Il Cyber Security Report 2026, presentato il 9 giugno 2026 alla Camera dei Deputati da TIM e dalla Fondazione per la Sicurezza Informatica, fotografa un 2025 in cui la pressione delle minacce informatiche sull’Italia non ha precedenti. Gli attacchi ransomware nel paese sono cresciuti del 14% rispetto al 2024, con 166 casi rivendicati. A livello globale la stessa categoria ha registrato un incremento del 42%. Il 46% degli eventi DDoS che colpiscono aziende e istituzioni italiane prende di mira il settore governativo. Oltre il 50% dell’attività di sfruttamento delle vulnerabilità è attribuito ad attori sponsorizzati da Stati. E, a rendere il quadro ancora più critico, solo il 3,9% delle imprese italiane dichiara di conoscere la Direttiva NIS2 in modo dettagliato.
Il report, giunto alla sua seconda edizione, è prodotto con il contributo del Centro Studi TIM e si avvale degli approfondimenti di Insikt Group, l’unità di threat intelligence di Recorded Future, per offrire una lettura comparata del rischio cyber a livello internazionale. I dati combinano le rilevazioni dei sistemi di difesa del Gruppo TIM con l’analisi di migliaia di incidenti pubblicamente noti. Il risultato è il documento più organico disponibile oggi sul panorama della sicurezza informatica in Italia.
Il Quadro Generale: Pressione in Accelerazione su Tutti i Fronti
Il 2025 ha confermato una tendenza strutturale: il cybercrimine non è più un fenomeno episodico ma una minaccia sistemica, capace di colpire qualsiasi settore con strumenti sempre più accessibili e automatizzati. Secondo il report TIM, tre dinamiche dominano il panorama attuale. Prima: gli attacchi DDoS diventano più concentrati e prendono di mira obiettivi sensibili con precisione crescente. Seconda: il ransomware accelera su scala globale, sostenuto da un ecosistema Ransomware-as-a-Service che abbassa le barriere di ingresso per i criminali. Terza: le vulnerabilità assumono rilevanza strategica, con oltre il 50% dell’attività di exploitation attribuita a gruppi legati a governi stranieri.
L’intelligenza artificiale gioca un ruolo trasversale in questo scenario: amplifica la velocità e la scala di alcune categorie di attacchi, in particolare il phishing e la produzione di malware polimorfici, ma al tempo stesso potenzia gli strumenti difensivi. Il report TIM inquadra l’AI come “un driver chiave di trasformazione” che richiede un aggiornamento urgente delle strategie di sicurezza da parte delle organizzazioni italiane.
Il costo globale del cybercrimine è proiettato a 10.500 miliardi di dollari nel 2026, secondo le stime di ORDR Research. Il costo medio di una singola violazione dei dati ha raggiunto 4,88 milioni di dollari a livello mondiale. Le organizzazioni impiegano in media 277 giorni per identificare e contenere un incidente. Questi numeri definiscono il perimetro economico entro cui opera il report TIM quando parla di “pressione crescente sulle infrastrutture italiane”.
Ransomware in Italia: 166 Casi nel 2025, il Nord-Ovest nel Mirino
Con 166 attacchi ransomware rivendicati nel corso del 2025, l’Italia registra un incremento del 14% rispetto all’anno precedente. Un dato che, letto in isolamento, potrebbe sembrare contenuto. Nel contesto globale, però, rappresenta una delle crescite più significative tra i paesi dell’Europa occidentale. Il report TIM identifica una concentrazione geografica precisa: circa quattro incidenti su dieci si sono verificati nel Nord-Ovest del paese, con la Lombardia responsabile di oltre il 30% del totale nazionale.
La Concentrazione Geografica: Lombardia Sopra il 30%
La Lombardia è la regione italiana con la più alta densità di aziende manifatturiere, logistiche e finanziarie del paese. Questa concentrazione di infrastrutture produttive la rende il bersaglio preferito dei gruppi ransomware che puntano alla massima leva estorsiva. Il modello operativo prevalente è il “double extortion”: cifratura dei dati combinata con furto e minaccia di pubblicazione. Le PMI lombarde, spesso prive di team di sicurezza dedicati e con sistemi IT datati, sono le vittime più frequenti.
