800 561720
#ThinkB4UClick - "Pensa prima di cliccare" è il motto ufficiale della campagna informatica che accompagna l’inizio di ottobre, il Mese Europeo della Sicurezza Informatica. La consapevolezza, soprattutto in caso di cyber attacchi quali il phishing, è essenziale per comprendere quali link malevoli non devono assolutamente essere cliccati. Ma come ci si difende quando un attacco non ha più bisogno di un click? Quando è l'IA a colpire in modalità "zero-click" per esfiltrare i dati più sensibili?
“#ThinkB4UClick”: la consapevolezza basta per difendersi nel 2025?
Ottobre è il “mese europeo della sicurezza informatica” (European Cybersecurity Month - ECSM), l'iniziativa promossa dall'Unione Europea per rafforzare la cultura della sicurezza informatica e diffondere buone pratiche di cyber hygiene.
Coordinata dall'ENISA (l'Agenzia dell'UE per la cybersicurezza) e dalla Commissione, e supportata attivamente dagli Stati membri – in Italia, ad esempio, dall'Agenzia per la Cybersicurezza Nazionale (ACN) – la campagna ha un obiettivo chiaro: aumentare la consapevolezza sui rischi del mondo digitale e fornire a cittadini e organizzazioni gli strumenti per difendersi.
Il cuore pulsante dell'edizione di quest'anno, come delle precedenti, è un appello diretto alla responsabilità individuale, splendidamente riassunto dal motto #ThinkB4UClick – "Pensa prima di cliccare". Questo principio rappresenta il baluardo fondamentale contro una vasta gamma di minacce che sfruttano l'ingegneria sociale, come il phishing, il smishing e le varie forme di frode online. L'idea di fondo è semplice quanto potente: l'anello più debole della catena di sicurezza è spesso l'essere umano, e una sua azione impulsiva – un click su un link malevolo, il download di un allegato infetto – può aprire le porte a conseguenze devastanti.
Al tempo stesso, il panorama delle minacce informatiche è in costante e rapidissima evoluzione. Di fronte a un'escalation di attacchi sempre più sofisticati, la sola consapevolezza può bastare come strategia difensiva? Come vedremo, le nuove frontiere del rischio, modellate dall'intelligenza artificiale, operano anche in contesti in cui il "click" dell’utente non è più un requisito necessario.
Dal phishing all'attacco invisibile: le minacce "zero-click" potenziate dall'IA
Se il motto #ThinkB4UClick insegna a diffidare delle nostre stesse azioni, cosa succede quando un attacco non ha più bisogno di un errore umano per andare a segno? La risposta è nel concetto di attacco “zero-click”, e un caso recente lo illustra con spaventosa chiarezza. Parliamo di “ShadowLeak”, una vulnerabilità scoperta in ChatGPT che ha permesso di esfiltrare dati sensibili in background, sfruttando l'integrazione del sistema di IA con servizi come Gmail.
L'attacco, di tipo “Indirect Prompt Injection”, funzionava inviando un'email all'apparenza innocua che nascondeva istruzioni malevole. Quando l'utente, in un secondo momento, chiedeva a ChatGPT di svolgere un'attività legittima, come "riassumi le mie email di oggi", l'agente IA eseguiva involontariamente anche il comando nascosto, inviando dati riservati (nomi, indirizzi ed altre informazioni interne) a un server controllato dall'attaccante. Il tutto senza alcun click su link sospetti e senza lasciare tracce evidenti per la vittima o per i sistemi di sicurezza perimetrali, dato che la fuga di dati partiva direttamente dai server di OpenAI.
L’evoluzione dell'intelligenza artificiale porta con sé opportunità straordinarie, ma il caso ShadowLeak rappresenta un potente campanello d’allarme. Dimostra come la superficie d'attacco si stia espandendo in modi che fino a poco tempo fa non erano prevedibili. La nostra preparazione e la nostra stessa consapevolezza situazionale sono messe a dura prova. Di fronte a minacce che operano nell'ombra, sfruttando l'autonomia degli stessi strumenti che usiamo per essere più produttivi, la vera domanda per chi si occupa di protezione dei dati diventa: come fare? Come possiamo difenderci da un avversario che non bussa più alla porta, ma è già seduto nel nostro salotto?
