{"id":208,"date":"2026-06-18T08:48:30","date_gmt":"2026-06-18T08:48:30","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/18\/rapporto-cybersecurity-tim-2026-italia\/"},"modified":"2026-06-18T08:49:51","modified_gmt":"2026-06-18T08:49:51","slug":"rapporto-cybersecurity-tim-2026-italia","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/18\/rapporto-cybersecurity-tim-2026-italia\/","title":{"rendered":"Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi e 48.500 CVE"},"content":{"rendered":"\n

Il 9 giugno 2026 la Camera dei Deputati di Roma ha ospitato la presentazione della seconda edizione del Cyber Security Report \u2013 Analisi delle Minacce ed Evoluzione dello Scenario<\/strong>, prodotto dalla Cyber Security Foundation e da TIM con il contributo del TIM Research Centre. I dati sono inequivocabili: l’Italia ha registrato 166 attacchi ransomware nel 2025<\/strong>, con un incremento del 14% rispetto all’anno precedente, mentre a livello globale le rivendicazioni hanno superato quota 7.400, segnando un balzo del 42%. Il quadro che emerge dal rapporto ridisegna la geografia del rischio cyber in Italia e in Europa, con implicazioni dirette per aziende, pubbliche amministrazioni e infrastrutture critiche.<\/p>\n\n\n\n

Il contesto globale: 7.400 rivendicazioni ransomware, +42% in un anno<\/h2>\n\n\n\n

Il 2025 ha segnato un’accelerazione senza precedenti nel panorama delle minacce informatiche globali. Con oltre 7.400 rivendicazioni ransomware, il dato globale supera ogni record precedente e si traduce in un incremento del 42% rispetto al 2024. Il Rapporto TIM 2026 inquadra questa crescita all’interno di una convergenza tra due forze strutturali: l’adozione massiva dell’intelligenza artificiale da parte dei gruppi criminali e la progressiva militarizzazione del cyberspazio da parte di attori nation-state.<\/p>\n\n\n\n

“In un momento in cui la cybersecurity \u00e8 sempre pi\u00f9 intrecciata agli equilibri geopolitici, il rischio cyber cresce per cittadini, imprese e istituzioni”, afferma il rapporto nel comunicato ufficiale di TIM presentato alla Camera. “Da un lato, l’intelligenza artificiale accelera le minacce e le rende pi\u00f9 scalabili; dall’altro, offre nuove capacit\u00e0 per l’analisi e la difesa.” Questa duplice natura dell’IA, strumento di attacco e di difesa al tempo stesso, definisce la traiettoria del conflitto informatico per il 2026 e oltre.<\/p>\n\n\n\n

Il dato pi\u00f9 preoccupante sul piano della velocit\u00e0 di risposta riguarda le vulnerabilit\u00e0: delle quasi 48.500 nuove CVE<\/strong> (Common Vulnerabilities and Exposures) pubblicate nel 2025, il 28% \u00e8 stato sfruttato attivamente entro le prime 24 ore dalla divulgazione pubblica, e l’8% \u00e8 stato classificato come critico. Finestre temporali cos\u00ec ridotte rendono di fatto impossibile una risposta reattiva basata solo su patch management tradizionale: la difesa deve essere proattiva, continua e automatizzata.<\/p>\n\n\n\n

Le campagne malware hanno coinvolto entit\u00e0 in circa 200 paesi, mentre il numero di account violati a livello globale ha raggiunto quota 425 milioni. Parallelamente, il World Economic Forum nel suo Global Cybersecurity Outlook 2026<\/a> segnala che l’87% degli intervistati considera le vulnerabilit\u00e0 legate all’IA come la minaccia in crescita pi\u00f9 rapida nel panorama cyber attuale. Anche i dati di Fortinet mostrano 122 miliardi di tentativi di exploitation nel 2025, confermando la crescita esponenziale degli attacchi automatizzati e AI-driven.<\/p>\n\n\n\n

L’Italia nel mirino: 166 attacchi, quarto posto in Europa<\/h2>\n\n\n\n

Con 166 casi di ransomware registrati nel 2025 e un aumento del 14%, l’Italia conferma una posizione di significativa esposizione nel panorama europeo. Il Rapporto TIM 2026<\/a> evidenzia tuttavia un cambiamento nel posizionamento relativo del paese: l’Italia \u00e8 scesa al quarto posto nella classifica europea degli stati pi\u00f9 colpiti, scalzata dalla Germania che ha superato il Regno Unito portandosi al primo posto. L’UE rimane la seconda area geografica pi\u00f9 colpita al mondo, con il 16% dei casi ransomware totali<\/strong>, dopo gli USA che concentrano quasi la met\u00e0 degli eventi globali.<\/p>\n\n\n\n

