Il rapporto ENISA Threat Landscape 2025, pubblicato dall’Agenzia dell’Unione europea per la cibersicurezza, fotografa un continente sotto pressione costante. Tra luglio 2024 e giugno 2025 l’agenzia ha analizzato circa 4.900 incidenti selezionati e curati, una mole di dati che ridisegna la mappa delle minacce informatiche in Europa. I numeri raccontano una stagione in cui l’attivismo digitale ha superato per volume la criminalità tradizionale, il phishing resta la porta d’ingresso preferita e l’intelligenza artificiale accelera la produzione di campagne offensive. Questa analisi, aggiornata al 12 giugno 2026, mette in fila le cifre, il contesto italiano e le conseguenze per imprese e amministrazioni.
ENISA Threat Landscape 2025: la mappa delle minacce informatiche in Europa
L’ENISA Threat Landscape 2025 è il documento di riferimento con cui l’Unione europea misura ogni anno lo stato della propria sicurezza digitale. Il rapporto copre il periodo che va da luglio 2024 a giugno 2025 e si basa su un campione di circa 4.900 incidenti raccolti da fonti pubbliche, segnalazioni nazionali e attività di intelligence. Non si tratta del totale assoluto degli attacchi avvenuti nel continente, impossibile da contare con precisione, ma di un insieme verificato e classificato che funziona come termometro affidabile.
La lettura d’insieme conferma una tendenza che gli analisti osservano da due anni: gli attacchi non colpiscono più solo le grandi imprese, ma puntano in modo crescente sulle infrastrutture pubbliche e sui servizi essenziali. La pubblica amministrazione risulta il bersaglio numero uno, con il 38% degli incidenti registrati. Le minacce informatiche in Europa non sono quindi un problema confinato al settore privato, riguardano direttamente i cittadini e la continuità dei servizi statali.
4.900 incidenti analizzati: cosa dicono davvero i numeri ENISA
Dietro la cifra di 4.900 incidenti si nasconde una struttura precisa. ENISA classifica gli eventi per vettore di accesso iniziale, per categoria di minaccia e per settore colpito. Questa triplice classificazione permette di capire non solo quanti attacchi avvengono, ma soprattutto come iniziano e dove fanno più danni. La tabella seguente riassume gli indicatori principali del rapporto.
| Indicatore | Valore | Cosa misura |
|---|---|---|
| Incidenti analizzati | ~4.900 | periodo luglio 2024 – giugno 2025 |
| Settore più colpito | Pubblica amministrazione (38%) | quota sugli incidenti registrati |
| Hacktivismo | ~80% | quota sugli incidenti registrati |
| Phishing | 60% | vettore di intrusione primario |
| Sfruttamento di vulnerabilità | 21,3% | vettore di accesso iniziale |
| Minacce web | 27,3% | categoria di minaccia |
| Minacce alla tecnologia operativa (OT) | 18,2% | categoria di minaccia |
| Rischi della catena di fornitura | 10,6% | categoria di minaccia |
| Phishing potenziato dall’IA | oltre 80% | dell’ingegneria sociale osservata a livello globale (inizio 2025) |
Hacktivismo: l’80% degli incidenti ha una matrice ideologica
Il dato più sorprendente del rapporto riguarda l’hacktivismo. Secondo ENISA, l’attivismo digitale rappresenta quasi l’80% degli incidenti registrati nel periodo. La cifra va letta con attenzione: la maggior parte di questi attacchi consiste in azioni a basso impatto tecnico, soprattutto campagne di negazione del servizio (DDoS) che mettono offline siti istituzionali per poche ore. Il loro peso sul volume totale è enorme, l’impatto economico per singolo episodio resta invece contenuto.
La spiegazione è geopolitica. Le tensioni internazionali, in particolare il conflitto in Ucraina e le crisi mediorientali, hanno trasformato i gruppi hacktivisti in strumenti di pressione e propaganda. Colpire un portale ministeriale europeo costa poco, genera titoli sui giornali e serve a inviare un messaggio politico. Per questo le minacce informatiche in Europa hanno assunto una dimensione sempre più dichiaratamente ideologica.
Phishing al 60%, la porta d’ingresso ancora preferita
Se l’hacktivismo domina per numero, il phishing domina come tecnica di intrusione. ENISA indica il phishing come vettore primario nel 60% dei casi analizzati. La posta elettronica ingannevole resta lo strumento più economico e più efficace per ottenere un primo accesso, perché sfrutta l’errore umano invece di una falla tecnica. Lo sfruttamento diretto di vulnerabilità software, pur in crescita, si ferma al 21,3% degli accessi iniziali. Chi vuole difendersi deve quindi investire tanto nella formazione del personale quanto negli aggiornamenti di sistema. Approfondiamo questo punto nella nostra guida al phishing nel browser.