Il dato geografico del report TIM è coerente con quanto già documentato dal Clusit nel suo Rapporto 2026. Le due fonti usano metodologie diverse, ma convergono sulla stessa diagnosi: il Nord Italia è il cuore pulsante del rischio ransomware nazionale. Secondo il rapporto Elmec Data Gathering 2026, in tutta Italia nel 2025 sono state registrate oltre 3.600 campagne di phishing, molte delle quali costituivano il vettore iniziale di infezioni ransomware successive.
| Indicatore | Italia 2024 | Italia 2025 | Variazione |
|---|---|---|---|
| Attacchi ransomware rivendicati | ~146 | 166 | +14% |
| Campagne phishing in Italia | N/D | 3.600+ | N/D |
| Incidenti nel Nord-Ovest sul totale | ~35% | ~40% | +5 pp |
| Quota Lombardia sul totale nazionale | ~27% | >30% | +3 pp |
| DDoS su settore governo (% del totale) | ~38% | 46% | +8 pp |
| Exploit attribuiti ad attori statali | <40% | >50% | +10+ pp |
Fonti: TIM e Fondazione per la Sicurezza Informatica, Cyber Security Report 2026 (9 giugno 2026); Elmec Data Gathering 2026.
La Dimensione Globale: +42% di Ransomware e 7.000 Attacchi nel 2025
Sul piano internazionale, il 2025 è stato l’anno del consolidamento del ransomware come industria strutturata. A livello globale, i report di settore documentano oltre 7.000 attacchi ransomware, con un incremento del 42% sul 2024. I gruppi più attivi hanno ampliato i modelli di triple extortion, aggiungendo la minaccia di attacchi DDoS alle organizzazioni già colpite per aumentare ulteriormente la pressione estorsiva.
Il report TIM si avvale dei dati di Insikt Group di Recorded Future per contestualizzare questa crescita a livello internazionale. Il team di threat intelligence di Recorded Future monitora decine di forum clandestini e leak site attivi nel dark web, e identifica una tendenza chiara: il numero di gruppi ransomware attivi è cresciuto del 49% rispetto all’anno precedente, stando al rapporto IBM X-Force 2026, mentre il numero di vulnerabilità nuove pubblicate nel 2025 ha raggiunto 48.000 (fonte: Elmec Data Gathering 2026), contro le 33.524 del periodo luglio 2023-luglio 2024 documentate da ENISA.
“Il panorama delle minacce si è evoluto in modo tale che anche organizzazioni con buone pratiche di sicurezza si trovano esposte a rischi significativi,” si legge nell’analisi di Insikt Group integrata nel report TIM. “La combinazione di AI generativa accessibile, mercati criminali organizzati e vulnerabilità nei sistemi legacy ha abbassato il costo di un attacco sofisticato a livelli senza precedenti.”
La spesa globale in sicurezza informatica ha raggiunto 183,9 miliardi di dollari nel 2026, un incremento del 15% rispetto all’anno precedente. Questo dato, documentato da ORDR Research, testimonia che l’aumento degli investimenti in difesa non riesce ancora a tenere il passo con la crescita della superficie di attacco. Il numero di account violati a livello globale nel 2025 ha superato i 425 milioni, secondo il Data Gathering 2026 di Elmec.
DDoS: il 46% dei Colpi Mira alle Istituzioni Governative Italiane
Gli attacchi DDoS (Distributed Denial of Service) in Italia nel 2025 hanno cambiato natura: non sono più atti dimostrativi generici, ma strumenti mirati contro obiettivi strategici. Il 46% degli eventi DDoS che colpiscono aziende e istituzioni italiane prende di mira il settore governativo. Ministeri, agenzie pubbliche, portali di servizi digitali e piattaforme di trasporto urbano nelle principali città sono stati i bersagli più frequenti.
