Report

Il rapporto dei servizi finanziari di Black Kite 2026 avverte di una crescente crisi di sicurezza informatica nel settore bancario e delle società di investimento

mm
Pubblicato il

Un nuovo rapporto di Black Kite suggerisce che il settore finanziario sta entrando in una fase più pericolosa di rischio informatico, in cui gli attacchi di ransomware tradizionali e le vulnerabilità di terze parti in rapida espansione si stanno convergendo in ciò che l’azienda descrive come una “tempesta duplice”. Nel suo rapporto appena rilasciato 2026 Financial Services Report: La tempesta duplice di ransomware e rischio dell’ecosistema dei fornitori, il team di ricerca di Black Kite ha scoperto che le istituzioni finanziarie stanno affrontando contemporaneamente una rinascita degli attacchi di ransomware diretti e diventando sempre più esposte attraverso i fornitori e i prestatori di servizi che supportano le loro operazioni.

Il rapporto si basa su informazioni di intelligence sui ransomware raccolte tra gennaio 2023 e il primo trimestre del 2026, insieme a un’analisi di oltre 17.000 fornitori monitorati da Black Kite, tra cui 140 aziende il cui mercato dei clienti è fortemente concentrato nei servizi finanziari. I risultati indicano un panorama di minacce che è evoluto oltre incidenti isolati e ora rappresenta una sfida sistemica per le banche, le società di investimento, i gestori di asset e altre istituzioni finanziarie.

Il ransomware ritorna dopo una breve pausa

Le istituzioni finanziarie hanno sperimentato un calo temporaneo nell’attività di ransomware nel 2024, in gran parte a causa delle operazioni di applicazione della legge internazionale che hanno preso di mira importanti gruppi di ransomware come LockBit e Clop. Tuttavia, la ricerca di Black Kite indica che il calo è stato di breve durata.

Gli incidenti di ransomware segnalati che hanno colpito le organizzazioni finanziarie sono aumentati da 156 nel 2024 a 202 nel 2025, con un aumento del 30%. L’accelerazione sembra continuare nel 2026. Durante il solo primo trimestre, i ricercatori hanno documentato 65 incidenti di ransomware, un numero che supera il stesso periodo del 2025 del 76%.

Invece di scomparire, gli operatori di ransomware si sono riorganizzati. Il numero di gruppi di minaccia distinti che hanno preso di mira il settore finanziario è aumentato da 37 nel 2023 a 45 nel 2024 e poi è salito di nuovo a 48 nel 2025. Nuovi leader sono emersi, con Qilin, Akira e Kill Security diventati tra i gruppi più attivi che hanno preso di mira le istituzioni finanziarie. Qilin da solo è stato responsabile di 59 incidenti nel settore finanziario nell’ultimo anno.

Le società di investimento sono diventate il bersaglio principale

Uno dei cambiamenti più notevoli documentati nel rapporto è il profilo in evoluzione delle vittime di ransomware.

Nel 2023, le banche erano il settore finanziario più colpito, con 71 incidenti segnalati. Le società di investimento hanno registrato 44 incidenti quell’anno. Nel 2025, la situazione si è capovolta. Le società di investimento sono diventate il segmento più colpito, con 84 incidenti, rappresentando il 41,6% di tutte le segnalazioni di ransomware nel settore finanziario. Gli incidenti bancari sono scesi a 36.

Secondo il rapporto, un fattore significativo dietro questo cambiamento è stata una campagna contro i gestori di asset sudcoreani durante settembre 2025. Quella singola campagna ha generato 32 segnalazioni e ha rappresentato più del 38% di tutti gli incidenti di ransomware registrati all’interno del segmento di gestione degli investimenti quell’anno.

La distribuzione geografica degli attacchi rivela anche come alcune campagne possano essere concentrate. Mentre gli Stati Uniti sono rimasti il paese più colpito durante l’intero periodo di studio, la Corea del Sud è emersa come un importante hotspot a seguito di una compromissione della catena di approvvigionamento su larga scala che ha colpito decine di organizzazioni finanziarie.

Il rischio dei fornitori sta aumentando più velocemente degli attacchi diretti

Mentre i titoli sui ransomware spesso si concentrano sugli attacchi contro singole istituzioni, Black Kite sostiene che gli ecosistemi dei fornitori rappresentano ora una fonte di rischio altrettanto importante.

Il rapporto evidenzia un incidente di settembre 2025 in cui la compromissione di un singolo fornitore di servizi gestiti in Corea del Sud si è propagata a 28 istituzioni finanziarie e ha portato al furto di oltre due terabyte di dati. I ricercatori descrivono l’evento come un esempio di come una singola violazione possa creare conseguenze sistemiche in tutto il settore.

