Il Rapporto Clusit 2026, pubblicato ad aprile 2026, consegna all’Italia un dato che non ammette interpretazioni edulcorate: nel 2025 si sono registrati 507 incidenti informatici gravi nel nostro Paese, pari al 9,6% del totale mondiale. A livello globale il conto è ancora più pesante: 5.265 incidenti seri, con un aumento del 48,7% rispetto al 2024. Se i dati del Rapporto Clusit 2026 confermano un’accelerazione strutturale del fenomeno, il Cyber Security Report 2026 di TIM e Format Research, presentato il 9 giugno 2026, aggiunge un ulteriore strato di granularità: solo per il ransomware l’Italia ha registrato 166 casi nel 2025, con un incremento del 14% anno su anno. Una fotografia impietosa che posiziona l’Italia come primo Paese in Europa e quarto nel mondo per numero di cyberattacchi subiti.
5.265 Incidenti Globali nel 2025: L’Accelerazione Strutturale
Il Rapporto Clusit 2026 descrive il 2025 come l’anno della svolta quantitativa. La media mensile di attacchi gravi è passata da 171 nel 2021 a 439 nel 2025, un incremento del 256% in cinque anni. Non si tratta di una crescita lineare ma di un’accelerazione che riflette la professionalizzazione del crimine informatico, l’abbassamento delle barriere d’ingresso grazie all’intelligenza artificiale generativa e la proliferazione dei modelli Ransomware-as-a-Service.
Un dato particolarmente preoccupante riguarda la gravità degli incidenti: l’84% dei casi censiti nel 2025 ricade nelle categorie Critico o Alto, contro il 79% del 2024. Per la prima volta il Rapporto introduce la categoria “Estremo”, riservata agli episodi con impatti devastanti su larga scala, che già rappresenta il 2,7% del totale. Il messaggio è chiaro: non solo aumenta la quantità degli attacchi, ma cresce la loro capacità distruttiva.
Gabriele Faggioli, Presidente di Clusit, ha commentato i dati nel rapporto annuale: “Siamo di fronte a una trasformazione profonda del panorama delle minacce. Il 2025 ha dimostrato che nessun settore e nessuna dimensione aziendale è immune. La risposta deve essere sistemica, non episodica.” L’analisi di Clusit evidenzia che il cybercrime, inteso come attività criminale a scopo economico, rappresenta ancora la motivazione prevalente a livello globale con l’89% degli incidenti, ma in Italia la quota scende al 61% proprio per l’abnorme peso dell’hacktivismo.
Italia nel Mirino: 507 Attacchi Gravi nel 2025
Nei cinque anni compresi tra il 2021 e il 2025, le organizzazioni italiane hanno subito complessivamente 1.432 incidenti gravi documentati. Di questi, ben 507 si sono concentrati nel solo 2025, pari al 35% del totale quinquennale in un unico anno. Un dato che illustra con chiarezza la progressione esponenziale del fenomeno.
Il Rapporto Clusit 2026 sottolinea che l’Italia si è avvicinata al picco del 11,2% registrato nel 2023, fermandosi al 9,6% nel 2025. Il fatto che il Paese mantenga una quota superiore al 9% degli incidenti mondiali, pur avendo un PIL che rappresenta circa il 2,5% del PIL globale, segnala una sproporzione strutturale nella vulnerabilità del tessuto economico e istituzionale italiano.
Il Barometro dei Rischi Allianz 2026 ha classificato gli incidenti informatici come il rischio principale a livello globale per il quinto anno consecutivo, con il punteggio più alto mai registrato: citato dal 42% dei rispondenti e con un margine di 10 punti percentuali sul secondo rischio classificato, l’intelligenza artificiale. In questo contesto europeo, la posizione dell’Italia assume un rilievo ancora maggiore.
Hacktivismo: l’Italia Concentra il 64% dei Casi Mondiali
Il dato che più sorprende nella fotografia italiana è la quota di hacktivismo: l’Italia concentra il 64% degli incidenti hacktivistici globali nel 2025. Un primato negativo senza precedenti nella storia del Rapporto Clusit, che riflette la particolare esposizione del Paese agli attacchi di collettivi filorussi come NoName057(16) e Killnet, intensificatisi in relazione al supporto italiano all’Ucraina.
