116.498 attacchi informatici in dodici mesi — uno ogni cinque minuti. È il bilancio del 2025 in Italia, dove l’esposizione alle minacce cyber supera del 17% la media globale. Nelle prime settimane del 2026 l’escalation è proseguita con il ransomware alla Sapienza di Roma (riscatto in milioni di euro chiesto in criptovalute) e gli attacchi DDoS del collettivo filorusso NoName057(16) contro le infrastrutture delle Olimpiadi Invernali di Milano-Cortina. Due episodi diversi per natura e obiettivo, ma accomunati da un elemento: il ruolo centrale delle crypto nel finanziamento del cybercrime.
I numeri: un attacco ogni cinque minuti
I dati del Threat Landscape 2025 delineano un’emergenza strutturale. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato nel primo semestre 2025 un incremento del 53% degli eventi cyber rispetto allo stesso periodo dell’anno precedente, con 1.549 eventi totali di cui 346 classificati come incidenti con impatto confermato — un aumento del 98%. La media settimanale di 2.249 episodi colloca l’Italia tra i Paesi europei più esposti.
Nel solo mese di gennaio 2026, secondo i dati di Ransomfeed, sono stati rivendicati 17 attacchi ransomware contro aziende italiane — quasi uno al giorno — che hanno colpito settori eterogenei: manifatturiero (Cressi, Labeltex, Casadei), IT consulting (Softlab SpA), trasporti e logistica (Saplog, Sita Sud), fino all’Autorità Portuale Adriatica. Un dato che conferma come il ransomware, il modello di business più redditizio del cybercrime, continui a crescere con le criptovalute come strumento di riscuotimento privilegiato.
| Indicatore | Dato |
| Attacchi censiti in Italia (2025) | 116.498 (1 ogni 5 minuti) |
| Media settimanale | 2.249 episodi |
| Esposizione vs media globale | +17% |
| Incidenti con impatto confermato (H1 2025) | 346 (+98% su H1 2024) |
| Attacchi ransomware in Italia (gen. 2026) | 17 rivendicati (quasi 1 al giorno) |
| Attacchi DDoS NoName057 vs Italia (ott 2024–gen 2026) | 487 rivendicati |
| Target olimpici censiti (4–8 feb 2026) | 52 obiettivi, 711 richieste DDoS |
Il caso Sapienza: ransomware e riscatto in Bitcoin
L’attacco più eclatante di inizio 2026 ha colpito l’Università La Sapienza di Roma il 2 febbraio. Cybercriminali di presunta matrice russa hanno introdotto nel sistema il ransomware BabLock, bloccando il sito ufficiale, la piattaforma Infostud (esami, voti, pagamenti) e l’intera rete dell’ateneo più grande d’Italia. La richiesta di riscatto — milioni di euro da pagare in criptovalute — è arrivata insieme alla minaccia di pubblicare i dati personali contenuti nei database universitari.
L’Agenzia per la Cybersicurezza Nazionale è intervenuta immediatamente con una task force tecnica per analizzare l’estensione dell’incidente e avviare le procedure di bonifica, facendo affidamento sui sistemi di backup non compromessi. Le lezioni e gli esami sono proseguiti regolarmente, ma il ripristino completo dei servizi ha richiesto giorni. Secondo quanto riportato dalla stampa, i cybercriminali si erano infiltrati nella rete già da tempo, sottraendo dati prima di attivare il ransomware — una tecnica nota come “doppia estorsione”, in cui si minaccia sia il blocco operativo sia la pubblicazione dei dati rubati.
Il caso illustra perfettamente il modello economico del ransomware: il software malevolo blocca i sistemi, il riscatto viene richiesto in Bitcoin o altre criptovalute perché più difficili da tracciare rispetto ai bonifici bancari (pur non essendo anonimi, come abbiamo visto nell’articolo sulla tracciabilità DAC8), e il pagamento finanzia il prossimo attacco. È un circolo vizioso in cui le crypto fungono da “infrastruttura finanziaria” del cybercrime.