Il profilo di vulnerabilità dei fornitori che servono le istituzioni finanziarie sembra deteriorarsi rapidamente. Tra i 140 fornitori analizzati in dettaglio, il numero di quelli con vulnerabilità critiche con punteggi CVSS di 9 o superiore è aumentato da 15 nel 2024 a 73 nel 2025, con un aumento di 4,9 volte. I fornitori con vulnerabilità di gravità alta con punteggi di 8 o superiore sono aumentati da 31 a 87 durante lo stesso periodo.

I ricercatori hanno anche scoperto che il 54% dei fornitori di servizi finanziari aveva almeno una vulnerabilità elencata nel catalogo di vulnerabilità note di CISA, il che significa che gli attaccanti stanno già sfruttando quelle debolezze in attacchi reali.

Le mancanze nella gestione delle patch rimangono diffuse

Molte delle debolezze identificate nel rapporto non sono vulnerabilità esotiche zero-day ma piuttosto problemi di sicurezza a lungo termine che le organizzazioni hanno lottato per affrontare.

Tra i 140 fornitori esaminati, 109 organizzazioni, ovvero il 78%, hanno mostrato almeno una critica mancanza nella gestione delle patch. I sistemi di autenticazione dell’e-mail mal configurati erano comuni, con 47 fornitori che operavano con record DMARC mal configurati e 37 fornitori che mostravano implementazioni DKIM mal configurate.

Il rapporto ha inoltre trovato prove di problemi di igiene della sicurezza più ampi negli ecosistemi dei fornitori. Quasi il 18% dei fornitori di servizi finanziari aveva credenziali perse esposte in fonti pubbliche, mentre più del 42% ha mostrato credenziali che appaiono nei log dei furteratori. I ricercatori hanno anche identificato indicatori di infrastrutture di phishing, comunicazioni IP maliziose e infezioni di botnet in porzioni significative della popolazione dei fornitori.

L’esplosione delle vulnerabilità è solo all’inizio

I risultati arrivano mentre le organizzazioni affrontano un volume in rapida espansione di nuove vulnerabilità del software scoperte.

Secondo il rapporto, oltre 48.000 Common Vulnerabilities and Exposures (CVE) sono state pubblicate a livello globale nel 2025, con un aumento del 18% rispetto all’anno precedente. I ricercatori di Black Kite hanno identificato 1.240 di quelle vulnerabilità come rischi ad alta priorità per le catene di approvvigionamento di terze parti, con un aumento del 59% rispetto al 2024.

Il rapporto sostiene che l’intelligenza artificiale è probabile che accelererà questa tendenza. Gli strumenti di scoperta di vulnerabilità assistiti dall’IA stanno aumentando la velocità con cui possono essere identificate le falle di sicurezza, mentre i sistemi di intelligenza artificiale stanno creando nuove superfici di attacco che le organizzazioni devono proteggere. Di conseguenza, le istituzioni finanziarie potrebbero presto affrontare un flusso più grande e più veloce di vulnerabilità sfruttabili di quanto i processi di gestione del rischio tradizionali siano stati progettati per gestire.

La sicurezza informatica finanziaria sta diventando un problema della catena di approvvigionamento

La conclusione centrale del rapporto dei servizi finanziari di Black Kite 2026 è che le istituzioni finanziarie non possono più considerare la sicurezza informatica solo attraverso la lente delle loro difese interne. L’analisi del rapporto mostra che l’attività di ransomware sta aumentando di nuovo allo stesso tempo in cui gli ecosistemi dei fornitori stanno diventando significativamente più vulnerabili. Le vulnerabilità critiche tra i fornitori di servizi finanziari sono aumentate, i tempi di sfruttamento continuano a ridursi e una singola violazione del fornitore può ora colpire contemporaneamente decine di istituzioni.

Come nota il rapporto, la resilienza dipende sempre più dalla capacità di un’organizzazione di identificare, priorizzare e rispondere continuamente ai rischi sia all’interno del proprio ambiente interno che nella catena di approvvigionamento estesa. Per un’industria costruita su software interconnessi, fornitori di servizi e infrastrutture esternalizzate, la gestione del rischio di terze parti non è più un esercizio di conformità. Secondo la ricerca di Black Kite, sta diventando un componente fondamentale della sicurezza del settore finanziario.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto rivoluzionario per la società quanto l'elettricità, e spesso si lascia trasportare dall'entusiasmo per il potenziale delle tecnologie innovative e dell'AGI.

Come futurista, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e riplasmando interi settori.