Questa concentrazione non è casuale. I gruppi hacktivisti filo-russi e filo-palestinesi, già attivi nel 2024, hanno intensificato le campagne contro l’Italia in risposta alle posizioni del governo italiano sui conflitti internazionali. Nel gennaio 2025, come documentato dal CSIS (Center for Strategic and International Studies), un gruppo hacktivista filo-russo ha rivendicato attacchi ai siti di ministeri italiani e alle piattaforme di trasporto pubblico a Roma e Palermo, citando esplicitamente il sostegno di Roma a Kiev come motivazione.
Il report TIM registra che gli attacchi DDoS stanno diventando “più concentrati” e “sempre più mirati verso obiettivi sensibili”, con una sofisticazione crescente che richiede capacità di mitigazione proporzionalmente avanzate. I servizi di DDoS-for-Hire disponibili sui mercati clandestini permettono anche ad attori non tecnici di lanciare campagne sostenute contro obiettivi specifici per poche centinaia di euro. La crescita del settore DDoS-for-Hire è guidata in particolare da botnet composte da dispositivi residenziali e mobili compromessi, sempre più difficili da distinguere dal traffico legittimo.
Attori Statali: Oltre il 50% degli Exploit è Sponsorizzato da Governi
Una delle rilevazioni più significative del Cyber Security Report 2026 riguarda la composizione degli attori che sfruttano le vulnerabilità: più del 50% dell’attività di exploitation attribuita nel 2025 è riconducibile a gruppi sponsorizzati da governi stranieri. Questo dato posiziona l’Italia, e l’Europa in generale, al centro di una guerra cibernetica a bassa intensità ma ad alta continuità.
I principali attori statali attivi contro obiettivi europei e italiani includono gruppi affiliati alla Russia (APT28, noto anche come Fancy Bear, e APT29), alla Cina (Salt Typhoon, Volt Typhoon) e all’Iran (MuddyWater). Nel gennaio 2026, il gruppo APT28 ha condotto la campagna “Operation Neusploit”, che ha preso di mira paesi dell’Europa centrale e orientale con catene di infezione multi-stadio per la distribuzione di backdoor persistenti, come documentato dal CSIS.
Salt Typhoon, il gruppo cinese specializzato in spionaggio su infrastrutture di telecomunicazione, ha colpito IBM Italia nel 2026, con due settimane di accesso non autorizzato a sistemi connessi a INPS e INAIL. Questi episodi confermano il pattern identificato nel report TIM: le infrastrutture critiche italiane sono bersagli deliberati di campagne statali con obiettivi di intelligence e, in alcuni scenari, di pre-posizionamento per operazioni future.
Eugenio Santagata, responsabile della sicurezza pubblica e delle relazioni istituzionali di TIM, ha commentato la presentazione del report alla Camera: “I dati che presentiamo oggi confermano che la minaccia cyber non è più un problema tecnico ma una questione di sicurezza nazionale. Le imprese italiane devono comprendere che investire in cybersecurity significa proteggere la competitività del paese.”
Intelligenza Artificiale: Acceleratore di Minacce e Strumento di Difesa
AI Offensiva vs AI Difensiva: Il Nuovo Equilibrio
Il Cyber Security Report 2026 identifica l’intelligenza artificiale come “un driver chiave di trasformazione” con effetti sia sulla superficie di attacco che sugli strumenti difensivi. Sul versante offensivo, l’AI generativa permette la creazione di campagne di phishing altamente personalizzate a costi marginali, la produzione di malware polimorfico in grado di eludere i sistemi di detection basati su signature, e la generazione di deepfake audio e video per attacchi Business Email Compromise (BEC) di nuova generazione.