La pubblica amministrazione nel mirino: il 38% degli attacchi
Con il 38% degli incidenti, la pubblica amministrazione è il bersaglio più colpito del 2025. La ragione è duplice. Da un lato, gli enti pubblici gestiscono dati sensibili di milioni di cittadini, dalle cartelle cliniche ai redditi, un patrimonio prezioso per chiunque voglia rivenderlo o usarlo per ricatti. Dall’altro, molte amministrazioni operano ancora con sistemi datati, budget limitati e personale tecnico insufficiente, una combinazione che le rende relativamente facili da colpire.
L’effetto a catena preoccupa più del singolo furto di dati. Quando un comune o un ospedale subisce un attacco, a fermarsi sono servizi reali: prenotazioni, certificati, pagamenti, in alcuni casi le cure. La direttiva europea NIS2 nasce proprio per alzare l’asticella della protezione negli enti essenziali. Abbiamo analizzato obblighi e sanzioni nel dettaglio nell’articolo dedicato alla direttiva NIS2 in Italia.
L’intelligenza artificiale riscrive le regole del phishing
Uno dei segnali più chiari del rapporto riguarda il ruolo dell’intelligenza artificiale generativa. ENISA stima che, già all’inizio del 2025, oltre l’80% dell’attività di ingegneria sociale osservata a livello globale facesse uso di phishing potenziato dall’IA. I modelli linguistici consentono di scrivere email perfette in italiano, tedesco o francese, senza gli errori grammaticali che un tempo tradivano la truffa. Il risultato è che la regola classica del “diffida dai messaggi scritti male” non funziona più.
L’automazione cambia anche la scala. Un singolo aggressore può generare migliaia di varianti personalizzate di un messaggio, ognuna costruita sul profilo della vittima ricavato dai social network. A questo si aggiunge la minaccia dei deepfake vocali, usati per impersonare dirigenti e autorizzare bonifici fraudolenti. Le minacce informatiche in Europa entrano così in una fase in cui la qualità dell’inganno cresce più in fretta della capacità media di riconoscerlo.
Ransomware, la minaccia che si frammenta
Il ransomware resta al centro dell’attività criminale, ma cambia forma. Secondo ENISA, la pressione delle forze dell’ordine, con operazioni internazionali che hanno smantellato infrastrutture di gruppi noti, ha spinto i criminali a decentralizzare le operazioni. Al posto di poche grandi bande gerarchiche si moltiplicano affiliati più piccoli e mobili, che cambiano marchio con facilità per sfuggire alle indagini.
Cambia anche la tattica di estorsione. La semplice cifratura dei dati non basta più: gli aggressori rubano le informazioni prima di bloccarle e minacciano di pubblicarle, una pratica nota come doppia estorsione. In alcuni casi si arriva alla tripla estorsione, con contatti diretti a clienti e partner della vittima per aumentare la pressione. In Italia il fenomeno ha numeri precisi, raccolti nel nostro approfondimento sul ransomware in Italia secondo Clusit.
L’Italia nel contesto europeo: i numeri dell’ACN
Il quadro europeo trova un riscontro diretto nei dati italiani. La sintesi operativa dell’Agenzia per la Cybersicurezza Nazionale (ACN), nei suoi bollettini mensili, restituisce l’intensità del fenomeno sul territorio. Nel mese di aprile 2025, per esempio, la rendicontazione operativa ha registrato 163 eventi cyber, con 260 vittime confermate e 426 asset potenzialmente compromessi. Gli attacchi ransomware nel solo mese sono stati 24. Tra i settori citati tra i colpiti figura quello dei trasporti e della logistica.
| Indicatore (aprile 2025) | Valore |
|---|---|
| Eventi cyber registrati | 163 |
| Vittime confermate | 260 |
| Asset potenzialmente compromessi | 426 |
| Attacchi ransomware nel mese | 24 |
| Settore citato tra i colpiti | Trasporti e logistica |
Questi numeri vanno letti per quello che sono, una fotografia mensile e non un totale annuale. Indicano però una cadenza sostenuta: decine di vittime confermate e una ventina di episodi ransomware al mese descrivono un Paese in cui l’allarme è permanente. La coerenza con il dato europeo è evidente, dalla prevalenza degli attacchi alle infrastrutture al peso del ransomware sul tessuto produttivo.