Questi collettivi hanno preso di mira sistematicamente siti web governativi, ministeri, aziende di trasporto pubblico e banche italiane con campagne di DDoS (Distributed Denial of Service). A gennaio 2025, un gruppo filorusso ha rivendicato attacchi contro portali governativi di Roma e Palermo in risposta all’incontro tra la Presidente del Consiglio Giorgia Meloni e il Presidente ucraino Volodymyr Zelensky. Secondo il CSIS (Center for Strategic and International Studies), questa campagna rientra in un pattern coordinato di coercizione cibernetica a sfondo geopolitico.
Bruno Frattasi, Direttore Generale dell’ACN (Agenzia per la Cybersicurezza Nazionale), ha dichiarato in riferimento al fenomeno dell’hacktivismo a indirizzo italiano: “La minaccia ibrida che combina pressione diplomatica e attività cibernetica è una realtà con cui l’Italia convive quotidianamente. L’ACN lavora in stretto coordinamento con le strutture NATO e con i CERT europei per garantire continuità operativa alle infrastrutture critiche nazionali.”
Ransomware 2025: +42% Globale, 166 Vittime Confermate in Italia
Il Cyber Security Report 2026 di TIM e Format Research, pubblicato il 9 giugno 2026, certifica che nel 2025 sono state rivendicate oltre 7.400 campagne ransomware a livello globale, con un incremento del 42% rispetto al 2024. Di queste, 1.173 sono state confermate direttamente dalle organizzazioni vittime, a testimonianza del gap tra rivendicazioni dei gruppi criminali e incidenti realmente documentabili.
Per l’Italia il conteggio si ferma a 166 casi nel 2025, in crescita del 14% anno su anno. I settori più colpiti, secondo il report TIM, includono la pubblica amministrazione, i servizi professionali, le telecomunicazioni e i trasporti. L’Europa nel suo complesso raccoglie il 16% degli incidenti ransomware globali, seconda solo agli Stati Uniti che si aggiudicano quasi il 50% del totale.
Un’analisi del Check Point Research 2026 rileva un incremento del 48% degli attacchi ransomware a livello globale rispetto all’anno precedente, con l’82% dei file malevoli veicolati via email. Il costo globale del cybercrime è stimato da Cybersecurity Ventures in 10.500 miliardi di dollari nel 2025, con una proiezione di spesa in cybersecurity superiore ai 520 miliardi di dollari annui entro il 2026.
| Metrica | 2024 | 2025 | Variazione |
|---|---|---|---|
| Incidenti gravi globali (Clusit) | ~3.541 | 5.265 | +48,7% |
| Incidenti gravi in Italia (Clusit) | ~350 | 507 | +44,9% |
| Rivendicazioni ransomware globali (TIM) | ~5.200 | 7.400+ | +42% |
| Ransomware in Italia (TIM) | ~145 | 166 | +14% |
| Campagne malware in Italia (CERT-AGID) | ~2.600 | 3.600+ | +38% |
| Vulnerabilità note globali (CVE) | ~40.400 | ~48.500 | +20% |
| Incidenti DDoS globali (TIM) | ~6.700 | ~4.300 | -36% |
I Settori Più Colpiti: Manifatturiero, Professionale e PA
Il Rapporto Clusit 2026 identifica tre settori con la crescita percentuale più sostenuta nel 2025. Il manifatturiero registra un +79%, confermando il trend già visibile nel 2024 quando le linee di produzione interconnesse e i sistemi OT (Operational Technology) sono diventati bersagli primari dei gruppi ransomware. Il Professional, Scientific and Technical cresce del +91%, trainato dagli attacchi a studi legali, società di consulenza e fornitori di servizi IT che fungono da trampolino verso clienti più grandi (supply chain attack). Il settore ICT stesso registra un +46%, mentre Finance e Insurance crescono del +27%.
