Negli ultimi due anni, i ricercatori di NordPass hanno monitorato quasi 10.000 violazioni di database su larga scala e più di 7,8 miliardi di indirizzi email compromessi. Per condurre questo studio, il team guidato da Mantas Sabeckis – ricercatore di Nord Security specializzato in threat intelligence – ha sfruttato la piattaforma di analisi delle minacce informatiche NordStellar.
Contenuti:
Il set di dati del 2025 segna un punto di svolta: le divulgazioni pubbliche delle violazioni di database sono diminuite del 36,9%, passando da 4.804 incidenti nel 2024 a 3.031 nel 2025. Nonostante il calo, solo nel 2025 i criminali informatici hanno comunque compromesso più di mezzo miliardo di indirizzi email: ciò dimostra che il numero assoluto di violazioni, da solo, non riflette la reale portata della minaccia. Più che sulla quantità, oggi gli attacchi si basano sulla furtività e sulla qualità: un numero minore di incidenti ora coinvolge set di dati molto più ampi e una quota crescente di informazioni rubate circola attraverso canali privati o log di programmi infostealer ("rubadati"), anziché su forum pubblici.
Punti chiave
Gli Stati Uniti (187 fughe di dati), l'India (121) e la Russia (78) hanno registrato il maggior numero di incidenti specifici su base nazionale, anche se il 60% delle violazioni erano su scala globale o prive di attribuzione geografica.
I settori della tecnologia, dell'istruzione e dell'e-commerce hanno registrato i maggiori volumi di fughe di dati, con le aziende private che rappresentavano il 53% delle violazioni classificate, rispetto al 10% che interessava enti governativi.
Le compromissioni di database sono diminuite del 36,9% nel 2025 (passando da 4.804 a 3.031), ma l'impatto delle violazioni è rimasto significativo., con oltre mezzo miliardo di indirizzi email trapelati.
Nove fughe di dati su dieci hanno coinvolto indirizzi email (2.724 su 3.031) e il 68% degli incidenti (2.069 su 3.031) ha riguardato numeri di telefono, il che sottolinea come i dati di contatto siano le informazioni sistematicamente più a rischio.
In quasi un terzo delle fughe di dati (972 su 3.033) sono trapelate delle credenziali, mentre nel 12,3% dei casi (374 su 3.031) sono stati compromessi dati identificativi di documenti nazionali, come codici fiscali o numeri di patenti di guida. I dati finanziari sono risultati coinvolti nel 2,2% dei casi (66 su 3.031).
Le segnalazioni sui siti di fughe di dati legate a ransomware sono aumentate del 45% nel 2025, arrivando a 9.251 casi, il che sottolinea la crescente diffusione delle violazioni di dati basate sull'estorsione.
Un piccolo numero di grandi violazioni ha compromesso decine di milioni di dati per singolo evento, concentrando il rischio complessivo in incidenti ad alto impatto.
La tendenza attuale: meno violazioni, più dati coinvolti
Passaggio a infostealer e mercati chiusi. La diminuzione delle violazioni di database riportate pubblicamente riflette, con tutta probabilità, un cambiamento nei metodi di attacco: i malware specializzati nel furto di dati (infostealer) consentono infatti ai criminali informatici di acquisire credenziali valide direttamente dai sistemi degli utenti e di accedere ai servizi senza dover estrarre set di dati centralizzati.
Con il progressivo perfezionamento dei metodi usati dagli hacker, i dati degli infostealer sono diventati una delle risorse più ricercate nei mercati clandestini. Come spiega Mantas Sabeckis:
CITAZIONE: "I dati sottratti tramite infostealer rimarranno una delle risorse più interessanti per i criminali informatici. Questa crescente popolarità è dovuta alla loro semplicità, al prezzo basso e al fatto che non richiedono particolari competenze tecniche. Mentre i database hanno un ruolo preciso nelle attività criminali, in confronto i dati rubati dagli infostealer sono molto più efficaci. Gli hacker non devono ricorrere ad attacchi di credential stuffing, basati su enormi quantità di credenziali rubate, perché conoscono già i loro obiettivi. Possono quindi contare su un collegamento diretto agli account compromessi: ciò rende i loro attacchi più veloci, precisi ed efficaci."
