nell’ambito della rinnovata governance nazionale di cybersicurezza, diventa sempre più rilevante l’attività di coordinamento sia strategico che operativo dell’ACN.
Sotto il profilo strategico, l’Agenzia per la cybersicurezza nazionale, infatti, svolge un importante funzione propulsiva di indirizzo e di stimolo regolatorio per l’aggiornamento del quadro legislativo vigente in materia, verificando, altresì, l’adeguatezza degli standard di sicurezza esistenti per garantire la realizzazione di un ecosistema digitale affidabile e resiliente, anche attraverso la promozione di iniziative formative e culturali e di sensibilizzazione, in attuazione di quanto previsto dalla Strategia nazionale di cybersicurezza 2022-2026.
Sul piano operativo, l’ACN è preposta a garantire, tra l’altro, una costante attività di “monitoraggio proattivo”, tramite, tra l’altro, il ricorso al sistema di costante allertamento, per segnalare tempestivamente l’esistenza di minacce rilevate, unitamente alla predisposizione di efficaci interventi a supporto delle vittime di incidenti informatici mediante il CSIRT Italia di Digital Forensics Incident Response (DFIR), di cui si avvale per l’adozione delle misure necessarie a fronteggiare la gestione delle criticità, anche grazie all’implementazione del sistema delle notifiche obbligatorie.
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.