Cosa emerge dal nuovo report ENISA Threat Landscape?
Pubblicato con cadenza annuale, il report ENISA Threat Landscape (ETL) non è semplicemente un elenco di minacce, ma una vera e propria bussola strategica per i professionisti della sicurezza e della data protection. Fornisce un'analisi delle forze in gioco, consentendo a organizzazioni e legislatori di orientare le proprie decisioni, definire le priorità e salvaguardare le infrastrutture critiche che sorreggono il nostro futuro digitale.
Dall'edizione 2025 emerge con forza un protagonista indiscusso: l'intelligenza artificiale, identificata non solo come un trend, ma come un vero e proprio "game changer" che agisce su due fronti.
- L'IA come strumento di attacco (AI-as-a-weapon): i criminali informatici stanno rapidamente adottando i modelli di IA per ottimizzare le loro operazioni e i dati ENISA lo confermano: all'inizio del 2025, le campagne di phishing supportate dall'IA rappresentavano oltre l'80% delle attività di ingegneria sociale osservate a livello mondiale. Il report evidenzia come i Large Language Models (LLM) siano ormai impiegati in modo sistematico per creare campagne di phishing e spear-phishing altamente personalizzate e credibili, superando le barriere linguistiche e i tradizionali indicatori di truffa. L'ingegneria sociale, un tempo un'arte manuale, viene oggi automatizzata e potenziata, raggiungendo livelli di efficacia senza precedenti.
- L'IA come superficie di attacco (AI-as-a-target): parallelamente, i sistemi di IA stessi diventano un nuovo e prezioso bersaglio. Il report mette in guardia contro il crescente numero di attacchi alla supply chain dell'IA, dove le minacce non mirano all'utente finale, ma a corrompere i dati di addestramento (data poisoning) o a manipolare il comportamento dei modelli (model evasion) per ottenere risultati distorti o dannosi. Questo sposta l'attenzione dal semplice furto di dati alla compromissione dell'integrità e dell'affidabilità dei sistemi decisionali automatizzati.
I trend chiave e le minacce cyber emergenti
Al di là del ruolo preponderante dell'IA, il report ENISA fotografa un panorama delle minacce dove alcune tendenze si consolidano e altre emergono con prepotenza. Sebbene il ransomware rimanga la minaccia con l'impatto potenziale più devastante per le organizzazioni UE, i dati quantitativi raccontano una storia dominata da un altro fenomeno: l'hacktivism.
Attacchi di tipo DDoS (Distributed Denial of Service) hanno costituito il 77% di tutti gli incidenti segnalati, la quasi totalità (80%) spinta da motivazioni ideologiche. Tuttavia, è cruciale notare come la maggior parte di queste azioni si sia rivelata a basso impatto, mirando a defacement di siti web più che a una reale interruzione del servizio.
Sul fronte delle intrusioni, i punti di accesso rimangono drammaticamente "classici": il phishing si conferma la porta d'ingresso preferita nel 60% dei casi, seguito dallo sfruttamento di vulnerabilità note (21,3%). Questo dato, letto in controluce con l'ascesa dell'IA, suggerisce un futuro in cui i tentativi di phishing diventeranno ancora più difficili da riconoscere, aumentando esponenzialmente il rischio. Infine, il report sottolinea la crescente attività di gruppi affiliati a stati nazionali, le cui operazioni di cyberspionaggio e di manipolazione dell'informazione (FIMI) prendono di mira soprattutto la pubblica amministrazione, alzando il livello della sfida per le istituzioni europee.
Quali sono i settori più a rischio nell'Unione Europea?
L'analisi settoriale del report ENISA è forse una delle più preziose per un DPO, poiché mappa concretamente dove si concentra il rischio. Non sorprende che in cima alla lista dei settori più bersagliati si trovi la pubblica amministrazione, che da sola assorbe il 38,2% degli incidenti. Questo settore è il campo di battaglia prediletto sia per l'hacktivism dimostrativo sia per le più silenziose campagne di spionaggio statale.
