Il ransomware in Italia non rallenta. Il Rapporto Clusit 2026, pubblicato ad aprile, conta 507 incidenti gravi censiti nel Paese nel corso del 2025, con una crescita del 42% rispetto all’anno precedente. A confermare la pressione arriva la seconda edizione del Cyber Security Report di TIM e Format Research, diffusa il 9 giugno 2026, che registra 166 casi ransomware sul territorio nazionale, in aumento del 14%. L’Italia pesa ormai per il 9,6% di tutti gli attacchi informatici gravi rilevati a livello globale, una quota sproporzionata rispetto al peso economico e demografico del Paese.
Questi numeri raccontano una trasformazione strutturale del rischio cyber italiano. Le aziende del Nord-Ovest, la pubblica amministrazione e il manifatturiero sono diventati bersagli sistematici, mentre la direttiva NIS2 entra nel vivo con sanzioni che possono arrivare a 10 milioni di euro. Questa analisi raccoglie i dati verificati delle principali fonti del 2025-2026, confronta l’Italia con il resto d’Europa e prova a leggere dove andrà la minaccia nei prossimi diciotto mesi.
Ransomware in Italia: i numeri del 2025 che allarmano l’Europa
Il 2025 si chiude come l’anno peggiore mai registrato per la sicurezza informatica italiana. Secondo il Rapporto Clusit 2026, gli incidenti gravi a livello mondiale hanno toccato quota 5.265, con un balzo del 48,7% rispetto al 2024. L’Italia, da sola, ha assorbito il 9,6% di questo totale, una concentrazione che colloca il Paese tra i più bersagliati al mondo in rapporto alle dimensioni della sua economia digitale.
La media mensile degli attacchi gravi diretti contro organizzazioni italiane è passata da 171 nel 2021 a 439 nel 2025. In cinque anni la frequenza è cresciuta del 256%. Non si tratta più di episodi sporadici ma di un flusso continuo che colpisce ogni settimana decine di realtà pubbliche e private. Il ransomware in Italia rappresenta la punta più visibile e costosa di questo fenomeno, perché blocca la produzione, sottrae dati sensibili e impone trattative con criminali che operano spesso da Paesi fuori dalla portata della magistratura europea.
La fotografia del primo semestre 2025 aiuta a capire la dinamica. Clusit ha censito 2.755 incidenti gravi nel mondo nei primi sei mesi dell’anno, con un incremento del 36% sul semestre precedente. La quota italiana è salita al 10,2%, segnale che la pressione sul Paese cresce più velocemente della media globale. Gli attacchi informatici contro target italiani non solo aumentano in numero assoluto, ma guadagnano peso relativo nello scenario internazionale.
Il Rapporto Clusit 2026: 507 incidenti gravi e una crescita del 42%
Clusit, l’Associazione Italiana per la Sicurezza Informatica, pubblica da anni il documento di riferimento per chi vuole capire l’andamento della minaccia nel Paese. L’edizione 2026, presentata in occasione del Security Summit, fissa a 507 il numero di incidenti gravi registrati in Italia nel 2025. Il dato segna un aumento del 42% rispetto al 2024 e rappresenta il 35% di tutti gli incidenti gravi rilevati contro organizzazioni italiane nel quinquennio 2021-2025, pari a 1.432 casi complessivi.
La crescita non è uniforme tra i settori. Il manifatturiero, cuore dell’economia italiana, risulta tra i comparti più colpiti e segna a livello globale un aumento del 79% degli attacchi. Il settore ICT cresce del 46%, quello finanziario e assicurativo del 27%, mentre i servizi professionali, scientifici e tecnici registrano un balzo del 91%. La sanità, già fragile per la diffusione di dispositivi medici connessi e cartelle cliniche elettroniche, vede gli attacchi aumentare del 19% su scala mondiale.
Va letta con attenzione la composizione delle minacce. Nel primo semestre 2025, malware e ransomware hanno rappresentato il 20% degli incidenti italiani, in calo relativo rispetto agli anni precedenti. Questo non significa che la minaccia ransomware si stia riducendo, ma che altre tipologie, in particolare gli attacchi DDoS legati all’hacktivism, stanno crescendo ancora più rapidamente, gonfiando il denominatore e diluendo in percentuale il peso del ransomware.
