L’Agenzia europea per la cybersicurezza (ENISA) ha pubblicato il nuovo Threat Landscape Report, che fotografa il panorama delle minacce informatiche nel periodo tra luglio 2022 e giugno 2023. Nessun colpo di scena, ma una conferma: lo scenario digitale europeo continua a somigliare sempre più a una giungla iperconnessa, dove il numero, la sofisticazione e l’impatto delle minacce cresce di pari passo con l’inadeguatezza delle difese.

In questo articolo analizziamo i punti salienti del rapporto, con uno sguardo particolare ai profili giuridici e agli obblighi di compliance in capo a soggetti pubblici e privati.

1. Un panorama complesso e interconnesso: le 10 principali minacce secondo ENISA

Il report 2025 consolida la struttura ormai classica del threat assessment di ENISA, individuando 10 principali minacce cyber: Ransomware

Malware

Inganno degli utenti (social engineering)

Minacce contro la disponibilità (DDoS e simili)

Minacce ai dati

Minacce supply chain

Minacce alle infrastrutture fisiche

Disinformazione

Manipolazione di informazioni legittime

Abusi su AI-enabled threat vectors La novità più evidente, che tuttavia poco stupisce, è proprio la presenza dell’intelligenza artificiale nell’elenco, non come tecnologia neutra, ma come moltiplicatore di rischio: dai deepfake alle automazioni sofisticate per phishing e social engineering, fino alla generazione di codice malevolo attraverso LLM e strumenti open source.

Tra le minacce più trasversali, spiccano quelle alla supply chain, ormai intesa in senso estensivo: non solo fornitori IT ma ogni anello vulnerabile dell’ecosistema digitale, comprese API, servizi cloud, reti industriali e software as a service (SaaS).

2. Ransomware: la minaccia che non conosce declino

Il ransomware si conferma al primo posto tra le minacce osservate, con un livello di impatto altissimo e una crescita nella complessità degli attacchi. Non più solo cifratura dei dati, ma esfiltrazione, minaccia alla reputazione, estorsione e pubblicazione selettiva delle informazioni sottratte.

A colpire è il numero crescente di incidenti nel settore sanitario, dell’istruzione e della pubblica amministrazione, settori in cui la resilienza è limitata e i tempi di reazione lunghi.

Dal punto di vista normativo, il ransomware rientra pienamente tra gli eventi incidentali previsti da: artt. 33 e 34 del GDPR (notifica al Garante e agli interessati);

(notifica al Garante e agli interessati); Direttiva NIS2 e Cyber Resilience Act per le entità essenziali e importanti;

3. AI, disinformazione e manipolazione: il rischio oltre la tecnica

Il report ENISA dedica ampio spazio alla minaccia crescente della disinformazione online e alla manipolazione dei contenuti. Non si tratta solo di fake news o manipolazioni in chiave politica, ma di una strategia mista che usa contenuti falsi per: erodere la fiducia nelle istituzioni,

danneggiare imprese concorrenti,

trarre in inganno utenti e consumatori. Con l’ingresso dell’IA generativa nello scenario operativo, cambia la scala della minaccia: basta un prompt per generare migliaia di contenuti persuasivi, coerenti, simulati ad arte, difficilmente distinguibili da quelli reali.

Sotto il profilo giuridico, i riferimenti sono molteplici: Regolamento (UE) 2024/1689 (AI Act) , in vigore dal 1° agosto 2024, che classifica alcuni sistemi AI ad alto rischio, vieta pratiche manipolatorie e impone obblighi di trasparenza (artt. 5 ss.);

, in vigore dal 1° agosto 2024, che classifica alcuni sistemi AI ad alto rischio, vieta pratiche manipolatorie e impone obblighi di trasparenza (artt. 5 ss.); Digital Services Act , che impone obblighi di moderazione e tracciabilità dei contenuti, specie per le Very Large Online Platforms (VLOP);

normativa sulla tutela del consumatore e repressione della pubblicità ingannevole, ove i contenuti manipolati incidano sulla libertà contrattuale o informativa dell'utente finale.