Il rapporto del World Economic Forum Global Cybersecurity Outlook 2026 evidenzia che le perdite di dati associate all’AI generativa (34%) e l’avanzamento delle capacità avversariali potenziate dall’AI (29%) sono le due preoccupazioni principali per il 2026. Il cambio rispetto al 2025 è marcato: nel 2025, l’avanzamento delle capacità avversariali era in cima alla lista al 47%, mentre le perdite di dati legate all’AI generativa si attestavano al 22%. Questo cambio di priorità segnala una svolta: le organizzazioni temono ora più la perdita di controllo sui propri dati attraverso strumenti AI interni che non la minaccia esterna di attaccanti più sofisticati.
Sul versante difensivo, le piattaforme XDR (Extended Detection and Response) basate su AI stanno riducendo il tempo medio di detection degli incidenti. I sistemi di analisi comportamentale (UEBA) alimentati da modelli di machine learning identificano anomalie che sfuggono alle regole statiche. Il report TIM sottolinea che “l’AI rafforza gli strumenti di analisi e difesa”, ma avverte che questo rafforzamento è efficace solo se accompagnato da investimenti adeguati in competenze umane specializzate.
L’analisi di Insikt Group inserita nel report TIM evidenzia una tendenza critica: i gruppi ransomware più sofisticati usano già AI per ottimizzare le campagne di spear-phishing, identificando automaticamente i profili dei dipendenti IT target e costruendo messaggi credibili con dettagli contestuali precisi. Questo abbassa drasticamente il tasso di fallimento degli attacchi iniziali, con alcune campagne che raggiungono tassi di click superiori al 30% rispetto al 5-8% tipico del phishing tradizionale.
NIS2 in Italia: il 96,1% delle Aziende Non la Conosce Davvero
Il dato sulla conoscenza della Direttiva NIS2 tra le imprese italiane è probabilmente la rilevazione più allarmante del report. Secondo il sondaggio condotto da Format Research per il Cyber Security Report 2026, il 62,2% delle aziende afferma spontaneamente di conoscere la NIS2, un tasso apparentemente rassicurante. Il quadro cambia radicalmente quando si analizzano i dettagli: solo il 24,5% dichiara una familiarità almeno parziale con i contenuti della direttiva, e appena il 3,9% afferma di conoscerla in modo “dettagliato”. Il 13,3% non sa nemmeno se la conosce.
Il Divario tra Consapevolezza Dichiarata e Conoscenza Reale
Questo divario tra consapevolezza dichiarata (62,2%) e conoscenza effettiva (3,9%) è sintomatico di un problema strutturale nella compliance italiana. La NIS2, recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024 ed entrata in vigore il 16 ottobre 2024, obbliga migliaia di organizzazioni nei settori critici ad adottare misure di sicurezza specifiche, segnalare gli incidenti entro 24 ore e documentare i rischi della catena di fornitura.
L’ACN (Agenzia per la Cybersicurezza Nazionale) avvierà le ispezioni formali a partire da ottobre 2026, con sanzioni che possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti “essenziali”. La maggior parte delle 20.000 aziende che secondo l’ACN ricadono nell’ambito di applicazione della NIS2 non ha ancora completato il processo di registrazione e adeguamento.
Il sondaggio Format Research, commissionato specificamente per questo report, ha intervistato un campione rappresentativo di imprese italiane di diverse dimensioni e settori. I risultati mostrano che la conoscenza della NIS2 è inversamente proporzionale alle dimensioni aziendali: le grandi imprese e le multinazionali hanno livelli di familiarità significativamente più alti, mentre le PMI, che costituiscono il 99% del tessuto produttivo italiano, sono quelle più esposte al rischio di non conformità.
| Livello di conoscenza NIS2 | Percentuale aziende italiane | Rischio compliance |
|---|---|---|
| Conoscenza dettagliata | 3,9% | Basso |
| Conoscenza parziale | 24,5% | Medio |
| Conoscenza dichiarata ma non verificata | 62,2% | Alto |
| Incerto o non sa | 13,3% | Critico |
| Aziende soggette a NIS2 (stima ACN) | ~20.000 | Ispezioni da ottobre 2026 |
| Sanzione massima (soggetti essenziali) | 10M EUR o 2% fatturato | In vigore da ottobre 2024 |
Fonti: TIM e Fondazione per la Sicurezza Informatica, Cyber Security Report 2026; Format Research; D.Lgs. n. 138/2024; ACN.