Il report TIM-Format Research: 166 casi e il Nord-Ovest nel mirino
La seconda edizione del Cyber Security Report firmato TIM e Format Research, uscita il 9 giugno 2026, aggiunge un livello di dettaglio territoriale che il quadro Clusit lascia in secondo piano. Il report conta 166 casi ransomware in Italia nel 2025, con una crescita del 14% sull’anno precedente. A livello globale, lo stesso documento misura un aumento del 42% degli attacchi ransomware, segno che la pressione internazionale corre più veloce di quella domestica ma che l’Italia resta saldamente nel mirino.
La distribuzione geografica è il dato più rivelatore. Circa quattro incidenti su dieci si concentrano nel Nord-Ovest, l’area a maggiore densità industriale del Paese. La sola Lombardia assorbe oltre il 30% del totale nazionale. La geografia del ransomware ricalca la geografia della ricchezza produttiva: dove ci sono fabbriche, fornitori e proprietà intellettuale di valore, lì si concentrano gli attacchi informatici a scopo estorsivo.
NIS2: solo il 3,9% delle aziende la conosce davvero
Il report TIM-Format Research dedica una sezione alla consapevolezza della direttiva NIS2. I risultati sono preoccupanti. Interrogate spontaneamente, il 62,2% delle imprese dichiara di conoscere la normativa, ma scavando si scopre che solo il 24,5% afferma una conoscenza almeno parziale e appena il 3,9% sostiene di avere una conoscenza dettagliata degli obblighi. Il 13,3% non sa nemmeno dire con certezza se conosce o meno la direttiva. Questo divario tra percezione e competenza reale è una delle vulnerabilità più gravi del tessuto produttivo italiano.
ACN: 1.253 eventi nel secondo semestre, +30% in un anno
L’Agenzia per la Cybersicurezza Nazionale offre la prospettiva istituzionale. Secondo i dati ACN, nel secondo semestre del 2025 sono stati contati 1.253 eventi cyber, in crescita del 30% rispetto allo stesso periodo del 2024. L’Agenzia, guidata dal prefetto Bruno Frattasi, coordina la risposta nazionale agli incidenti e gestisce il recepimento della direttiva NIS2 attraverso il decreto legislativo 138/2024.
Un dato controintuitivo emerge dalle rilevazioni: la tecnica “Data Encrypted for Impact”, ossia la cifratura dei dati a fini estorsivi, è calata del 38% nel 2025. La spiegazione non è una buona notizia. Molte gang hanno abbandonato la cifratura pura in favore della doppia o tripla estorsione, dove il furto e la minaccia di pubblicazione dei dati contano più del blocco operativo. I criminali rubano le informazioni e minacciano di diffonderle, una leva che funziona anche contro le aziende che hanno backup efficienti e possono ripristinare i sistemi senza pagare.
I dati aggregati da società come Cyble e ReliaQuest indicano oltre 4.700 attacchi ransomware rivendicati nel mondo nel 2025. Il panorama si è frammentato: alla caduta di alcuni gruppi storici è seguita la nascita di almeno dieci nuove formazioni, segno di un ecosistema criminale resiliente che si rigenera ogni volta che le forze dell’ordine smantellano un’infrastruttura.
I settori più colpiti: pubblica amministrazione, manifatturiero e sanità
La distribuzione settoriale del rischio italiano nel primo semestre 2025 mostra una netta prevalenza del comparto pubblico. Governo e difesa raccolgono il 38% degli incidenti, trasporti e logistica il 17%, manifatturiero il 13%. La pubblica amministrazione è esposta soprattutto alle campagne di hacktivism, mentre il manifatturiero attira il cybercrime per il valore della proprietà intellettuale e per la convergenza tra reti informatiche (IT) e reti industriali (OT), spesso meno protette.
| Settore | Quota incidenti Italia (1° sem. 2025) | Trend globale 2025 |
|---|---|---|
| Governo e difesa | 38% | In forte crescita |
| Trasporti e logistica | 17% | In crescita |
| Manifatturiero | 13% | +79% |
| ICT | Rilevante | +46% |
| Servizi professionali | Rilevante | +91% |
| Sanità | Crescente | +19% |
| Finanza e assicurazioni | Crescente | +27% |
La sanità merita un’attenzione particolare. Ospedali e aziende sanitarie locali gestiscono dati sensibilissimi e operano con margini che non tollerano interruzioni. Un attacco ransomware che blocca un pronto soccorso o un sistema di refertazione mette a rischio vite umane, e questo rende le strutture sanitarie bersagli ad alto valore di ricatto. La crescita del 19% degli attacchi al settore conferma una tendenza globale a cui l’Italia non sfugge.
