Dal 3 al 16 giugno 2025, per tredici giorni consecutivi, l’Italia ha subito una campagna di attacchi DDoS di una persistenza che ha lasciato sorpresi anche i veterani del settore. Il gruppo filorusso NoName057(16) ha colpito con precisione quasi teatrale obiettivi simbolici e infrastrutture critiche: aeroporti di Milano, ministeri romani, banche sistemiche. La scelta degli obiettivi non era pensata per causare il massimo danno tecnico diretto, ma per generare il massimo impatto mediatico e psicologico. È una differenza sottile ma fondamentale nel capire come funziona l’hacktivismo moderno.

Il dato che l’ACN ha registrato in quel solo mese di giugno è eloquente: 433 eventi cyber, un incremento del 115% rispetto al periodo precedente e il valore mensile più elevato mai registrato dal sistema di monitoraggio nazionale. Eppure, con un paradosso che vale la pena di capire, la maggior parte degli impatti è stata contenuta. Il merito va al CSIRT Italia, che ha giocato un ruolo decisivo nella mitigazione, ma anche a una struttura difensiva che negli ultimi anni ha iniziato a irrobustirsi, sia pur tardivamente.

Come funziona un DDoS moderno: non è quello che pensate

L’immagine popolare di un attacco DDoS è quella di qualcuno che preme un bottone e inonda un server di traffico finché non si stacca. La realtà del 2025 è considerevolmente più sofisticata. Le botnet utilizzate da NoName057(16) e dai gruppi a esso affiliati sono composte in larga parte da dispositivi IoT compromessi: router domestici mai aggiornati, telecamere di sorveglianza con password di default, smart TV infettate da malware. La botnet BadBox 2.0, identificata nel corso dell’anno, ha infettato oltre 10 milioni di dispositivi Android-based, incluse smart TV e cornici digitali, sfruttando vulnerabilità preesistenti nelle versioni del sistema operativo e app di terze parti non sicure.

Gli attacchi DDoS volumetrici moderni non si limitano a saturare la banda: sfruttano amplificatori come i server DNS mal configurati, i protocolli NTP e memcached per moltiplicare il volume del traffico inviato verso il bersaglio. Un attaccante che controlla 1 Gbps di traffico in uscita può generare, con le giuste tecniche di amplificazione, decine o centinaia di Gbps di traffico verso il target. Questo spiega perché anche infrastrutture con connessioni ridondanti possono trovarsi in difficoltà.

Il ruolo delle infrastrutture IoT nella guerra cibernetica

Ogni volta che comprate un router economico senza mai cambiare la password di default, o una telecamera di sorveglianza che non aggiornate mai, state involontariamente contribuendo all’arsenale di qualcuno. Non è un’accusa, è una constatazione: nel 2025, l’ACN ha pubblicato un bollettino che segnalava un aumento del numero di dispositivi IoT italiani accessibili dalla rete pubblica e insufficientemente protetti. Parliamo di telecamere, controllori industriali, router e sistemi di supervisione industriale esposti a chiunque voglia cercarli.

Gli attacchi DDoS della campagna di giugno 2025 hanno avuto impatto contenuto anche grazie a un miglioramento reale delle difese italiane negli ultimi anni. La crescita del 77% degli attacchi DDoS nel primo semestre 2025 rispetto allo stesso periodo del 2024, passando da 336 a 598 eventi, non si è tradotta in un corrispondente aumento dei danni, il che suggerisce che le contromisure stanno funzionando. Ma funzionano per le infrastrutture critiche più grandi e monitorate. Per le migliaia di PMI e pubbliche amministrazioni locali che non hanno un SOC dedicato, la situazione è molto più fragile.