Quando le istituzioni europee diventano bersaglio diretto
Il 2026 ha portato il problema fin dentro le sedi delle istituzioni dell’Unione. Il 24 marzo 2026 la Commissione europea ha dichiarato di essere stata colpita da un attacco informatico che ha interessato l’infrastruttura cloud su cui poggia la piattaforma web Europa. Le prime analisi hanno indicato segnali di esfiltrazione di dati. La Commissione ha comunicato di aver contenuto la violazione entro nove ore, un tempo di reazione che mostra quanto la velocità di risposta sia diventata la vera misura della resilienza.
Non era un caso isolato. A febbraio 2026 la stessa Commissione europea, insieme all’autorità olandese per la protezione dei dati e al Consiglio giudiziario dei Paesi Bassi, aveva confermato di essere stata violata sfruttando vulnerabilità zero-day critiche in Ivanti Endpoint Manager Mobile. Lo stesso prodotto è al centro della campagna che abbiamo documentato nell’analisi sull’attacco Ivanti del 2026. La lezione è netta: le infrastrutture di gestione remota dei dispositivi sono diventate un bersaglio strategico, perché chi le controlla controlla l’intera flotta aziendale.
Impatto sul mercato della cybersicurezza europea
La pressione descritta da ENISA si traduce in domanda di mercato. Le imprese europee, spinte anche dai nuovi obblighi normativi, stanno aumentando la spesa in difesa, in particolare in tre aree: rilevamento e risposta gestiti, sicurezza delle identità e protezione della catena di fornitura. Quest’ultimo punto è cruciale, perché il 10,6% degli incidenti analizzati passa proprio dai fornitori, l’anello che molte organizzazioni controllano meno.
Per le aziende italiane il nodo è strutturale. La carenza di personale qualificato resta il principale freno alla difesa, e spinge molte realtà verso servizi gestiti esterni piuttosto che verso team interni. Cresce anche l’interesse per l’assicurazione cyber, che però richiede requisiti minimi di sicurezza sempre più stringenti per essere sottoscritta. Il mercato, in altre parole, premia chi può dimostrare di avere già le difese di base, dall’autenticazione a più fattori al backup verificato.
NIS2 e Cyber Resilience Act: la risposta normativa europea
L’Unione europea ha scelto di rispondere alle minacce informatiche in Europa con la leva della regolamentazione. La direttiva NIS2 estende gli obblighi di sicurezza a migliaia di soggetti considerati essenziali o importanti, dall’energia alla sanità, dai trasporti alla pubblica amministrazione, con sanzioni che possono raggiungere milioni di euro per le imprese inadempienti. L’obiettivo è trasformare la sicurezza da costo opzionale a requisito di legge.
A questa si affianca il Cyber Resilience Act, che sposta l’attenzione sui prodotti: dispositivi e software venduti nell’Unione dovranno rispettare requisiti di sicurezza fin dalla progettazione e ricevere aggiornamenti per tutto il loro ciclo di vita. La combinazione delle due norme costruisce un perimetro comune europeo. La sfida, come sempre, è la capacità di applicarle davvero, perché il rischio è che gli obblighi restino sulla carta mentre gli attacchi corrono.
Confronto: come si posiziona l’Europa rispetto al resto del mondo
Il profilo europeo ha caratteristiche proprie. Mentre negli Stati Uniti il dibattito ruota soprattutto attorno al ransomware contro le grandi aziende e alle infrastrutture critiche, in Europa il peso dell’hacktivismo a sfondo geopolitico è nettamente superiore. La prossimità ai teatri di conflitto e la presenza delle istituzioni dell’Unione rendono il continente un bersaglio simbolico oltre che economico.
C’è poi una differenza di approccio. L’Europa punta in modo deciso sulla regolamentazione orizzontale, NIS2 e Cyber Resilience Act ne sono la prova, mentre altri sistemi privilegiano linee guida settoriali e incentivi di mercato. Questa scelta ha un vantaggio, fissa standard minimi comuni, e un costo, la complessità di adeguamento per le piccole e medie imprese, che in Italia rappresentano la spina dorsale del sistema produttivo.
Cosa possono fare adesso le aziende e le amministrazioni italiane
I dati ENISA suggeriscono priorità concrete. Visto che il phishing apre il 60% degli attacchi, la prima difesa è umana e organizzativa: formazione continua, simulazioni di attacco e procedure chiare per verificare richieste sospette di pagamento o di accesso. Subito dopo viene l’autenticazione a più fattori, che neutralizza gran parte delle credenziali rubate, e la gestione tempestiva delle patch, dato che oltre un quinto degli accessi iniziali sfrutta vulnerabilità note.