Sottrazione di dati tramite ransomware. I gruppi specializzati in estorsioni spesso rubano i dati per usarli come arma di ricatto e, se le vittime si rifiutano di pagare, li vendono privatamente. Questi incidenti potrebbero non apparire mai sui siti pubblici che riportano le fughe di dati.
INTERPOLAZIONE STATISTICHE/DATI: Questa tendenza trova conferma nella ricerca sui ransomware nel biennio 2024-2025 di NordStellar, dalla quale è emerso che le segnalazioni sui siti di leak sono aumentate del 45% nel 2025 rispetto all'anno precedente (9.251 casi contro 6.395 nel 2024). L'accelerazione è stata particolarmente evidente nell'ultimo trimestre, con 2.910 incidenti (+38% su base annua) che solo a dicembre hanno coinvolto 1.000 società quotate in borsa: è stato il totale mensile più alto osservato in due anni. Oltre al volume in sé, i dati rivelano una chiara strategia di selezione delle vittime: il 64% dei casi segnalati ha coinvolto realtà con sede negli Stati Uniti, mentre il settore manifatturiero è risultato il più colpito, con ben 1.156 incidenti (pari al 19,3% delle aziende colpite a livello globale). Le piccole imprese, e in particolare quelle con meno di 200 dipendenti e fatturato inferiore a 25 milioni di dollari, sono state colpite in maniera sproporzionata: ciò dimostra che i criminali informatici prediligono gli ambienti altamente vulnerabili che dispongono di misure di sicurezza relativamente limitate.
Misure coercitive imposte dalla legge. Diversi importanti forum e marketplace specializzati in dati rubati sono stati chiusi nel 2025, disperdendo così le attività di compravendita in canali privati più piccoli. Ciò ha reso le fughe di dati più difficili da rilevare, senza tuttavia ridurre la vulnerabilità delle vittime.
Cambiamenti geopolitici. L'hacktivismo (attacchi informatici a scopo politico o sociale) basato sui dati è aumentato nel 2024 a causa di conflitti globali. Con il mutare degli equilibri politici nel 2025, alcune aree geografiche hanno registrato una diminuzione delle fughe pubbliche di dati, mentre le attività di spionaggio mirato sono proseguite in modo silenzioso.
Meno violazioni non significa meno rischi. Nel 2025 la stragrande maggioranza degli incidenti ha riguardato informazioni che possono essere usate rapidamente in modo illecito, tra cui indirizzi email (90%), numeri di telefono (68%), credenziali come password o chiavi API (32%) e documenti nazionali (12,3%). Le informazioni di carattere finanziario, come dati bancari o legati alle criptovalute, sono risultate coinvolte solo nel 2,2% dei casi.
Pattern geografici
NordStellar ha identificato, nel 2025, 1.203 fughe di dati su base nazionale in 102 Paesi. A dominare la classifica sono gli Stati Uniti (187 incidenti), l'India (121) e la Russia (78), il che ne rispecchia la popolosità e le economie digitali altamente sviluppate. Seguono a distanza Indonesia, Francia, Brasile, Italia, Germania, Argentina e Messico.
Rispetto al 2024, nel 2025 negli Stati Uniti sono stati violati più database, mentre la Russia e diversi Paesi europei hanno registrato un calo significativo degli attacchi. Questo andamento evidenzia che il numero delle fughe di dati è direttamente influenzato dalle pratiche di divulgazione e dai bersagli selezionati dagli hacker. La maggior parte degli incidenti era su scala globale o priva di attribuzione geografica, a dimostrazione della natura transnazionale delle violazioni di dati.
Analisi dei settori industriali
Dal set di dati di NordStellar emerge che le realtà che si occupano di tecnologia, istruzione ed e-commerce hanno subito il maggior numero di violazioni. Questi settori si affidano a servizi basati su internet e raccolgono quantità enormi di dati sui loro clienti: ecco perché sono obiettivi altamente redditizi.
Anche se il numero di violazioni è diminuito nella maggior parte dei settori, spesso le dimensioni delle fughe di dati sono aumentate; ad esempio, in molti casi gli attacchi ai danni di aziende tecnologiche e di e-commerce hanno compromesso centinaia di migliaia di indirizzi email in ogni singolo incidente. Le violazioni in ambito finanziario, benché meno numerose, in genere hanno coinvolto set di dati più ampi, intensificandone così gli impatti negativi.