Olimpiadi sotto attacco: NoName057 e la guerra ibrida
Parallelamente al caso Sapienza, il collettivo hacktivista filorusso NoName057(16) ha lanciato una campagna massiccia di attacchi DDoS contro le infrastrutture digitali delle Olimpiadi Invernali di Milano-Cortina 2026. Tra il 4 e l’8 febbraio — la settimana inaugurale dei Giochi — sono stati censiti almeno 52 target con 711 richieste DDoS distinte, colpendo il sito ufficiale dell’evento, la Fondazione Milano-Cortina, comuni ospitanti, hotel di Cortina, comitati olimpici di diversi Paesi europei e persino sponsor come Leonardo ed Esselunga.
Il ministro degli Esteri Antonio Tajani ha confermato di aver sventato attacchi contro sedi del Ministero e strutture legate ai Giochi, attribuendone la matrice alla Russia. Sul proprio canale Telegram, NoName057(16) ha motivato le azioni come risposta alla posizione pro-Ucraina dell’Italia, pubblicando anche immagini di telecamere di sorveglianza per dimostrare l’accesso a sistemi pubblici e privati. Il collettivo vanta 487 attacchi DDoS contro l’Italia tra ottobre 2024 e gennaio 2026, con 894 concentrati negli ultimi 90 giorni.
A differenza del ransomware, gli attacchi DDoS non mirano a sottrarre dati né a chiedere riscatti: l’obiettivo è il disturbo e la propaganda. Tuttavia, il legame con le criptovalute esiste anche qui: la botnet DDosia utilizzata da NoName057 remunera i propri volontari in crypto, creando un modello di “hacktivismo retribuito” che sfrutta la blockchain per distribuire pagamenti pseudoanonimi ai partecipanti degli attacchi.
Cosa significa per l’investitore crypto italiano
L’escalation di attacchi ransomware e il loro legame con le criptovalute non restano senza conseguenze per chi investe nel settore. Quattro sono gli impatti concreti da monitorare.
| ⚠️ Impatti per l’investitore crypto 1. Rischio reputazionale — Ogni attacco ransomware che finisce in prima pagina con la frase “riscatto in Bitcoin” rafforza la narrativa negativa sulle criptovalute. Per gli investitori questo si traduce in pressione ribassista di breve periodo e in un freno all’adozione istituzionale, che è invece la leva principale per la crescita del mercato nel medio-lungo termine. 2. Pressione regolatoria più dura — Il cybercrime alimenta la domanda politica di regole più severe. Non è un caso che MiCA, DAC8 e CARF siano entrati in vigore proprio in un contesto di aumento degli attacchi: la tracciabilità completa delle transazioni è anche una risposta al finanziamento illecito. Chi investe deve aspettarsi obblighi KYC/AML sempre più stringenti su tutte le piattaforme. 3. Stretta su anonimato e mixer — Le autorità europee stanno intensificando le azioni contro i servizi di mixing e i protocolli privacy-oriented utilizzati dai cybercriminali per riciclare i proventi dei riscatti. Questo può avere effetti collaterali su privacy coin (Monero, Zcash), servizi non custodial e piattaforme DeFi che non implementano controlli di identità. 4. Opportunità nel settore cybersecurity — L’altro lato della medaglia: la domanda di soluzioni di sicurezza informatica è in forte crescita. Per gli investitori diversificati, il settore cybersecurity (aziende quotate, ETF tematici) rappresenta una copertura naturale rispetto al rischio che il cybercrime crei volatilità sul mercato crypto. |
Per approfondire come proteggere le proprie posizioni e navigare un mercato in cui regolamentazione e sicurezza sono sempre più intrecciate, le previsioni Bitcoin 2026-2030 di Finaria offrono scenari aggiornati che tengono conto anche dei fattori normativi e di rischio.
Condividi
Giuliana Morelli
Domande e Risposte (0)