Nel 2025 parlare di cybersecurity non significa più parlare solo di attacchi informatici.
Significa parlare di oltre 3,4 miliardi di dollari rubati solo nel settore crypto, di aziende che fermano la produzione, di milioni di cittadini esposti, di flussi finanziari che attraversano confini e sanzioni, di conflitti che si combattono anche attraverso il codice.
Gli incidenti che hanno segnato l'ultimo anno mostrano con chiarezza quanto il dominio cyber sia ormai intrecciato con l'economia, la geopolitica, i servizi essenziali e la vita quotidiana delle persone.
Per ripercorrere gli eventi più significativi del 2025 e restituire una visione d'insieme di questo scenario, la Fondazione F3RM1 ha scelto di leggerli attraverso categorie tematiche, ciascuna rappresentativa di un diverso modo in cui il rischio cyber si manifesta oggi.
Ne emerge un quadro chiaro: non siamo di fronte a un problema settoriale o temporaneo, ma a una realtà che ci circonda, attraversando ambiti sempre più diversi e interconnessi.
Impatto economico e continuità operativa
Quando un incidente cyber si traduce in perdita di valore
Marks & Spencer
Nel corso del 2025 Marks & Spencer ha affrontato un grave incidente cyber che ha avuto effetti immediati sulla propria operatività. L'attacco, veicolato attraverso tecniche di social engineering sofisticate, ha portato all'indisponibilità prolungata di sistemi critici, con conseguenze dirette su logistica, vendite e processi interni.
L'impatto economico stimato, nell'ordine di 300-400 milioni di sterline, racconta bene come oggi un evento cyber possa trasformarsi rapidamente in un problema di continuità operativa e di valore d'impresa.
Non è stato necessario un data breach di massa per generare il danno: è bastata l'interruzione dei processi digitali su cui il business si regge quotidianamente.
Cybercrime come strumento geopolitico
Furti digitali e finanziamento statale
Bybit
Il furto subito dall'exchange Bybit nel 2025, stimato in circa 1,5 miliardi di dollari, è il più grande mai registrato nella storia delle criptovalute.
La sua rilevanza, però, non risiede solo nella dimensione economica.
L'attribuzione dell'attacco al gruppo Lazarus, legato alla Corea del Nord, ha evidenziato come le operazioni di cybercrime possano diventare uno strumento strategico, utilizzato per finanziare programmi nucleari statali e aggirare le restrizioni economiche internazionali.
In questo contesto il confine tra criminalità informatica e azione geopolitica diventa sempre più sottile.
Data breach su larga scala e rischio sistemico
Quando l'ecosistema terze parti diventa il punto debole
Qantas
Nel giugno 2025 Qantas ha subito una compromissione che ha esposto i dati personali di 5,7 milioni di clienti — quasi un quarto della popolazione adulta australiana — attraverso l'attacco a una piattaforma di terze parti utilizzata dal proprio contact center.
I dati, inizialmente trattenuti dal gruppo Scattered LAPSUS$ Hunters in cambio di un riscatto, sono stati successivamente rilasciati sul dark web in ottobre, dopo il rifiuto dell'azienda di cedere alle richieste. Tra le informazioni compromesse figurano anche gli indirizzi di casa di membri del parlamento australiano, sollevando preoccupazioni non solo sulla privacy dei cittadini, ma anche sulla sicurezza nazionale.
L'episodio mostra come i data breach di massa siano ormai una conseguenza diretta della complessità degli ecosistemi digitali: anche organizzazioni strutturate possono trovarsi esposte attraverso punti di contatto indiretti, spesso meno visibili ma altrettanto critici. E dimostra che nemmeno un'ingiunzione della Corte Suprema può fermare la pubblicazione dei dati una volta che questi sono in mano ai criminali.
Supply chain attack negli ecosistemi SaaS
La compromissione delle integrazioni cloud
Salesforce ecosystem (Salesloft / Drift)
Nel 2025 diversi attori malevoli hanno sfruttato token OAuth sottratti a piattaforme di terze parti integrate con Salesforce, ottenendo accesso non autorizzato ai dati CRM di centinaia di organizzazioni, tra cui Google, Cisco, Chanel, Pandora e la stessa Qantas, che ha visto 5,7 milioni di clienti compromessi attraverso questa catena di attacco.
L'attacco non ha preso di mira la piattaforma principale, ma il modello di integrazione tipico degli ecosistemi SaaS, basato su fiducia, autorizzazioni estese e API.
Questo episodio evidenzia uno dei punti più delicati del cloud moderno: la sicurezza non dipende solo dalla piattaforma utilizzata, ma dall'intero ecosistema di applicazioni e servizi connessi.
Attacchi cyber distruttivi e guerra ibrida
Il dominio cyber come strumento di conflitto
Attacchi wiper contro infrastrutture critiche ucraine (gruppo Sandworm)
Nel contesto del conflitto in Ucraina — dove gli attacchi cyber sono aumentati del 70% rispetto all'anno precedente — il 2025 ha visto l'impiego massiccio di malware distruttivi progettati per cancellare dati e rendere inutilizzabili i sistemi colpiti.
In questi casi l'obiettivo non è il furto di informazioni né il profitto economico, ma l'interruzione dei servizi e il danneggiamento permanente delle infrastrutture digitali.
Questi attacchi mostrano come il cyber sia ormai parte integrante dei conflitti moderni, utilizzato per generare instabilità e pressione sistemica con effetti concreti sul funzionamento della società e delle infrastrutture civili.
Conclusioni
Gli incidenti analizzati mostrano con chiarezza come nel 2025 la sicurezza informatica non sia più un tema confinato ai reparti IT o agli specialisti del settore. Il cyber attraversa l'economia, la geopolitica, i servizi essenziali, il cloud e persino i conflitti internazionali, manifestandosi in forme diverse ma sempre più interconnesse.
Dalle interruzioni operative con impatti economici rilevanti, ai furti digitali utilizzati come leva geopolitica, dai data breach che coinvolgono milioni di cittadini agli attacchi distruttivi in contesti di guerra ibrida, emerge un elemento comune: la dipendenza strutturale dal digitale rende ogni organizzazione parte di un ecosistema esposto.
Questi casi non rappresentano anomalie, ma segnali di un cambiamento ormai consolidato. La cybersecurity è diventata una componente fondamentale della resilienza economica, sociale e istituzionale.
Come Fondazione F3RM1, non ci limitiamo a osservare: lavoriamo per tradurre questa consapevolezza in resilienza concreta. Capire cosa è successo nel 2025 non è un esercizio retrospettivo, ma il primo passo per costruire le difese del 2026.
Il futuro digitale continuerà a porre sfide. La domanda non è se, ma quanto saremo pronti.