Settore pubblico e privato a confronto
Delle 3.031 fughe di dati analizzate per il 2025, il 53% è stato ricondotto a società private e il 10% a enti governativi, mentre per il restante 37% non è stata possibile l'attribuzione a causa dell'insufficienza di metadati. Le violazioni ai danni del settore privato non solo si sono verificate più spesso, ma hanno anche compromesso set di dati più grandi: mediamente, nel settore privato, una fuga di dati ha coinvolto circa 126.000 indirizzi email, contro una media di circa 79.000 per gli enti governativi. Questa disparità è la diretta conseguenza di due fattori: da una parte la maggiore superficie di attacco delle imprese private e, dall'altra, il potenziale di monetizzazione più elevato dei dati commerciali. Le violazioni ai danni degli enti governativi hanno comunque un impatto elevato anche quando coinvolgono un minor numero di dati, poiché le informazioni sensibili su individui e sicurezza nazionale possono essere sfruttate per finalità politiche o di spionaggio.
Le 5 fughe di dati più significative del 2025
Nel 2025 sono avvenute migliaia di violazioni, ma la maggior parte del rischio è stata generata da pochi incidenti di alto profilo. La tabella qui sotto riassume le cinque più gravi fughe di dati monitorate da NordStellar e fornisce prove contenute in rapporti indipendenti:
| Organizzazione e data | Prove della violazione | Dati esposti |
|---|---|---|
| Under Armour (novembre 2025) | Malwarebytes ha segnalato che il gruppo criminale del ransomware Everest ha pubblicato un dataset da 191 GB contenente 191,6 milioni di dati e 72,7 milioni di indirizzi email univoci. La rivista Infosecurity Magazine ha confermato che il sito Have I Been Pwned (HIBP) ha aggiunto 72 milioni di indirizzi email al suo database. | Date di nascita, genere, nomi, indirizzi email, dati di geolocalizzazione, cronologie di acquisto. |
| Prosper Marketplace (settembre 2025) | Il sito SecurityWeek, citando HIBP, ha segnalato che una query non autorizzata dei database di Prosper ha esposto 17,6 milioni di account con associati nomi, indirizzi fisici, indirizzi IP, date di nascita, documenti di identità, situazioni lavorative e livelli di reddito. | Date di nascita, informazioni sull'occupazione, dati sul reddito, nomi, situazioni creditizie, indirizzi email, documenti d'identità, indirizzi IP, indirizzi fisici, dati degli user agent dei browser. |
| Vietnam Airlines (giugno 2025) | Un'analisi dell'azienda Outpost24 ha rivelato che i criminali informatici hanno pubblicato un dataset da 64 GB contenente oltre 7,3 milioni di indirizzi email univoci. Il sito HIBP ha riportato che Vietnam Airlines è stata vittima di una violazione che ha interessato 7,3 milioni di account. | Indirizzi fisici, indirizzi email, numeri di telefono, date di nascita, genere, nomi, nazionalità, nomi utente. |
| Programma Pass'Sport (dicembre 2025) | I dati di HIBP rivelano che la violazione subita dal programma governativo francese Pass'Sport ha coinvolto 6,5 milioni di indirizzi email univoci, per un totale di circa 3,5 milioni di famiglie. L'avviso di violazione emesso dalla piattaforma HookPhish conferma gli stessi numeri e segnala che i dati includevano nomi, genere, numeri di telefono e indirizzi fisici. | Indirizzi email, nomi, genere, numeri di telefono, indirizzi fisici. |
| Bouygues Telecom (agosto 2025) | L'azienda di telecomunicazioni Bouygues ha annunciato che gli hacker sono riusciti ad accedere alle informazioni personali di 6,4 milioni di clienti. Il sito HIBP segnala che sono stati compromessi 5,7 milioni di indirizzi email univoci. | Indirizzi fisici, date di nascita, indirizzi email, nomi, numeri di telefono. |
Questi incidenti dimostrano quanto siano eterogenee le vittime – dai produttori di abbigliamento sportivo alle società fintech, dalle compagnie aeree ai programmi governativi – ed evidenziano come le attuali fughe di dati spesso facciano trapelare molto più dei semplici indirizzi email.
Uno sguardo al futuro: cosa aspettarci nel 2026
I rischi legati alle fughe di dati si evolveranno, anziché scomparire. Ci aspettiamo che i criminali continuino a sfruttare malware infostelear, phishing ed estorsioni tramite ransomware per ottenere credenziali in modo illecito e trarne profitto.
