Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

L’ENISA threat landscape 2025: minacce, posture e (poche) certezze

ENISA ha pubblicato il nuovo Threat Landscape Report, che fotografa le minacce informatiche nel periodo tra luglio 2022 e giugno 2023

Scarica PDF Stampa

L’Agenzia europea per la cybersicurezza (ENISA) ha pubblicato il nuovo Threat Landscape Report, che fotografa il panorama delle minacce informatiche nel periodo tra luglio 2022 e giugno 2023. Nessun colpo di scena, ma una conferma: lo scenario digitale europeo continua a somigliare sempre più a una giungla iperconnessa, dove il numero, la sofisticazione e l’impatto delle minacce cresce di pari passo con l’inadeguatezza delle difese.
In questo articolo analizziamo i punti salienti del rapporto, con uno sguardo particolare ai profili giuridici e agli obblighi di compliance in capo a soggetti pubblici e privati. In materia di cybersicurezza, abbiamo organizzato il corso Master in Compliance Management – Come realizzare un sistema di governance integrato. Inoltre, sugli adempimenti NIS2, abbiamo organizzato il corso Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon

Indice

1. Un panorama complesso e interconnesso: le 10 principali minacce secondo ENISA


Il report 2025 consolida la struttura ormai classica del threat assessment di ENISA, individuando 10 principali minacce cyber:

  • Ransomware
  • Malware
  • Inganno degli utenti (social engineering)
  • Minacce contro la disponibilità (DDoS e simili)
  • Minacce ai dati
  • Minacce supply chain
  • Minacce alle infrastrutture fisiche
  • Disinformazione
  • Manipolazione di informazioni legittime
  • Abusi su AI-enabled threat vectors

La novità più evidente, che tuttavia poco stupisce, è proprio la presenza dell’intelligenza artificiale nell’elenco, non come tecnologia neutra, ma come moltiplicatore di rischio: dai deepfake alle automazioni sofisticate per phishing e social engineering, fino alla generazione di codice malevolo attraverso LLM e strumenti open source.
Tra le minacce più trasversali, spiccano quelle alla supply chain, ormai intesa in senso estensivo: non solo fornitori IT ma ogni anello vulnerabile dell’ecosistema digitale, comprese API, servizi cloud, reti industriali e software as a service (SaaS). Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. Ransomware: la minaccia che non conosce declino


Il ransomware si conferma al primo posto tra le minacce osservate, con un livello di impatto altissimo e una crescita nella complessità degli attacchi. Non più solo cifratura dei dati, ma esfiltrazione, minaccia alla reputazione, estorsione e pubblicazione selettiva delle informazioni sottratte.
A colpire è il numero crescente di incidenti nel settore sanitario, dell’istruzione e della pubblica amministrazione, settori in cui la resilienza è limitata e i tempi di reazione lunghi.
Dal punto di vista normativo, il ransomware rientra pienamente tra gli eventi incidentali previsti da:

  • artt. 33 e 34 del GDPR (notifica al Garante e agli interessati);
  • Direttiva NIS2 e Cyber Resilience Act per le entità essenziali e importanti;
  • D.Lgs. 82/2005 (CAD) per le pubbliche amministrazioni.

Potrebbero interessarti anche:

3. AI, disinformazione e manipolazione: il rischio oltre la tecnica


Il report ENISA dedica ampio spazio alla minaccia crescente della disinformazione online e alla manipolazione dei contenuti. Non si tratta solo di fake news o manipolazioni in chiave politica, ma di una strategia mista che usa contenuti falsi per:

  • erodere la fiducia nelle istituzioni,
  • danneggiare imprese concorrenti,
  • trarre in inganno utenti e consumatori.

Con l’ingresso dell’IA generativa nello scenario operativo, cambia la scala della minaccia: basta un prompt per generare migliaia di contenuti persuasivi, coerenti, simulati ad arte, difficilmente distinguibili da quelli reali.
Sotto il profilo giuridico, i riferimenti sono molteplici:

  • Regolamento (UE) 2024/1689 (AI Act), in vigore dal 1° agosto 2024, che classifica alcuni sistemi AI ad alto rischio, vieta pratiche manipolatorie e impone obblighi di trasparenza (artt. 5 ss.);
  • Digital Services Act, che impone obblighi di moderazione e tracciabilità dei contenuti, specie per le Very Large Online Platforms (VLOP);
  • normativa sulla tutela del consumatore e repressione della pubblicità ingannevole, ove i contenuti manipolati incidano sulla libertà contrattuale o informativa dell’utente finale.

In materia consigliamo anche il volume “La legge Italiana sull’Intelligenza Artificiale – Commento alla Legge 23 settembre 2025, n. 132”, disponibile su Shop Maggioli e su Amazon.