- Attivare l’autenticazione a più fattori su tutti gli accessi privilegiati e remoti.
- Mantenere backup offline verificati e testare regolarmente il ripristino.
- Applicare le patch critiche entro pochi giorni dalla pubblicazione, soprattutto su VPN e strumenti di gestione dei dispositivi.
- Segmentare la rete per limitare i movimenti laterali dopo una compromissione.
- Verificare la sicurezza dei fornitori, responsabili del 10,6% degli incidenti.
- Predisporre un piano di risposta agli incidenti e provarlo con esercitazioni periodiche.
Nessuna di queste misure è esotica o costosa rispetto al danno di una violazione. La velocità di contenimento dimostrata dalla Commissione europea, nove ore, nasce esattamente da procedure preparate in anticipo. La differenza tra un incidente gestito e una crisi conclamata sta quasi sempre nella preparazione precedente, non nella tecnologia adottata durante l’emergenza.
Cinque previsioni per il panorama cyber europeo 2026-2027
Sulla base dei trend documentati da ENISA e degli incidenti del 2026, ecco cinque scenari plausibili per i prossimi diciotto mesi. Sono proiezioni analitiche, non dati certi, e vanno trattate come ipotesi di lavoro.
| Previsione | Implicazione |
|---|---|
| L’hacktivismo a sfondo geopolitico resterà la prima minaccia per volume | i siti istituzionali subiranno ondate di DDoS legate alle crisi internazionali |
| Il phishing generato dall’IA renderà inefficaci i vecchi segnali di allerta | la formazione dovrà spostarsi dalla grammatica alla verifica dei processi |
| Gli attacchi alla catena di fornitura cresceranno oltre il 10,6% attuale | la due diligence sui fornitori diventerà requisito contrattuale standard |
| Le sanzioni NIS2 produrranno i primi casi concreti in Europa | la conformità passerà da adempimento formale a priorità di bilancio |
| La velocità di risposta diventerà la metrica chiave di resilienza | aumenterà la domanda di servizi di rilevamento e risposta gestiti |
Domande frequenti sulle minacce informatiche in Europa
Che cos’è l’ENISA Threat Landscape 2025?
È il rapporto annuale dell’Agenzia dell’Unione europea per la cibersicurezza che analizza lo stato delle minacce digitali nel continente. L’edizione 2025 copre il periodo luglio 2024 – giugno 2025 e si basa su circa 4.900 incidenti selezionati e classificati.
Qual è oggi la minaccia informatica più diffusa in Europa?
Per volume di incidenti, l’hacktivismo, che secondo ENISA rappresenta quasi l’80% dei casi registrati, soprattutto sotto forma di attacchi DDoS. Per impatto economico restano più gravi ransomware e furto di dati, mentre il phishing è la tecnica con cui inizia il 60% delle intrusioni.
Quale settore è più colpito dagli attacchi informatici?
La pubblica amministrazione, con il 38% degli incidenti analizzati nel rapporto ENISA 2025. Gli enti pubblici gestiscono dati sensibili e spesso operano con sistemi datati, una combinazione che li rende un bersaglio privilegiato.
L’intelligenza artificiale ha reso il phishing più pericoloso?
Sì. ENISA stima che già all’inizio del 2025 oltre l’80% dell’ingegneria sociale osservata a livello globale sfruttasse phishing potenziato dall’IA. I messaggi sono ora grammaticalmente corretti e personalizzati, quindi più difficili da riconoscere.
Come può difendersi una piccola impresa italiana?
Le priorità sono autenticazione a più fattori, aggiornamento rapido dei software, backup offline verificati e formazione del personale contro il phishing. Sono misure a basso costo che neutralizzano la maggior parte degli attacchi descritti da ENISA.
Cosa cambia con la direttiva NIS2 e il Cyber Resilience Act?
NIS2 impone obblighi di sicurezza e segnalazione a migliaia di soggetti essenziali, con sanzioni fino a milioni di euro. Il Cyber Resilience Act estende i requisiti ai prodotti digitali venduti nell’Unione, dalla progettazione fino agli aggiornamenti per tutto il ciclo di vita.
Related Coverage
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto [2026]
- Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita [2026]
- Phishing nel Browser: +140% e 20% Sfugge [2026]
- Ransomware Aeroporti UE: 217 Voli, 1,5M Dati [2026]
- Sicurezza online: violazioni, password, HTTPS e phishing