Il Settore Pubblico Italiano: 46% dei Casi SOC
Il Cyber Security Report TIM 2026 fornisce dati ancora più granulari sul tessuto istituzionale italiano. Escludendo gli attacchi a persone fisiche, il settore governo e pubblica amministrazione sale al 46% del totale dei casi rilevati dai SOC (Security Operations Center) di TIM nel 2025. Seguono i servizi professionali, le telecomunicazioni e i trasporti.
Questa concentrazione sulla PA è in parte spiegabile con il profilo dell’hacktivismo filorusso che punta a massimizzare la visibilità degli attacchi colpendo enti governativi e servizi pubblici. Ma i dati SOC di TIM indicano anche una crescita degli attacchi economicamente motivati verso enti locali, ASL e agenzie regionali, spesso con posture di sicurezza più vulnerabili rispetto alle grandi aziende private.
Il Rapporto Clusit 2026 segnala che il Financial e Insurance rappresenta una quota consistente a livello globale, con gruppi come LockBit 3.0 e RansomHub che preferiscono obiettivi ad alta capacità di pagamento. In Italia, secondo i dati del Ministero dell’Interno citati dalla guida della International Trade Administration, la Polizia Postale (CNAIPIC) ha gestito nel 2024 oltre 12.000 attacchi informatici significativi e più di 59.000 alert per proteggere infrastrutture di interesse nazionale.
Il Caso Lombardia: 30% del Ransomware Italiano Concentrato in una Regione
La distribuzione geografica degli attacchi ransomware sul territorio italiano rivela una concentrazione inattesa. Secondo il report TIM/Format Research 2026, circa 4 incidenti su 10 in Italia si sono verificati nel Nord-Ovest, con la sola Lombardia responsabile di oltre il 30% del totale nazionale. Un fenomeno direttamente correlato alla densità del tessuto produttivo: la regione ospita la quota più alta di PMI manifatturiere, sedi di multinazionali e data center del Paese.
La concentrazione geografica ha implicazioni pratiche per la risposta alle minacce. Le aziende lombarde, spesso inserite in filiere produttive globali, sono obiettivi particolarmente attraenti per i gruppi ransomware che mirano alla doppia estorsione: cifratura dei dati e minaccia di pubblicazione di informazioni riservate sui leak site del darkweb. Il settore manifatturiero e la componentistica automotive sono stati tra i bersagli più frequenti nel 2025.
Vulnerabilità Informatiche: Quasi 48.500 CVE nel 2025
Il report TIM/Format Research 2026 certifica che nel 2025 sono state identificate e catalogate quasi 48.500 vulnerabilità informatiche (CVE, Common Vulnerabilities and Exposures), con un incremento del 20% rispetto al 2024. Un numero che rende impossibile la remediation tempestiva per la maggior parte delle organizzazioni, creando finestre di esposizione che i threat actor sfruttano sistematicamente.
La crescita del numero di CVE è alimentata da tre fattori strutturali: l’espansione della superficie d’attacco dovuta alla digitalizzazione accelerata delle filiere produttive, la maggiore efficacia dei programmi di bug bounty che incentivano la ricerca di vulnerabilità, e l’uso dell’IA da parte dei gruppi criminali per automatizzare la scoperta e lo sfruttamento di falle nei sistemi. Secondo TIM, oltre il 50% dell’attività di exploitation documentata nel 2025 è attribuibile ad attori state-sponsored, con particolare riferimento a gruppi legati a Russia, Cina e Iran.
Una rappresentante del team di ricerca TIM Cybersecurity ha commentato i dati alla presentazione del report: “La crescita delle CVE non riguarda solo la quantità. Quello che preoccupa di più è la velocità con cui vengono armate: dal momento della pubblicazione di una CVE critica, i gruppi criminali dispongono spesso di exploit funzionanti nel giro di 24-72 ore.”