VOLUME

La legge Italiana sull’Intelligenza Artificiale

Il volume presenta il primo articolato commento dedicato alla Legge 23 settembre 2025, n. 132, che detta le norme che consentono di disciplinare in ambito italiano il fenomeno dell’intelligenza artificiale e il settore giuridico degli algoritmi avanzati.Il testo offre una panoramica completa delle principali questioni giuridiche affrontate dal legislatore italiano, tra cui la tutela del diritto d’autore e la disciplina della protezione dei dati personali raccolti per l’addestramento dei modelli e per il funzionamento dei sistemi di intelligenza artificiale.Sono analizzate tutte le modifiche normative previste dalla nuova legge, che è intervenuta anche sul codice civile, sul codice di procedura civile e sul codice penale, introducendo nuove fattispecie di reato. La puntuale analisi della riforma e il confronto con le fonti europee (l’AI Act e il GDPR) sono accompagnati da schemi e tabelle, e da un agile glossario giuridico. Vincenzo FranceschelliCome professore straordinario prima, e poi come ordinario, ha insegnato nelle Università di Trieste, Siena, Parma, Milano e Milano Bicocca. È Vicepresidente del CNU – Consiglio Nazionale degli Utenti presso l’AGCom Autorità per le garanzie nelle comunicazioni. È stato Visiting Professor presso la Seton Hall University Law School di New Jersey, USA. Direttore responsabile della Rivista di Diritto Industriale e autore di numerose monografie e contributi scientifici in varie riviste.Andrea Sirotti GaudenziAvvocato e docente universitario. Svolge attività di insegnamento presso Atenei e centri di formazione in Italia e all’estero. È responsabile scientifico di vari enti, tra cui l’Istituto nazionale per la formazione continua di Roma. Direttore di collane e trattati giuridici, è autore di numerosi volumi, tra cui “Manuale pratico dei marchi e brevetti”, “Il nuovo diritto d’autore” e “Codice della proprietà industriale”. I suoi articoli vengono pubblicati su varie testate giuridiche.

 

Vincenzo Franceschelli, Andrea Sirotti Gaudenzi | Maggioli Editore 2025

23.75 €

Scopri di più

4. Impatti settoriali: sanità, energia, trasporti e pubbliche amministrazioni


L’ENISA evidenzia come i settori più colpiti restino quelli a forte digitalizzazione ma bassa resilienza:

  • sanità, per il valore dei dati e la necessità di continuità;
  • energia e utility, per l’interconnessione delle infrastrutture OT/IT;
  • trasporti, con rischi crescenti su sistemi GPS, SCADA e IoT;
  • PA locali, spesso prive di competenze interne e budget adeguati.

L’entrata in vigore della Direttiva NIS2, recepita dagli Stati membri entro il 17 ottobre 2024, ha ampliato in modo significativo il numero di soggetti obbligati ad adottare misure di sicurezza e a notificare incidenti. La classificazione come entità essenziali o importanti comporta:

  • audit periodici,
  • piani di gestione del rischio cyber,
  • cooperazione con CSIRT e autorità competenti,
  • responsabilità diretta dell’organo amministrativo.

5. Chi sono i principali attori delle minacce?


Il report distingue fra diverse categorie di threat actors:

  • State-sponsored groups, con obiettivi strategici e tecniche complesse;
  • Cybercrime syndicates, sempre più strutturati e “as a service”;
  • Hacktivist e gruppi ideologici, spesso con impatto amplificato da media e social;
  • Insider e dipendenti infedeli, una minaccia trascurata ma in crescita.

ENISA segnala anche il ruolo dei gruppi ibridi, difficili da attribuire, che agiscono in modo “proxy” per Stati ostili o grandi organizzazioni criminali.
La mancata attribuzione certa dell’attacco rimane uno dei limiti alla risposta normativa, sia in sede penale che contrattuale. Tuttavia, il principio di accountability impone comunque alle organizzazioni di dimostrare misure preventive, adeguatezza della risposta e cooperazione con le autorità (art. 5, par. 2, GDPR; art. 21 NIS2).

6. Verso una sicurezza “by design”: spunti operativi e di policy


ENISA suggerisce approcci più proattivi e strutturati, fra cui:

  • Security by design e by default per lo sviluppo software;
  • introduzione di supply chain security policies;
  • audit interni e simulazioni di attacco (es. red team, pen test);
  • formazione continua del personale come strumento di prevenzione.

Dal punto di vista legale, ciò comporta:

  • aggiornamento dei modelli 231 per includere il rischio cyber;
  • predisposizione di DPIA mirate (Data Protection Impact Assessment);
  • definizione di SLA e clausole contrattuali più stringenti con i fornitori.