Andrea Chittaro, presidente del CISO Forum Italia, ha commentato questi dati con preoccupazione: “Un’azienda che pensa di conoscere la NIS2 ma non l’ha mai letta in modo strutturato è più pericolosa di una che ammette di non conoscerla. La falsa consapevolezza crea una sicurezza illusoria che porta a ritardare gli investimenti necessari fino a quando l’ispezione ACN o un incidente reale non forzano la mano.”
Il Mercato della Cybersecurity Italiana: 4,65 Miliardi nel 2026
L’intensificazione delle minacce sta alimentando una crescita robusta del mercato della cybersecurity in Italia. Secondo le stime di Mordor Intelligence, il mercato italiano vale 4,65 miliardi di dollari nel 2026 e crescerà con un CAGR del 12,78% fino a raggiungere 8,48 miliardi di dollari entro il 2031. La componente dei servizi di Managed Detection and Response (MDR) registra la crescita più rapida, con un CAGR del 13,95%.
Questa espansione riflette la crescente consapevolezza delle imprese italiane. Tuttavia, come dimostrano i dati del report TIM sulla NIS2, questa consapevolezza è ancora lontana dalla maturità operativa necessaria. Gli investimenti maggiori provengono da banche, assicurazioni e infrastrutture critiche, che per effetto della NIS2 e del Regolamento DORA (Digital Operational Resilience Act) hanno obblighi di compliance ben definiti e scadenze ravvicinate.
La spesa pubblica in cybersecurity è in crescita grazie agli investimenti del Piano Nazionale di Ripresa e Resilienza (PNRR), che destina risorse significative alla digitalizzazione sicura della pubblica amministrazione. Tuttavia, la competizione per le risorse umane specializzate rimane il principale collo di bottiglia: l’Italia conta circa 100.000 professionisti della cybersecurity, a fronte di una domanda stimata che supera i 150.000. Questo gap di competenze non si colmerà nel breve periodo, rendendo i servizi MDR gestiti da terzi la soluzione prioritaria per la maggioranza delle organizzazioni italiane.
Confronto con i Principali Report di Settore: Clusit, ENISA, Elmec
Il Cyber Security Report 2026 di TIM non opera in isolamento. Tre altri report pubblicati tra il 2025 e il 2026 permettono di triangolare i dati e costruire un quadro più completo della situazione italiana ed europea.
Il Rapporto Clusit 2026 documenta 507 attacchi significativi contro obiettivi italiani nel 2025, con l’Italia che diventa per la prima volta il paese europeo più colpito in proporzione al PIL. Il dato Clusit e il dato TIM usano metodologie diverse: il Clusit include tutte le categorie di attacchi documentati pubblicamente, mentre il report TIM si concentra su ransomware e DDoS rilevati direttamente dai sistemi del Gruppo. I due report sono complementari, non sostitutivi.
L’ENISA Threat Landscape 2024 registra 454 incidenti nel settore dei trasporti UE nel periodo luglio 2023-luglio 2024, confermando il trasporto come secondo settore più colpito nell’UE con l’11% del totale. Il report TIM aggiunge la prospettiva italiana su come queste minacce si concretizzano a livello nazionale, con la specificità del dato geografico su Lombardia e Nord-Ovest.
Il report Elmec Data Gathering 2026 quantifica un aumento del 48% dell’attività malevola globale nel 2025, con 48.000 nuovi CVE pubblicati nell’anno. Questo dato sulle vulnerabilità è particolarmente rilevante: la crescita geometrica del numero di falle note supera di gran lunga la capacità delle organizzazioni di applicare patch in tempi ragionevoli, creando un accumulo di debito tecnico di sicurezza che gli attaccanti sfruttano sistematicamente.