Le nuove gang ransomware del 2025
Il 2025 ha visto l’ingresso di almeno dieci nuove formazioni criminali nel panorama ransomware. Questa proliferazione è la diretta conseguenza del modello Ransomware-as-a-Service, in cui sviluppatori esperti affittano il malware ad affiliati che eseguono gli attacchi in cambio di una percentuale sui riscatti. Quando un gruppo viene smantellato dalle forze dell’ordine, i suoi affiliati migrano rapidamente verso nuove insegne, ricostruendo in poche settimane la capacità offensiva.
| Nuova gang 2025 | Caratteristica nota |
|---|---|
| Devman | Nuovo operatore RaaS emerso nel 2025 |
| DireWolf | Focus su doppia estorsione |
| NOVA | Affiliati provenienti da gruppi smantellati |
| Warlock | Attivo contro target enterprise |
| BEAST | Cifratura rapida multipiattaforma |
| Sinobi | Operatore emergente del 2025 |
| NightSpire | Specializzato in furto dati |
| Reynolds | Nuovo brand del panorama estorsivo |
La frammentazione complica il lavoro dei difensori. Ogni nuovo gruppo introduce varianti del malware, infrastrutture di comando e controllo differenti e modelli di negoziazione propri. Gli indicatori di compromissione che funzionavano contro una gang diventano inutili contro la successiva. Per questo le aziende italiane non possono più affidarsi a difese statiche basate su firme note, ma devono adottare un approccio comportamentale che rilevi le anomalie indipendentemente dal nome dell’aggressore.
Quanto costa un attacco: riscatti, IBM e impatto economico
Il costo del ransomware non si misura solo nel riscatto. Secondo il benchmark sui pagamenti relativo al secondo trimestre 2025, il pagamento medio si è attestato a 1,13 milioni di dollari e quello mediano a 400.000 dollari, con la media in aumento del 104% rispetto al trimestre precedente. Il salto evidenzia come i criminali stiano colpendo bersagli sempre più grandi e capaci di pagare cifre elevate.
Il quadro economico complessivo arriva dal report IBM Cost of a Data Breach 2025. Il costo medio globale di una violazione è sceso a 4,44 milioni di dollari, in calo del 9% rispetto ai 4,88 milioni del 2024. È il primo calo in cinque anni, attribuito a tempi di identificazione e contenimento più rapidi grazie all’automazione difensiva. Negli Stati Uniti, però, il costo medio resta altissimo, a 10,22 milioni di dollari. L’Italia figura tra i Paesi in cui i costi sono diminuiti in modo significativo, anche se IBM non fornisce un dato nazionale puntuale.
| Metrica | Valore 2025 | Variazione |
|---|---|---|
| Costo medio violazione (globale) | 4,44 mln $ | -9% sul 2024 |
| Costo medio violazione (USA) | 10,22 mln $ | Stabile elevato |
| Pagamento riscatto medio (Q2 2025) | 1,13 mln $ | +104% sul trimestre |
| Pagamento riscatto mediano (Q2 2025) | 400.000 $ | In crescita |
| Attacchi ransomware mondiali rivendicati | oltre 4.700 | In aumento |
Per un’azienda italiana media il conto reale somma riscatto, fermo produttivo, costi di ripristino, consulenze legali, notifiche al Garante e danno reputazionale. Anche chi non paga il riscatto sostiene spese che possono superare il milione di euro tra interruzione dell’attività e bonifica dei sistemi. Il calcolo costi-benefici della prevenzione, a fronte di queste cifre, pende nettamente a favore degli investimenti in sicurezza.