DDoS: -36% ma con Frequenza e Impatto Crescente
Il dato sugli attacchi DDoS sembra in apparente contraddizione con il quadro generale di crescita delle minacce. Il report TIM 2026 certifica circa 4.300 eventi DDoS nel 2025, in calo del 36% rispetto al 2024. Tuttavia, questa riduzione quantitativa nasconde un peggioramento qualitativo: il tempo di esposizione alle campagne è aumentato del 19%, e gli eventi residui tendono ad essere più sofisticati e prolungati.
La spiegazione del paradosso sta nel consolidamento dei servizi di mitigazione DDoS da parte dei principali provider europei, che ha reso meno redditizi gli attacchi volumetrici di bassa intensità. I gruppi hacktivisti si sono adattati puntando su attacchi application-layer (Layer 7) più difficili da filtrare con le soluzioni tradizionali. Il record di 31,4 Tbps riportato dal Cloudflare DDoS Threat Report 2026 è la testimonianza di come la potenza bruta disponibile ai threat actor continui a crescere nonostante la riduzione degli eventi.
CERT-AGID: 3.600 Campagne Malware in Italia nel 2025
Il CERT-AGID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha documentato nel 2025 oltre 3.600 campagne malware rivolte a destinatari italiani, con un incremento di circa il 38% rispetto all’anno precedente. Le campagne comprendono phishing, smishing (phishing via SMS), malware documentale (allegati Office malevoli) e campagne di credential stuffing verso portali di enti pubblici e banche.
La Risposta dell’ACN: 77 Milioni di Euro nel 2025
Il governo italiano ha investito 77 milioni di dollari in cybersecurity nel 2025, nell’ambito di un piano più ampio da 2,2 miliardi di dollari per l’implementazione della Strategia Nazionale di Cybersicurezza. L’ACN, istituita nel 2021, ha progressivamente ampliato il proprio mandato operativo, coordinando il CSIRT Italia e gestendo le notifiche di incidente previste dalla direttiva NIS2, recepita in Italia nel 2024.
Nonostante l’incremento degli investimenti, la guida della International Trade Administration segnala che l’Italia rimane strutturalmente esposta a causa del ritardo nel percorso di adozione di soluzioni di sicurezza avanzate da parte delle PMI, che rappresentano il 99% del tessuto produttivo nazionale. Il mercato italiano della cybersecurity vale 2,7 miliardi di euro nel 2024, in crescita del 15% rispetto all’anno precedente, ma gli analisti segnalano che la spesa rimane concentrata nelle grandi aziende e nella PA centrale.
| Paese / Regione | Incidenti Ransomware 2025 | % Globale | Trend |
|---|---|---|---|
| Stati Uniti | ~3.700 | ~50% | +38% |
| Unione Europea (totale) | ~1.184 | 16% | +29% |
| Germania | ~280 | 3,8% | +22% (supera UK) |
| Regno Unito | ~260 | 3,5% | +15% |
| Italia | 166 | 2,2% | +14% |
| Francia | ~140 | 1,9% | +18% |
| Resto del mondo | ~1.970 | 26,6% | +55% |
Il Confronto Europeo: la Germania Supera il Regno Unito
Una delle novità di rilievo nel report TIM 2026 riguarda il riposizionamento europeo nella classifica dei Paesi più colpiti dal ransomware. Per la prima volta, la Germania supera il Regno Unito diventando il Paese europeo con il maggior numero di incidenti ransomware nel 2025. Questo sorpasso riflette la crescente esposizione del settore manifatturiero tedesco, in particolare nell’industria automotive e nella componentistica meccanica, alle campagne dei principali gruppi ransomware internazionali.
L’esercitazione Cyber Europe 2026, organizzata dall’ENISA il 10 e 11 giugno 2026 con oltre 5.000 esperti di sicurezza da tutta l’UE, ha messo al centro delle simulazioni proprio la risposta a cyberattacchi contro le infrastrutture di trasporto: ferrovie, porti e aeroporti. L’ENISA ha sottolineato che gli attori state-sponsored, in particolare legati alla Russia, stanno progressivamente spostando il focus verso sistemi ICS/SCADA nelle infrastrutture critiche europee, con un incremento del +50% degli attacchi OT rispetto al 2024.