La sintesi di questi quattro report costruisce un’immagine coerente: l’Italia affronta una minaccia cyber crescente su tutti i fronti, con risorse di difesa ancora insufficienti rispetto all’esposizione, e con una consapevolezza regolamentare (NIS2) drammaticamente bassa nelle fasce di impresa più vulnerabili.
Impatto sul Mercato e sui Modelli di Difesa Aziendali
Le implicazioni del Cyber Security Report 2026 per le organizzazioni italiane si traducono in decisioni concrete di investimento e di governance. Il modello di difesa perimetrale tradizionale, basato su firewall e antivirus, è stato superato dagli attacchi moderni che sfruttano credenziali compromesse e vulnerabilità nelle applicazioni web. La risposta del mercato italiano si articola su quattro direttrici.
Zero Trust come standard operativo. Sempre più organizzazioni italiane stanno abbandonando la logica “fidati ma verifica” a favore del principio “non fidarti mai, verifica sempre”. Questo significa autenticazione continua, segmentazione della rete e accesso minimo privilegiato per ogni utente e dispositivo. Le grandi imprese italiane con operazioni internazionali hanno già avviato trasformazioni Zero Trust pluriennali, spinte anche dai requisiti NIS2 sulla gestione degli accessi.
Crescita dei SOC gestiti. Le PMI, impossibilitate a mantenere team di sicurezza interni attivi 24 ore su 24, stanno affidando la gestione degli alert e la risposta agli incidenti a fornitori di Managed Security Services (MSSP). TIM stessa è uno dei principali operatori in questo segmento: il report combina quindi un’analisi delle minacce con una proposta commerciale, un elemento di cui il lettore deve tenere conto nella valutazione dei dati.
Priorità alla gestione delle vulnerabilità basata sul rischio. Con 48.000 nuovi CVE nel 2025, nessuna organizzazione può applicare patch a tutto in tempi ragionevoli. I programmi di Vulnerability Management basati su prioritizzazione del rischio (CVSS combinato con il contesto operativo specifico) sono diventati una necessità operativa. L’ACN ha pubblicato linee guida specifiche per le organizzazioni NIS2 su come costruire questi programmi.
Formazione continua del personale. Il phishing rimane il principale vettore di infezione iniziale in Italia, responsabile di oltre il 70% degli attacchi ransomware che hanno successo. Il report TIM sottolinea che i programmi di security awareness regolari, con simulazioni di phishing mensili, riducono significativamente il tasso di click su link malevoli, con impatto diretto sul numero di incidenti gestiti dai SOC.
Cosa Dicono gli Esperti: Analisi e Prospettive sul 2026
La presentazione del report alla Camera dei Deputati ha riunito rappresentanti istituzionali, accademici e operatori del settore. Paola Girdinio, presidente della Fondazione per la Sicurezza Informatica, ha posto l’accento sul nodo della sovranità digitale: “La sicurezza informatica non è più solo una questione tecnologica. Riguarda la capacità dell’Italia di proteggere i propri sistemi produttivi, la propria amministrazione pubblica e, in ultima analisi, la propria democrazia. Il gap sulla NIS2 che questo report documenta deve diventare un’urgenza di governo, non solo di settore.”
Dal lato dell’analisi internazionale, il team di Insikt Group di Recorded Future ha contribuito al report con una valutazione sul ruolo degli attori statali: “Il 2025 ha visto una convergenza tra operazioni di spionaggio e precondizionamento per attacchi disruptivi. I gruppi sponsorizzati da governi stranieri non si limitano a rubare dati: pre-posizionano backdoor nelle infrastrutture critiche per utilizzi futuri. L’Italia, come paese NATO e membro G7, è un bersaglio di primo livello in questo scenario.”