4. Impatti settoriali: sanità, energia, trasporti e pubbliche amministrazioni

L’ENISA evidenzia come i settori più colpiti restino quelli a forte digitalizzazione ma bassa resilienza: sanità , per il valore dei dati e la necessità di continuità;

, per il valore dei dati e la necessità di continuità; energia e utility , per l’interconnessione delle infrastrutture OT/IT;

, per l’interconnessione delle infrastrutture OT/IT; trasporti , con rischi crescenti su sistemi GPS, SCADA e IoT;

, con rischi crescenti su sistemi GPS, SCADA e IoT; PA locali, spesso prive di competenze interne e budget adeguati. L’entrata in vigore della Direttiva NIS2, recepita dagli Stati membri entro il 17 ottobre 2024, ha ampliato in modo significativo il numero di soggetti obbligati ad adottare misure di sicurezza e a notificare incidenti. La classificazione come entità essenziali o importanti comporta: audit periodici,

piani di gestione del rischio cyber,

cooperazione con CSIRT e autorità competenti,

responsabilità diretta dell’organo amministrativo.

5. Chi sono i principali attori delle minacce?

Il report distingue fra diverse categorie di threat actors: State-sponsored groups , con obiettivi strategici e tecniche complesse;

, con obiettivi strategici e tecniche complesse; Cybercrime syndicates , sempre più strutturati e “as a service”;

, sempre più strutturati e “as a service”; Hacktivist e gruppi ideologici , spesso con impatto amplificato da media e social;

, spesso con impatto amplificato da media e social; Insider e dipendenti infedeli, una minaccia trascurata ma in crescita. ENISA segnala anche il ruolo dei gruppi ibridi, difficili da attribuire, che agiscono in modo “proxy” per Stati ostili o grandi organizzazioni criminali.

La mancata attribuzione certa dell’attacco rimane uno dei limiti alla risposta normativa, sia in sede penale che contrattuale. Tuttavia, il principio di accountability impone comunque alle organizzazioni di dimostrare misure preventive, adeguatezza della risposta e cooperazione con le autorità (art. 5, par. 2, GDPR; art. 21 NIS2).

6. Verso una sicurezza “by design”: spunti operativi e di policy

ENISA suggerisce approcci più proattivi e strutturati, fra cui: Security by design e by default per lo sviluppo software;

e per lo sviluppo software; introduzione di supply chain security policies ;

; audit interni e simulazioni di attacco (es. red team, pen test);

(es. red team, pen test); formazione continua del personale come strumento di prevenzione. Dal punto di vista legale, ciò comporta: aggiornamento dei modelli 231 per includere il rischio cyber;

per includere il rischio cyber; predisposizione di DPIA mirate (Data Protection Impact Assessment);

(Data Protection Impact Assessment); definizione di SLA e clausole contrattuali più stringenti con i fornitori.

7. Conclusioni: il diritto deve saper cambiare passo

Il Threat Landscape 2025 non è solo l’ennesima fotografia di un disastro annunciato. È lo specchio nitido di un paradosso: più diventiamo digitali, più ci scopriamo fragili. E non per colpa della tecnologia, ma per il modo in cui la adottiamo: senza strategia, senza cultura, senza responsabilità. L’errore umano resta la prima causa di incidente, ma dietro quell’errore c’è sempre un’assenza: di formazione, di governance, di visione.

Nel mondo reale, le aziende affidano la gestione della sicurezza a IT manager lasciati soli, i contratti con i fornitori si chiudono con modelli precompilati senza valutazione dei rischi, le pubbliche amministrazioni fanno bandi dove la cybersecurity è solo una voce da spuntare, non una funzione viva. Poi arriva il ransomware, e ci si accorge che il backup non è verificato da mesi, che la DPIA è datata 2019 e che nessuno ha idea di cosa significhi “notifica al Garante entro 72 ore”.

Ecco perché serve un cambio di passo. Ma soprattutto, serve un cambio di cultura giuridica.

Il giurista digitale non può più essere un revisore passivo di testi normativi o un estensore di clausole copia-incolla. Deve essere un costruttore di sistemi, un ponte tra mondi: tra il linguaggio tecnico e le esigenze regolatorie, tra la governance e l’operatività quotidiana. Deve conoscere le architetture cloud, sapere cosa succede in un attacco supply chain, capire cosa fa un LLM quando “inventa” contenuti. E deve saperlo spiegare, contrattualizzare, normare.

Perché se c’è una cosa che questo rapporto ENISA ci ricorda con chiarezza, è che il tempo delle ambiguità è finito. Non possiamo più permetterci di pensare alla cybersecurity come a un tema da specialisti informatici o da consulenti esterni. È materia di responsabilità giuridica, reputazionale, sistemica. E come tale va governata. Con metodo, con rigore, con lucidità.

E magari – perché no – con un pizzico di ironia. Perché anche nel mezzo del caos digitale, serve qualcuno che sappia tenere il punto, alzare il livello, e restare umano.