Questa evoluzione probabilmente accelererà man mano che le organizzazioni criminali acquisiranno esperienza e i nuovi strumenti diventeranno sempre più diffusi e di facile accesso. Come afferma Karolis Arbačiauskas, Head of Product di NordPass, la traiettoria è piuttosto chiara:
CITAZIONE: "I rischi di fughe di dati continueranno a evolversi di pari passo con la crescita delle organizzazioni criminali. La crescente popolarità degli LLM non farà altro che accelerare il processo, proprio come avviene in altri ambiti: gli hacker sfrutteranno gli strumenti di intelligenza artificiale per creare email di phishing più realistiche, sviluppare malware, usare software agentici o individuare più velocemente i punti deboli.
Sia le aziende che gli utenti privati devono mantenere alta la guardia e perfezionare le loro pratiche di sicurezza. L'adozione di politiche rigorose di gestione delle password e l'aggiornamento regolare dei software devono rimanere i capisaldi contro queste minacce."
Come proteggerti
I risultati della ricerca dimostrano che le violazioni prendono di mira soprattutto i settori ad alta digitalizzazione, le grandi imprese private e le aree geografiche con ecosistemi online molto sviluppati. Sia le aziende che i privati devono prendere provvedimenti per ridurre gli impatti di queste minacce.
Per le imprese:
Ridurre al minimo il volume di dati personali memorizzati e segmentare i sistemi critici per circoscrivere le violazioni.
Rafforzare la protezione delle credenziali con l'autenticazione basata su dispositivi fisici e proteggere gli endpoint dai malware che sottraggono informazioni.
Monitorare le credenziali trapelate e intervenire rapidamente per arginare gli incidenti prima che si diffondano.
Per gli utenti privati:
Adottare un password manager, utilizzare password univoche e abilitare l'autenticazione a più fattori per evitare che le credenziali rubate vengano riutilizzate per accedere ad altri account.
In seguito a violazioni su larga scala, mantenere alta la guardia contro attacchi di phishing e truffe mirate.
Se si notano attività sospette, reimpostare immediatamente le credenziali e verificare gli account collegati.
Conclusioni
Il calo delle violazioni di database segnalate pubblicamente nel 2025 non significa che internet è diventato più sicuro, quanto piuttosto che le tattiche sono cambiate. I criminali sottraggono sempre più credenziali attraverso infostealer, campagne di estorsione e scambi di dati su canali privati, utilizzando metodi più sofisticati per raggiungere i loro obiettivi.
Nel 2026 la sfida cruciale sarà la gestione dell'identità su larga scala: le aziende che riusciranno a ridurre la concentrazione dei dati, rafforzare i controlli di accesso e ridurre i tempi di rilevamento e risposta avranno un vantaggio strategico per limitare gli impatti negativi in caso di incidenti di sicurezza. La capacità di contenere le violazioni, e non solo di prevenirle, diventerà sempre più cruciale per garantire la resilienza.
Metodologia
Il nostro set di dati include tutti i database violati di dominio pubblico rilevati da NordStellar tra il 2023 e il 2025. Ogni voce è stata elaborata attraverso una procedura di classificazione assistita dall'intelligenza artificiale (nexos.ai), che ha analizzato i metadati delle violazioni disponibili, tra cui domini di origine, domini di primo livello, descrizioni, organizzazioni di riferimento e contenuti dei set di dati, allo scopo di determinare il settore, l'attribuzione geografica e il tipo di realtà (pubblica o privata).
Le fughe di dati sono state classificate come "specifiche per Paese" quando i metadati disponibili indicavano una chiara associazione a livello geografico. In caso contrario, sono state contrassegnate come globali o sconosciute.
Dalle 3.031 violazioni registrate nel 2025, NordStellar ha estratto i totali di email segnalate e registrato la presenza di ulteriori tipi di dati, tra cui numeri di telefono, credenziali (password in chiaro o con hash, chiavi API), identificativi di documenti nazionali e dati finanziari. I conteggi totali delle email riflettono i dati aggregati sugli account e possono includere tipi di account misti (es. di clienti, dipendenti, personale amministrativo o utenti), dal momento che non era possibile differenziarli in modo preciso.