NIS2 in Italia: scadenze, sanzioni fino a 10 milioni e scarsa consapevolezza
La direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024, ridisegna gli obblighi di sicurezza per migliaia di organizzazioni. La normativa distingue tra soggetti essenziali e soggetti importanti, imponendo a entrambi misure di gestione del rischio, obblighi di notifica degli incidenti e responsabilità diretta degli organi di amministrazione. L’ACN gestisce il registro dei soggetti obbligati e vigila sull’applicazione.
Le sanzioni sono il vero deterrente. I soggetti essenziali rischiano multe fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, a seconda di quale importo sia maggiore. Per i soggetti importanti il tetto scende a 7 milioni di euro o all’1,4% del fatturato globale. A differenza del passato, la direttiva chiama in causa direttamente i vertici aziendali, che possono rispondere personalmente delle violazioni degli obblighi di sicurezza.
Il problema, come mostra il report TIM-Format Research, è che la consapevolezza resta bassa. Con solo il 3,9% delle imprese che dichiara una conoscenza dettagliata della normativa, esiste un divario enorme tra l’obbligo giuridico e la capacità reale di rispettarlo. Molte aziende scopriranno di essere soggetti obbligati solo quando riceveranno la prima richiesta dell’Agenzia o, peggio, dopo un incidente. La compliance NIS2 non è un adempimento burocratico: è la traduzione operativa di anni di lezioni apprese sul campo dei data breach.
Hacktivism e DDoS: il 54% degli attacchi italiani
Accanto al cybercrime estorsivo cresce una minaccia diversa per natura e movente. Nel primo semestre 2025, la matrice degli attacchi italiani si divide tra 54% hacktivism e 46% cybercrime. L’hacktivism, spesso di matrice filo-russa, punta a colpire l’immagine e l’operatività delle istituzioni più che a estorcere denaro. La tecnica dominante è il DDoS, impiegato nel 54% dei casi italiani, che satura i server e rende irraggiungibili siti e servizi.
Già a gennaio 2025 gruppi filo-russi avevano rivendicato attacchi contro siti governativi italiani, colpendo ministeri, servizi pubblici e piattaforme di trasporto in città come Roma e Palermo. Questi attacchi raramente provocano danni permanenti, ma hanno un alto valore propagandistico e mettono sotto pressione i team di difesa, costretti a distogliere risorse dalla protezione contro minacce più insidiose come il ransomware. La sovrapposizione tra hacktivism rumoroso e cybercrime silenzioso è una delle complessità che rendono il 2026 particolarmente difficile da gestire.
L’attacco alla Commissione europea e il contesto continentale
L’Italia non è un’isola. Il 24 marzo 2026 la Commissione europea ha dichiarato di essere stata bersaglio di un attacco informatico che ha colpito l’infrastruttura cloud su cui gira la piattaforma web Europa. L’episodio dimostra che nemmeno le istituzioni più centrali del continente sono immuni, e che la superficie di attacco si è spostata verso i servizi cloud condivisi, dove una singola compromissione può avere effetti a cascata su decine di enti.
A gennaio 2026, secondo i tracker internazionali, l’operazione “Neusploit” ha colpito Paesi dell’Europa centrale e orientale con una catena d’infezione multi-stadio. Sul fronte industriale, il 10 febbraio 2026 la Commissione ha approvato senza condizioni l’acquisizione da 32 miliardi di dollari della società di sicurezza Wiz da parte di Google, segnale del consolidamento accelerato del mercato cybersecurity. Per approfondire le minacce a livello UE è utile leggere la nostra analisi dell’attacco Ivanti che ha colpito l’Unione europea.
