Nel corso dell’ultimo anno, oltre un milione di conti bancari online sono stati compromessi da malware di tipo “infostealer”, in un contesto in cui le minacce informatiche nel settore finanziario si sono progressivamente orientate verso il furto di credenziali e il riutilizzo dei dati. Gli autori degli attacchi stanno infatti abbandonando i tradizionali malware bancari per PC, affidandosi sempre più al social engineering e ai mercati del dark web, mentre il malware finanziario per dispositivi mobili continua a diffondersi. Informazioni dettagliate sulle attuali tendenze delle minacce informatiche nel settore finanziario sono disponibili nel nuovo report Kaspersky.
Phishing finanziario
Il phishing finanziario tradizionale non è scomparso. Nel 2025, le pagine che imitano i negozi online hanno dominato il panorama (48,5%, con un aumento del 10,3% rispetto al 2024), seguite dalle banche (26,1%, in calo del 16,5%) e dai sistemi di pagamento (25,5%, in crescita del 6,2%). Il calo del phishing bancario potrebbe indicare che questi servizi stanno diventando più difficili da imitare con successo, spingendo i truffatori verso modalità più semplici per accedere alle finanze degli utenti.
Gli attaccanti stanno inoltre adattando le proprie campagne alle abitudini digitali regionali. In Medio Oriente, il phishing finanziario è fortemente concentrato sull’e-commerce (85,8%), segno di una forte dipendenza da esche legate alla vendita online. In Africa, invece, prevale il phishing bancario (53,75%), suggerendo possibili lacune nella sicurezza degli account. L’America Latina presenta una distribuzione più equilibrata, con una maggiore incidenza sia dell’e-commerce (46,3%) sia degli attacchi alle banche (42,25%). In Asia-Pacifico e in Europa, invece, si osserva una distribuzione più uniforme tra tutte e tre le categorie, indice di strategie di attacco diversificate.
Distribuzione dei casi rilevati di pagine di phishing finanziario per categoria (banche/negozi online/sistemi di pagamento), a livello globale e per regione, 2025
Malware finanziario
Nel 2025 è proseguito il calo degli utenti colpiti da malware finanziari per PC, anche perché sempre più persone utilizzano dispositivi mobili per gestire le proprie finanze. Parallelamente, però, gli attacchi alle app bancarie mobili sono aumentati significativamente: nel 2025 si è registrato un incremento di 1,5 volte rispetto all’anno precedente.
Andamento
del numero di utenti vittime di malware bancario tradizionale per PC, al mese,
2023–2025
Minacce finanziarie e dark web
Accanto al malware finanziario tradizionale, gli infostealer hanno avuto un ruolo sempre più rilevante nel favorire la criminalità finanziaria, sia su PC sia su dispositivi mobili. Questi malware raccolgono credenziali di accesso, cookie, numeri di carte bancarie, frasi seed dei portafogli crittografici e dati di compilazione automatica da browser e applicazioni. Tali informazioni vengono poi utilizzate dagli aggressori per l’appropriazione indebita di account o per frodi bancarie dirette. I dati Kaspersky evidenziano un forte aumento dei rilevamenti di infostealer: sui PC, a livello globale, si è registrata una crescita del 59% tra il 2024 e il 2025 (in Europa la crescita è stata del 48%), alimentando così gli attacchi basati sulle credenziali.
Secondo Kaspersky Digital Footprint Intelligence (DFI), nel 2025 oltre un milione di conti bancari online, appartenenti alle 100 banche mondiali più grandi, sono stati compromessi tramite infostealer, con credenziali condivise liberamente sul dark web. I Paesi con il numero mediano più elevato di conti compromessi per banca sono India, Spagna e Brasile.
Inoltre, il 74% delle carte di pagamento compromesse da infostealer e pubblicate sul dark web, identificate dal team DFI nel 2025, risultava ancora valido a marzo 2026. Ciò significa che gli attaccanti possono continuare a utilizzare carte rubate anche mesi o anni dopo il furto.
Il numero mediano di conti compromessi per banca nei primi 10 paesi
“Il dark web è diventato un punto nevralgico per la criminalità informatica in ambito finanziario. Le credenziali rubate e le carte bancarie raccolte dagli infostealer vengono aggregate, riorganizzate e vendute su queste piattaforme, mentre i kit di phishing vengono offerti come servizi pronti all’uso. Si crea così un ecosistema autosufficiente, in cui il furto di dati e le frodi si alimentano a vicenda, rendendo gli attacchi scalabili e accessibili anche a truffatori poco esperti. Per interrompere questo ciclo sono necessarie informazioni proattive sulle minacce da parte delle aziende, oltre a maggiore consapevolezza e attenzione da parte degli utenti”, ha commentato Polina Tretyak, Kaspersky Digital Footprint Intelligence Analyst.
Per maggiori informazioni è possibile consultare il report completo su Securelist.
Per proteggersi Kaspersky raccomanda quanto segue.
Per gli utenti:
● Utilizzare l’autenticazione a più fattori quando possibile, creare password complesse e uniche e conservarle in modo sicuro tramite un Password Manager.
● Non cliccare su link contenuti in messaggi sospetti e verificare attentamente le pagine web prima di inserire credenziali o dati della carta di credito.
● Per proteggersi da store online falsi e pagine di phishing, è consigliabile utilizzare una soluzione di sicurezza affidabile. Kaspersky Premium, ad esempio, protegge dagli store fraudolenti e dai siti di phishing grazie a tecnologie di rilevamento avanzate che analizzano URL e caratteristiche dei siti web per individuare comportamenti sospetti.
Per le aziende:
● Valutare l’intera infrastruttura, correggere le vulnerabilità e affidarsi anche a specialisti esterni per individuare eventuali rischi nascosti.
● Implementare piattaforme integrate per monitorare e controllare tutti i vettori di attacco, garantendo un rilevamento rapido e una risposta tempestiva. Le soluzioni Kaspersky Next offrono protezione in tempo reale, visibilità sulle minacce, funzionalità di analisi avanzata e capacità EDR/XDR scalabili.
● Monitorare costantemente le risorse del dark web per ampliare la copertura delle fonti di minaccia e seguire le attività degli attaccanti. Questo tipo di monitoraggio è incluso nel servizio Digital Footprint Intelligence di Kaspersky.