Un rappresentante dell’ENISA ha dichiarato in riferimento all’esercitazione: “Cyber Europe 2026 ha dimostrato che la capacità di risposta dell’UE è migliorata, ma le minacce evolvono più rapidamente delle difese. La cooperazione tra CSIRT nazionali è oggi la prima linea di difesa per proteggere le reti europee da attori con risorse quasi illimitate.”
Previsioni 2026: Cosa Aspettarsi nei Prossimi Mesi
Sulla base dei dati del Rapporto Clusit 2026, del report TIM/Format Research e delle tendenze emerse nel primo semestre 2026, è possibile formulare cinque previsioni per i mesi a venire:
- Escalation degli attacchi alla PA italiana: con le elezioni amministrative di autunno 2026 e il semestre di presidenza italiana del G7, i collettivi hacktivistici aumenteranno la pressione su siti governativi e portali istituzionali. La quota del settore pubblico nel totale degli incidenti SOC potrebbe superare il 50%.
- Ransomware verso le PMI manifatturiere del Nord-Ovest: la concentrazione geografica emersa nel report TIM è destinata ad accentuarsi. I gruppi come RansomHub e Akira continuano a colpire aziende con fatturati tra 10 e 100 milioni di euro, spesso prive di SOC dedicati. Ci si aspetta un incremento ulteriore del 15-20% dei casi italiani nel 2026.
- Crescita degli attacchi alle infrastrutture energetiche: il precedente dei cyberattacchi russi alle reti idriche ed energetiche di sei Paesi UE nel 2026 suggerisce che anche l’Italia, con le sue centrali termoelettriche e le reti di distribuzione del gas, rientri nel perimetro dei potenziali obiettivi strategici.
- AI-assisted attack: la soglia si abbassa ulteriormente: gli strumenti di automazione degli attacchi basati su LLM renderanno disponibili capacità di ricognizione e spear-phishing avanzate anche a gruppi criminali con risorse limitate. I ricercatori prevedono che entro fine 2026 oltre il 60% delle campagne phishing sarà generato o ottimizzato tramite AI.
- Obbligo NIS2 come acceleratore della spesa: con le sanzioni NIS2 operative in Italia dalla fine del 2024, le aziende nel perimetro obbligatorio accelereranno gli investimenti in SOC-as-a-Service, vulnerability management e incident response. Il mercato italiano della cybersecurity potrebbe raggiungere i 3 miliardi di euro entro fine 2026.
Raccomandazioni per Aziende e PA Italiane
Gabriele Faggioli, commentando le implicazioni operative del Rapporto Clusit 2026, ha sottolineato che “la priorità assoluta per il 2026 è colmare il divario tra la consapevolezza del rischio e la capacità concreta di risposta. Troppe organizzazioni italiane dispongono di policy sulla carta ma non hanno mai testato i propri piani di incident response in condizioni reali.”
Sulla base dei dati dei report esaminati, le priorità operative per organizzazioni italiane di ogni dimensione includono:
- Vulnerability Management continuo: con 48.500 CVE nel 2025, la patch management reattiva non è più sufficiente. Serve un programma di VM basato sul rischio che prioritizzi le vulnerabilità attivamente sfruttate (CISA KEV list).
- Backup immutabile e test di ripristino: il ransomware è efficace solo quando mancano backup segregati e funzionanti. I backup devono essere testati mensilmente con procedure di ripristino documentate.
- MFA su tutti gli accessi privilegiati: la maggior parte degli attacchi ransomware inizia con credenziali compromesse. L’autenticazione a più fattori riduce del 99% il rischio di accesso non autorizzato tramite credential stuffing.
- Segmentazione delle reti OT/IT: fondamentale per le aziende manifatturiere lombarde, dove la contaminazione tra reti operative e reti aziendali è ancora la norma piuttosto che l’eccezione.
- Formazione e simulazioni di phishing: con il phishing che veicola l’82% dei malware, il fattore umano rimane il vettore principale. Simulazioni periodiche riducono significativamente il tasso di clic su link malevoli.