7. Conclusioni: il diritto deve saper cambiare passo


Il Threat Landscape 2025 non è solo l’ennesima fotografia di un disastro annunciato. È lo specchio nitido di un paradosso: più diventiamo digitali, più ci scopriamo fragili. E non per colpa della tecnologia, ma per il modo in cui la adottiamo: senza strategia, senza cultura, senza responsabilità. L’errore umano resta la prima causa di incidente, ma dietro quell’errore c’è sempre un’assenza: di formazione, di governance, di visione.
Nel mondo reale, le aziende affidano la gestione della sicurezza a IT manager lasciati soli, i contratti con i fornitori si chiudono con modelli precompilati senza valutazione dei rischi, le pubbliche amministrazioni fanno bandi dove la cybersecurity è solo una voce da spuntare, non una funzione viva. Poi arriva il ransomware, e ci si accorge che il backup non è verificato da mesi, che la DPIA è datata 2019 e che nessuno ha idea di cosa significhi “notifica al Garante entro 72 ore”.
Ecco perché serve un cambio di passo. Ma soprattutto, serve un cambio di cultura giuridica.
Il giurista digitale non può più essere un revisore passivo di testi normativi o un estensore di clausole copia-incolla. Deve essere un costruttore di sistemi, un ponte tra mondi: tra il linguaggio tecnico e le esigenze regolatorie, tra la governance e l’operatività quotidiana. Deve conoscere le architetture cloud, sapere cosa succede in un attacco supply chain, capire cosa fa un LLM quando “inventa” contenuti. E deve saperlo spiegare, contrattualizzare, normare.
Perché se c’è una cosa che questo rapporto ENISA ci ricorda con chiarezza, è che il tempo delle ambiguità è finito. Non possiamo più permetterci di pensare alla cybersecurity come a un tema da specialisti informatici o da consulenti esterni. È materia di responsabilità giuridica, reputazionale, sistemica. E come tale va governata. Con metodo, con rigore, con lucidità.
E magari – perché no – con un pizzico di ironia. Perché anche nel mezzo del caos digitale, serve qualcuno che sappia tenere il punto, alzare il livello, e restare umano.

Formazione in materia per professionisti


Master in Compliance Management – Come realizzare un sistema di governance integrato
Il Master in Compliance Management è un percorso di formazione specialistica della durata di 24 ore, pensato per offrire una visione chiara, aggiornata e completa delle principali aree della compliance aziendale. Il focus è sugli strumenti, gli obblighi e le responsabilità che imprese e professionisti devono conoscere e applicare per garantire la conformità e l’efficacia dei modelli organizzativi.
Grazie all’esperienza dei docenti e all’analisi di casi concreti, il Master si distingue per un taglio pratico e operativo che consentirà ai partecipanti di acquisire competenze e strumenti utili per gestire la compliance integrata in diversi contesti aziendali.
Il programma copre i principali ambiti della compliance: dalla governance aziendale alla responsabilità amministrativa degli enti (D.Lgs. 231/2001), dalla protezione dei dati personali e privacy alla gestione delle segnalazioni whistleblowing, dalla sostenibilità ESG e i nuovi obblighi europei alla regolamentazione sull’intelligenza artificiale (AI Act), fino alla cybersecurity e alla gestione integrata del rischio.
>>>Per info ed iscrizioni<<<

Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025
La nuova Determinazione ACN n. 333017/2025 segna un passaggio decisivo nell’attuazione della Direttiva NIS2 in Italia, introducendo all’art. 7 una figura inedita: il Referente CSIRT.
Il corso offre una lettura chiara e operativa delle nuove regole emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), spiegando cosa cambia per i soggetti NIS e come organizzarsi entro le scadenze previste. Il Referente CSIRT dovrà infatti essere designato tra il 20 novembre e il 31 dicembre 2025.
Attraverso un percorso pratico e di approfondimento, i partecipanti comprenderanno:
– il quadro normativo aggiornato e le differenze tra Punto di Contatto e Referente CSIRT
– le responsabilità, le procedure e gli obblighi di notifica degli incidenti
– l’utilizzo del Portale ACN e checklist operative per il Referente CSIRT
 >>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Chat control: gli sviluppi più recenti e le novità introdotte

Dopo l’ampio dibattito sulla proposta originaria nota come “Chat Control”, gli ultimi mesi hanno seg…

Luisa Di Giacomo 02/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Conservazione dei dati biometrici: la Corte UE chiarisce i limiti

La Corte UE si pronuncia su raccolta e conservazione dei dati biometrici e genetici da parte della p…

Lorena Papini 24/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Cloudflare va in blackout e il web inciampa: la fragilità dell’infrastruttura digitale

Un blackout globale Cloudflare il 18 novembre 2025 ha reso instabili servizi web in tutto il mondo, …

Luisa Di Giacomo 21/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Privacy Sweep: Il Garante e l’operazione internazionale sui siti e le app per bambini

Il Garante partecipa al Privacy Sweep 2025: spotlight sulle app per minori e sulla vera tutela dei b…

Luisa Di Giacomo 19/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;