-1,42
Ventinove minuti medi. Ma, in alcuni casi, sono bastati 27 secondi a un hacker per muoversi dentro la rete dopo l’ingresso e compromettere tutte le funzionalità di una banca. Nel settore finanziario gli attacchi informatici non stanno solo aumentando: stanno diventando più rapidi e difficili da distinguere e difficili da distinguere dall’attività normale di un dipendente. Secondo il nuovo «Financial Services Threat Landscape Report» elaborato da CrowdStrike, gruppo texano di cybersecurity quotato al Nasdaq, le intrusioni «hands-on-keyboard» nel segmento finance sono aumentate del 43%, mentre il tempo medio necessario a un attaccante per muoversi lateralmente nella rete dopo il primo accesso è sceso a 29 minuti. Nel caso più rapido osservato sono bastati appena 27 secondi.
A cambiare radicalmente è soprattutto il modo in cui gli hacker entrano nelle organizzazioni: non più soltanto malware o exploit tradizionali, ma credenziali valide, identità digitali compromesse e social engineering. «L’identità è oggi la superficie d’attacco critica», spiega Luca Nilo Livrieri, Senior Director Sales Engineering South Europe di CrowdStrike. «L’attaccante vuole ottenere credenziali valide perché quello è il vettore di accesso più silenzioso». Il dato più significativo del report è probabilmente proprio questo: l’82% delle rilevazioni osservate da CrowdStrike è malware-free. In pratica, nella maggior parte degli incidenti gli attaccanti non installano neppure software malevoli, ma utilizzano l’infrastruttura e strumenti già presenti nell’ambiente compromesso, simulando il comportamento di utenti legittimi, così da ridurre la probabilità di rilevamento. «Oggi non pensiamo più al classico virus che arriva sulla macchina; l’attaccante entra con username e password reali e usa strumenti che l’azienda utilizza normalmente, rendendo molto difficile distinguere l’attività malevola da quella lecita», osserva Livrieri.
Il terreno di scontro si è poi spostato anche sul cloud che, per il settore finanziario – in cui coesiste un combinato di grandi volumi di dati e accessi privilegiati – significa avere una superficie d’attacco sempre più ampia. Gli attacchi cloud-conscious sono aumentati del 37%, mentre il 35% degli incidenti cloud osservati coinvolge abuso di account validi. Microsoft 365, Entra ID, Okta e gli ambienti Aws sono diventati target prioritari perché consentono agli attaccanti di muoversi rapidamente tra identità, applicazioni e dati attraverso sistemi con un’unica coppia di credenziali (user e password). «Una volta entrati nel cloud, gli attaccanti possono accedere a una quantità enorme di applicazioni», spiega Livrieri. «Gli attacchi ormai sono completamente cross-domain: cloud, endpoint, identità e SaaS vengono sfruttati insieme». Per le aziende finanziarie questo significa ripensare completamente i modelli difensivi.
Secondo CrowdStrike non basta più puntare soltanto sulla prevenzione o sulla gestione tradizionale delle vulnerabilità. Serve un approccio «assume breach»: assumere cioè di essere già compromessi e costruire capacità di detection e risposta automatizzata in tempo reale. «La prevenzione da sola non basta più; bisogna operare a velocità macchina».
In questo contesto, l’intelligenza artificiale sta accelerando la trasformazione del cybercrime. Il report rileva un aumento dell’89% degli attacchi AI-enabled e una crescita del 109% delle attività di social engineering supportate dall’AI. L’AI viene ormai utilizzata in tutte le fasi dell’attacco: phishing personalizzato, generazione di script, automazione delle attività di discovery, bypass delle difese, manipolazione di chatbot e perfino clonazione vocale. «I migliori attaccanti non scelgono più tra velocità e sofisticazione, hanno entrambe», sottolinea Livrieri. Uno dei fenomeni in maggiore crescita è il vishing, il voice phishing telefonico. Gli attaccanti impersonano supporti IT interni utilizzando numeri schermati, voci generate artificialmente e informazioni raccolte dai social network per convincere i dipendenti a resettare password o concedere accessi remoti. «Prima magari bombardano l’utente con centinaia di mail spam, poi chiamano dicendo: abbiamo visto il problema, la aiutiamo a risolverlo». Dall’altra parte, però, il ritorno del social engineering è anche la conseguenza diretta del miglioramento delle tecnologie difensive tradizionali. Se diventa più difficile compromettere l’infrastruttura tecnica, allora l’anello più vulnerabile torna a essere l’utente.
Accanto a tutto ciò, sta diventando sempre più rilevante la dimensione geopolitica, con differenze precise tra i gruppi di minaccia sponsorizzati dagli Stati nazionali. I gruppi cinesi puntano alla raccolta di intelligence economica e strategica di lungo periodo; i gruppi nordcoreani, invece, hanno finalità prevalentemente finanziarie. Si pensi a Pressure Chollima (legato al noto Lazarus Group) con il più grande furto di asset digitali per 1,46 miliardi di dollari tramite la compromissione della supply chain di un crypto wallet: «I gruppi nordcoreani operano spesso per sostenere economicamente il regime», osserva Livrieri.
Tra i segmenti del settore finanziario, quello crypto e fintech resta più esposto rispetto al banking tradizionale soprattutto per motivi di governance e maturità operativa. Molte realtà fintech sono nate infatti in contesti regolatori ancora in evoluzione, con modelli di identity management e controllo degli accessi meno strutturati rispetto alle grandi banche. Nonostante questo, l’Europa non appare particolarmente indietro rispetto agli Usa. Qui si concentra oltre metà delle intrusioni osservate nel primo trimestre 2026, soprattutto per la presenza di grandi asset finanziari globali, ma regolamentazioni come Dora e Nis2 stanno spingendo il settore europeo verso livelli più elevati di resilienza e gestione del rischio. Resta però il problema della velocità, poiché gli attaccanti operano come organizzazioni industriali, con divisione dei ruoli, supply chain criminali e specializzazioni sempre più verticali. (riproduzione riservata)