Confronto con l’Europa: Italia al 9,6% degli attacchi globali
Il dato che meglio inquadra la posizione italiana è la quota del 9,6% sugli incidenti gravi mondiali. Per un Paese che rappresenta circa il 2% della popolazione globale e una frazione analoga del PIL mondiale, assorbire quasi un decimo degli attacchi gravi è un’anomalia. Le ragioni sono molteplici: un tessuto di piccole e medie imprese spesso poco protette, una pubblica amministrazione digitalizzata ma frammentata, e una forte esposizione alle campagne di hacktivism geopolitico.
| Indicatore | Italia 2025 | Mondo 2025 |
|---|---|---|
| Incidenti gravi totali | 507 | 5.265 |
| Crescita su 2024 | +42% | +48,7% |
| Quota incidenti globali | 9,6% | 100% |
| Media mensile attacchi (Italia) | 439 | n.d. |
| Crescita media mensile 2021-2025 | +256% | n.d. |
| Casi ransomware (TIM-Format) | 166 (+14%) | +42% |
Il confronto con altri Paesi europei mostra dinamiche simili. La Germania ha visto crescere gli attacchi nel cosiddetto spazio DACH, il Portogallo registra oltre 2.400 attacchi a settimana, e l’intera Unione europea genera più attacchi cybercrime degli Stati Uniti. L’Italia si inserisce in questo quadro come uno dei bersagli più esposti, ma con un ritardo strutturale negli investimenti in sicurezza che la rende più vulnerabile della media continentale.
Cosa dicono gli esperti di sicurezza informatica
Gabriele Faggioli, presidente di Clusit, da anni richiama l’attenzione sul carattere ormai strutturale della minaccia. “I dati confermano che non siamo davanti a un’emergenza temporanea ma a una condizione permanente”, è la lettura che emerge dal rapporto. “Le organizzazioni italiane devono passare da un approccio reattivo a una postura di sicurezza continua, integrata nei processi di business.”
Sofia Scozzari, tra le curatrici delle analisi sui dati del rapporto, sottolinea la velocità del cambiamento. “La crescita del 42% in un solo anno non ha precedenti e riflette l’industrializzazione del crimine informatico”, è il senso del suo commento. “Gli attaccanti automatizzano, collaborano e si specializzano, mentre molte aziende restano ferme a difese pensate per uno scenario superato.”
Sul piano istituzionale, l’ACN guidata dal prefetto Bruno Frattasi insiste sul fattore umano e organizzativo. La consapevolezza diffusa, più ancora della tecnologia, è il punto debole del sistema-Paese. Quando solo il 3,9% delle imprese conosce in dettaglio la NIS2, il problema non è la mancanza di strumenti ma la capacità di usarli. Analisti indipendenti come Pierluigi Paganini aggiungono che la migrazione verso la doppia estorsione rende obsoleti i backup come unica linea di difesa: servono cifratura dei dati a riposo e segmentazione delle reti per ridurre il valore di ciò che gli attaccanti riescono a esfiltrare.
Previsioni 2026-2027: dove andrà la minaccia
Sulla base dei dati raccolti è possibile delineare cinque traiettorie per i prossimi diciotto mesi. Prima previsione: il numero di incidenti gravi in Italia supererà i 600 entro fine 2026, proseguendo la traiettoria di crescita a doppia cifra osservata negli ultimi cinque anni. La media mensile, già a 439 nel 2025, si avvicinerà a 500.
Seconda previsione: la doppia e tripla estorsione diventeranno il modello dominante, mentre la cifratura pura continuerà a calare. I criminali punteranno sempre più sul furto e sulla minaccia di pubblicazione, rendendo i backup necessari ma non sufficienti. Terza previsione: l’intelligenza artificiale generativa accelererà sia gli attacchi, con phishing e malware più sofisticati, sia le difese, con sistemi di rilevamento autonomo che riducono i tempi di contenimento come già osservato nel calo dei costi IBM.
Quarta previsione: le prime sanzioni NIS2 significative arriveranno entro il 2027, spingendo le aziende ritardatarie a investire sotto la pressione del rischio legale più che di quello tecnico. Quinta previsione: il manifatturiero del Nord-Ovest resterà il bersaglio prioritario, con la Lombardia stabilmente sopra il 30% dei casi nazionali, mentre la sanità emergerà come il settore a più rapida crescita di attacchi per il valore dei dati e la bassa tolleranza ai fermi operativi.