- Compliance NIS2 come framework di sicurezza: le aziende nel perimetro NIS2 devono adempiere agli obblighi di notifica entro 72 ore, ma il framework normativo offre anche una struttura utile per organizzare il programma di sicurezza complessivo.
Copertura Correlata
Per approfondire i temi trattati in questo articolo, consulta questi articoli correlati su shattered.io:
- DragonForce: 580 Vittime nel 2026, Italia al 5° Posto
- Fortinet Report 2026: 640 Miliardi di Attacchi, Ransomware +389%
- Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS
- EU Cybersecurity Act 2.0: 30.000 Aziende Liberate da NIS2
- INTERPOL Synergia III: 45.000 IP Abbattuti, 94 Arrestati in 72 Paesi
- Cyber Europe 2026: 5.000 Esperti Testano la Risposta UE su Ferrovie e Porti
Fonti esterne verificate: Rapporto Clusit 2026 | TIM/Format Research Cyber Security Report 2026 | Analisi Clusit 2026 | ENISA | ITA Italy Cybersecurity Guide | Cyber Europe 2026
Domande Frequenti
Quanti cyberattacchi gravi ha subito l’Italia nel 2025?
Secondo il Rapporto Clusit 2026, l’Italia ha subito 507 incidenti informatici gravi nel 2025, pari al 9,6% del totale mondiale di 5.265 incidenti. Rappresentano il 35% di tutti gli attacchi seri registrati in Italia nei cinque anni 2021-2025.
Perché l’Italia è la prima in Europa per cyberattacchi?
L’Italia concentra una quota sproporzionata di incidenti rispetto al suo peso economico per tre ragioni principali: la struttura frammentata in PMI con posture di sicurezza deboli, l’alta esposizione all’hacktivismo filorusso (64% degli episodi hacktivistici globali), e il basso livello medio di adozione di soluzioni di sicurezza avanzate nelle aziende sotto i 50 dipendenti.
Quanti attacchi ransomware ha ricevuto l’Italia nel 2025?
Il Cyber Security Report 2026 di TIM e Format Research certifica 166 casi di ransomware in Italia nel 2025, con un incremento del 14% anno su anno. La Lombardia concentra oltre il 30% del totale nazionale, mentre il Nord-Ovest raccoglie 4 incidenti su 10.
Cos’è il Rapporto Clusit e con quale frequenza viene pubblicato?
Il Rapporto Clusit è il principale documento di riferimento sulla cybersecurity italiana e internazionale, pubblicato annualmente dall’Associazione Italiana per la Sicurezza Informatica (Clusit). L’edizione 2026, relativa ai dati del 2025, è stata presentata ad aprile 2026 ed è disponibile sul sito clusit.it.
Quali settori italiani sono più esposti agli attacchi informatici?
In base ai dati Clusit 2026 e TIM 2026, i settori più colpiti in Italia sono la pubblica amministrazione (46% dei casi SOC rilevati), seguita da manifatturiero (+79% globale), servizi professionali, telecomunicazioni e trasporti. Finanza e assicurazioni sono obiettivi ad alto valore per i gruppi ransomware.
Quanto ha investito l’Italia in cybersecurity nel 2025?
Il governo italiano ha stanziato 77 milioni di dollari per la cybersecurity nel 2025, nell’ambito di un programma complessivo da 2,2 miliardi. Il mercato privato italiano della cybersecurity ha raggiunto i 2,7 miliardi di euro nel 2024 (+15%), ma la spesa rimane concentrata nelle grandi imprese e nella PA centrale, con una diffusione ancora limitata tra le PMI.
Cosa prevede la NIS2 per le aziende italiane colpite da un attacco?
La direttiva NIS2, recepita in Italia nel 2024, impone alle organizzazioni nel perimetro obbligatorio di notificare gli incidenti significativi all’ACN entro 72 ore dalla scoperta, con una comunicazione preliminare entro 24 ore. Le sanzioni per la mancata notifica possono raggiungere i 10 milioni di euro o il 2% del fatturato mondiale, a seconda della categoria dell’entità.