Juhan Lepassaar, direttore esecutivo di ENISA, ha commentato il contesto europeo in cui si inserisce il report TIM: “I dati del nostro Threat Landscape 2024 confermano che il settore dei trasporti e le infrastrutture critiche continuano ad essere bersagli di prima scelta per attori statali e criminali. La cooperazione tra stati membri funziona quando viene testata, come ha dimostrato Cyber Europe 2026. Ma la resilienza operativa si costruisce con investimenti concreti, non solo con esercitazioni.”
Il Centro Studi TIM ha infine evidenziato che la collaborazione pubblico-privato è il fattore abilitante che l’Italia non ha ancora sviluppato in modo strutturale: “I dati che raccogliamo nei nostri sistemi di difesa hanno un valore enorme per la sicurezza collettiva. La condivisione delle informazioni sulle minacce tra aziende private e istituzioni pubbliche avviene ancora in modo troppo frammentato. Il report è anche un appello a costruire un ecosistema di threat intelligence condivisa a livello nazionale.”
Cinque Previsioni per il 2026-2027
Basandosi sui trend identificati nel report TIM e nei report complementari, emergono cinque previsioni concrete per il biennio 2026-2027.
1. Gli attacchi ransomware in Italia supereranno i 200 casi nel 2026. Con un trend di crescita del 14% annuo e l’ulteriore espansione del modello RaaS, il numero di attacchi rivendicati contro obiettivi italiani raggiungerà le 200 unità già prima della fine dell’anno in corso. Le PMI del Nord-Est, ancora meno protette rispetto a quelle lombarde, diventeranno il nuovo epicentro geografico.
2. Le prime sanzioni NIS2 da parte dell’ACN arriveranno entro il Q1 2027. Con le ispezioni programmate da ottobre 2026, le prime organizzazioni che riceveranno notifiche di non conformità saranno quelle nei settori energia e trasporti, dove la maturità cyber è più bassa rispetto all’esposizione critica. Almeno una sanzione superiore al milione di euro sarà comminata entro marzo 2027, con effetto deterrente sul mercato.
3. Gli attacchi AI-driven supereranno il 60% del phishing totale entro fine 2026. I modelli di AI generativa accessibili stanno abbattendo i costi della produzione di email di phishing contestualizzate. Entro il terzo trimestre 2026, più della metà delle campagne documentate in Italia utilizzerà AI per la personalizzazione del messaggio e la costruzione del pretesto.
4. Il mercato MDR italiano crescerà del 25% nel 2026. La combinazione di obblighi NIS2, aumento degli attacchi e carenza di competenze interne spingerà le organizzazioni italiane verso contratti di Managed Detection and Response. Il segmento crescerà a un ritmo superiore al doppio della media del mercato complessivo della cybersecurity nazionale (CAGR 12,78%).
5. Un incidente critico colpirà un’infrastruttura ferroviaria o portuale italiana entro il 2027. I dati ENISA sul settore trasporti e i risultati dell’esercizio Cyber Europe 2026 indicano che rail e marittimo sono i due settori con il gap più ampio tra maturità cyber e criticità operativa. Un incidente reale con impatto operativo significativo su una rete ferroviaria o un porto italiano è uno scenario ad alta probabilità entro 18 mesi, come confermato dall’analisi di rischio inserita nel report TIM.
Coperture Correlate
Per approfondire i temi trattati in questo articolo:
- Clusit Report 2026: 507 Attacchi in Italia, Prima in Europa
- NIS2 in Italia: 20.000 Aziende sotto Ispezione ACN da Ottobre 2026, Multa fino a €10M
- DragonForce: 580 Vittime nel 2026, Italia al 5° Posto
- Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS
- Fortinet Report 2026: 640 Miliardi di Attacchi, Ransomware +389%
- Salt Typhoon Colpisce IBM Italia: 2 Settimane di Spionaggio su INPS e INAIL
- Tutti gli approfondimenti sulla sicurezza informatica
Fonte primaria: Cyber Security Report 2026, Gruppo TIM. Report completo: Format Research. Dati ENISA: ENISA Threat Landscape 2024. Dati globali: Elmec Data Gathering 2026, ORDR Cybersecurity Statistics 2026.