A seguire, troviamo settori la cui criticità per il funzionamento della società è evidente: i trasporti (7,5%), le infrastrutture digitali (4,8%), la finanza (4,5%) e il settore manifatturiero (2,9%).
Un dato di importanza strategica, evidenziato dal report, è la stretta correlazione tra questi target e l'ambito di applicazione della Direttiva NIS2. Ben il 53,7% del numero totale di incidenti ha colpito "entità essenziali" secondo la definizione della direttiva. Questo non è un caso, ma la conferma che la normativa sta andando nella giusta direzione, concentrando gli sforzi di resilienza proprio dove gli avversari colpiscono con più insistenza.
Perché le difese tradizionali non bastano più: verso un approccio adattivo
Il messaggio fondamentale che emerge dall'analisi ENISA è che il tempo a disposizione dei difensori si sta riducendo drasticamente. L'intelligenza artificiale accelera i cicli di innovazione offensiva, permettendo agli attaccanti di sviluppare in poche ore, non più settimane, campagne di inganno estremamente efficaci.
Siamo entrati in una nuova era in cui la vera minaccia non è più solo l'uso di IA per migliorare attacchi noti, ma lo sviluppo di sistemi di IA intrinsecamente dannosi (malicious AI), il cui potenziale è ancora tutto da esplorare.
Di fronte a questo scenario, un approccio reattivo è destinato a fallire. Le strategie difensive devono evolvere, diventando più sistemiche, proattive e basate sull'intelligence. Il report ENISA spinge verso un modello di sicurezza che non si limiti a costruire muri più alti (difesa perimetrale), ma che adotti architetture di Zero Trust ("mai fidarsi, sempre verificare") e che ponga l'accento sulla ricerca proattiva delle minacce (threat hunting) e sul rilevamento di anomalie comportamentali. La resilienza, oggi, non è più solo una questione di tecnologia, ma di integrazione del rischio informatico nei processi decisionali e operativi dell'intera organizzazione.
Il ruolo del DPO tra governance e risposta: strategie pratiche
In questo scenario complesso e dinamico, il ruolo del Data Protection Officer si trasforma in un orchestratore strategico della resilienza dei dati, una figura ponte tra il legale, il tecnico e il business.
Come si traduce tutto questo all’atto pratico?
- Promuovere una governance adattiva: è fondamentale andare oltre la semplice mappatura dei dati e promuovere valutazioni del rischio specifiche per l'IA, analizzando non solo come l'azienda usa l'IA, ma anche come potrebbe essere attaccata tramite essa. Le policy di sicurezza e le DPIA devono essere documenti vivi, aggiornati alla luce delle nuove minacce emerse;
- Dialogare con il CISO e l'IT: il DPO deve collaborare strettamente con il team di sicurezza per assicurarsi che le tecnologie di difesa (come EDR, XDR e piattaforme di threat intelligence) siano configurate per proteggere i dati personali in modo specifico e che i piani di Incident Response prevedano scenari di attacco moderni, come il data poisoning o l'esfiltrazione tramite IA;
- Puntare sulla formazione evoluta: la consapevolezza del #ThinkB4UClick rimane importante, ma va integrata. È compito del DPO promuovere una formazione che spieghi ai dipendenti la natura delle minacce di nuova generazione, insegnando a riconoscere tentativi di phishing sofisticati e a usare gli strumenti di IA aziendali in modo sicuro.
Le sfide sono immense, ma la condivisione di conoscenze e strategie è la nostra arma più potente. Anticipare le mosse dell'avversario richiede aggiornamento costante e una solida rete di professionisti. Questo è l'impegno di ASSO DPO: creare un fronte comune. Entra a far parte della nostra community, iscrivendoti potrai accedere a contenuti riservati e confrontarti con esperti del settore per proteggere al meglio la tua organizzazione.