Come proteggersi: raccomandazioni per le aziende italiane
La difesa contro il ransomware nel 2026 richiede un approccio a più livelli. Il primo passo è la segmentazione della rete, che impedisce a un attacco di propagarsi liberamente una volta superato il perimetro. Segue l’autenticazione a più fattori su tutti gli accessi, in particolare quelli remoti e amministrativi, che restano il vettore d’ingresso più sfruttato. La gestione tempestiva delle patch chiude le vulnerabilità note prima che vengano sfruttate, come ricordano i casi delle grandi falle del 2025-2026.
Sul fronte dei dati, la cifratura a riposo riduce il valore di ciò che gli attaccanti possono esfiltrare, mentre backup immutabili e testati garantiscono il ripristino senza pagare riscatti. La formazione del personale resta decisiva: la maggior parte degli attacchi inizia con un errore umano, e riconoscere un tentativo di phishing nel browser è una competenza che va coltivata con esercitazioni regolari. Infine, un piano di risposta agli incidenti scritto, provato e aggiornato fa la differenza tra un fermo di poche ore e una crisi di settimane.
Guardando più lontano, le aziende dovrebbero iniziare a valutare l’impatto della crittografia post-quantistica sui propri sistemi, perché la transizione richiederà anni e i dati esfiltrati oggi potrebbero essere decifrati domani. La sicurezza non è un prodotto da acquistare una volta, ma un processo da mantenere nel tempo, integrato nella governance aziendale così come previsto dalla direttiva NIS2.
Domande frequenti sul ransomware in Italia
Quanti attacchi ransomware ci sono stati in Italia nel 2025?
Secondo il Cyber Security Report TIM-Format Research del giugno 2026, in Italia si sono registrati 166 casi ransomware nel 2025, in aumento del 14% rispetto all’anno precedente. Il Rapporto Clusit 2026 conta complessivamente 507 incidenti gravi di tutte le tipologie, con una crescita del 42%.
Quali settori sono più colpiti dal ransomware in Italia?
I settori più colpiti sono governo e difesa (38% degli incidenti nel primo semestre 2025), trasporti e logistica (17%) e manifatturiero (13%). La sanità è il comparto a più rapida crescita, con attacchi in aumento del 19% a livello globale.
Quanto costa in media un attacco ransomware?
Nel secondo trimestre 2025 il pagamento medio di un riscatto è stato di 1,13 milioni di dollari, con un valore mediano di 400.000 dollari. Il costo medio globale di una violazione dati, secondo IBM, è sceso a 4,44 milioni di dollari nel 2025, primo calo in cinque anni.
Cosa prevede la direttiva NIS2 per le aziende italiane?
La NIS2, recepita con il decreto legislativo 138/2024, impone misure di gestione del rischio, obblighi di notifica degli incidenti e responsabilità dei vertici aziendali. Le sanzioni arrivano a 10 milioni di euro o al 2% del fatturato mondiale per i soggetti essenziali, e a 7 milioni o all’1,4% per i soggetti importanti.
Perché l’Italia è così colpita dagli attacchi informatici?
L’Italia assorbe il 9,6% degli incidenti gravi mondiali per una combinazione di fattori: un tessuto di piccole e medie imprese spesso poco protette, una pubblica amministrazione molto esposta all’hacktivism geopolitico e investimenti in sicurezza inferiori alla media europea.
I backup bastano a difendersi dal ransomware?
No. Con la diffusione della doppia estorsione, i criminali rubano i dati e minacciano di pubblicarli anche se l’azienda ripristina i sistemi dai backup. Servono cifratura dei dati a riposo, segmentazione della rete e autenticazione a più fattori, oltre ai backup immutabili e testati.
Quante nuove gang ransomware sono nate nel 2025?
Nel 2025 sono emerse almeno dieci nuove formazioni criminali, tra cui Devman, DireWolf, NOVA, Warlock, BEAST, Sinobi, NightSpire e Reynolds. La proliferazione è alimentata dal modello Ransomware-as-a-Service, che permette agli affiliati di migrare rapidamente verso nuove insegne.
Related Coverage
- Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita [2026]
- Phishing nel Browser: +140% e 20% Sfugge [2026]
- Post-Quantum Cryptography: 50% of Web Now Safe [2026]
- Data Breaches: come avvengono e come proteggersi
- HTTPS e TLS spiegati: cosa significa davvero il lucchetto
- Sicurezza informatica: guida e analisi