Domande Frequenti
Cos’è il Cyber Security Report 2026 di TIM?
Il Cyber Security Report 2026 è un documento annuale prodotto da TIM e dalla Fondazione per la Sicurezza Informatica, con il contributo del Centro Studi TIM e di Insikt Group (Recorded Future). Presentato alla Camera dei Deputati il 9 giugno 2026, analizza il panorama delle minacce informatiche in Italia nel 2025 con dati raccolti dai sistemi di difesa del Gruppo TIM, confrontati con rilevazioni internazionali.
Quanti attacchi ransomware ha subito l’Italia nel 2025?
Secondo il Cyber Security Report 2026 di TIM, in Italia sono stati rivendicati 166 attacchi ransomware nel 2025, con un incremento del 14% rispetto al 2024. Il 40% di questi attacchi si è concentrato nel Nord-Ovest del paese, con la Lombardia che ha rappresentato oltre il 30% del totale nazionale.
Perché il settore governativo è il bersaglio principale dei DDoS in Italia?
Il 46% degli attacchi DDoS in Italia colpisce il settore governativo principalmente per due ragioni. La prima è geopolitica: i gruppi hacktivisti filo-russi e filo-palestinesi prendono di mira le istituzioni italiane in risposta alle posizioni del governo italiano sui conflitti internazionali. La seconda è strutturale: i sistemi IT della pubblica amministrazione italiana sono spesso datati e meno resilienti rispetto a quelli del settore privato avanzato.
La NIS2 è obbligatoria per le aziende italiane?
La NIS2 è stata recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre 2024. Le organizzazioni nei settori critici definiti dalla direttiva hanno l’obbligo di registrarsi presso l’ACN, adottare misure di sicurezza specifiche e segnalare gli incidenti significativi. L’ACN avvierà le ispezioni a partire da ottobre 2026, con sanzioni fino a 10 milioni di euro per i soggetti “essenziali”.
Quali sono i settori più colpiti in Italia dai cyberattacchi?
In base ai dati del report TIM, il settore governativo è il più esposto agli attacchi DDoS (46% del totale). Il settore manifatturiero e industriale, concentrato in Lombardia e nel Nord-Ovest, è il più colpito dagli attacchi ransomware (oltre il 30% dei casi totali solo dalla Lombardia). A livello europeo, secondo ENISA, il settore dei trasporti è il secondo più attaccato nell’UE.
L’intelligenza artificiale viene usata negli attacchi informatici contro l’Italia?
Il report TIM conferma che l’AI viene usata in modo crescente per amplificare la scala e la sofisticazione degli attacchi. Le applicazioni più diffuse includono: generazione automatizzata di email di phishing altamente personalizzate, produzione di malware polimorfico che evade i sistemi di detection basati su signature, e creazione di deepfake audio e video per attacchi Business Email Compromise di nuova generazione.
Come si confronta il report TIM con il Rapporto Clusit?
I due report usano metodologie diverse ma complementari. Il Clusit analizza tutti gli attacchi significativi contro obiettivi italiani ed europei documentati pubblicamente (507 attacchi in Italia nel 2025). Il report TIM si basa sui dati rilevati direttamente dai sistemi di difesa del Gruppo TIM, con approfondimento specifico su ransomware (166 casi), DDoS (46% su governo) e awareness NIS2 (3,9% di conoscenza dettagliata). Insieme offrono la fotografia più completa disponibile della cybersecurity italiana.
Qual è il costo del cybercrimine per le organizzazioni italiane?
Il costo medio globale di una violazione dei dati è di 4,88 milioni di dollari secondo ORDR Research. Il costo totale del cybercrimine a livello mondiale è proiettato a 10.500 miliardi di dollari nel 2026, una cifra che supera il PIL italiano. Per le PMI italiane, l’impatto economico di un attacco ransomware va tipicamente da 50.000 a 500.000 euro tra downtime, ripristino, comunicazione e possibili sanzioni regolatorie, a seconda del settore e della dimensione.