Il dato italiano va letto con attenzione: una discesa nel ranking non equivale a un miglioramento della sicurezza, ma riflette spesso una crescita proporzionalmente pi\u00f9 rapida degli attacchi negli altri paesi. In termini assoluti, 166 episodi ransomware confermati rappresentano una minaccia concreta per il tessuto produttivo e istituzionale nazionale. Manifattura e servizi professionali risultano i settori pi\u00f9 colpiti a livello globale, e l’Italia, con la sua forte componente di PMI manifatturiere, \u00e8 particolarmente esposta a questo vettore di attacco.<\/p>\n\n\n\n

Il CERT-AGID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, ha registrato nel 2025 oltre 3.600 campagne malevole<\/strong> attive sul territorio nazionale. Un dato che fotografa l’intensit\u00e0 del fuoco cyber cui sono sottoposte le organizzazioni italiane, e che non include gli episodi non segnalati o non rilevati, stimati essere significativamente superiori alle notifiche ufficiali. Secondo le proiezioni di settore, le violazioni non denunciate potrebbero rappresentare tra il 60% e il 70% del totale degli incidenti reali.<\/p>\n\n\n\n

Il rapporto sottolinea anche che quasi la met\u00e0 degli eventi ransomware a livello mondiale coinvolge Stati Uniti, mentre l’Europa, pur essendo la seconda area pi\u00f9 colpita, registra una concentrazione di attacchi particolarmente marcata in Germania, Regno Unito e Francia. L’Italia, pur scesa in classifica, non pu\u00f2 permettersi di abbassare la guardia: il trend di crescita del +14% \u00e8 consistente e riflette una pressione costante da parte dei gruppi criminali organizzati.<\/p>\n\n\n\n

Area geografica<\/th>Posizione globale\/europea<\/th>Quota casi ransomware 2025<\/th>Tendenza<\/th><\/tr><\/thead>
USA<\/td>1a area mondiale<\/td>~48%<\/td>Prima area globale<\/td><\/tr>
Unione Europea (totale)<\/td>2a area mondiale<\/td>16%<\/td>Seconda area globale<\/td><\/tr>
Germania<\/td>1a in Europa<\/td>N\/D<\/td>Salita al 1\u00b0 posto europeo<\/td><\/tr>
Regno Unito<\/td>2a in Europa<\/td>N\/D<\/td>Scesa al 2\u00b0 posto<\/td><\/tr>
Italia<\/td>4a in Europa<\/td>N\/D<\/td>166 casi, +14%<\/td><\/tr>
Canada<\/td>3a extra-UE<\/td>N\/D<\/td>In crescita<\/td><\/tr>
Globale<\/td>N\/A<\/td>100%<\/td>7.400+ rivendicazioni, +42%<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il Nord-Ovest sotto assedio: Lombardia capitale del cyber-rischio<\/h2>\n\n\n\n

La distribuzione geografica degli attacchi all’interno del territorio nazionale rivela una concentrazione significativa nelle aree a maggiore densit\u00e0 industriale e produttiva. Circa 4 incidenti su 10<\/strong> rilevati in Italia nel 2025 si sono verificati nel Nord-Ovest, con la Lombardia che da sola ha rappresentato oltre il 30% del totale nazionale. Questi dati confermano una tendenza strutturale: i gruppi ransomware puntano con priorit\u00e0 alle realt\u00e0 produttive ad alto valore economico, dove la pressione operativa e reputazionale aumenta la propensione a pagare il riscatto.<\/p>\n\n\n\n

La concentrazione lombarda non \u00e8 casuale. La regione ospita la pi\u00f9 alta densit\u00e0 di aziende manifatturiere, servizi professionali e sedi di multinazionali dell’intero paese. Le PMI, spina dorsale del tessuto produttivo lombardo, rappresentano spesso il bersaglio pi\u00f9 vulnerabile: risorse limitate dedicate alla sicurezza informatica, sistemi legacy non aggiornati e una cultura della cybersecurity ancora in fase di maturazione le rendono prede relativamente facili per i gruppi criminali organizzati come Qilin, Akira e LockBit.<\/p>\n\n\n\n

Il Nord-Est e il Centro-Sud mostrano numeri inferiori in termini assoluti, ma le proporzioni suggeriscono che anche questi territori non sono immuni. L’espansione geografica degli attacchi verso aree tradizionalmente meno esposte \u00e8 una tendenza rilevata a livello europeo, dove i gruppi ransomware diversificano i propri obiettivi per ridurre il rischio di contromisure coordinate. Il distretto manifatturiero veneto e l’asse industriale emiliano-romagnolo rappresentano probabilmente i prossimi obiettivi prioritari sulla base dei pattern osservati nel 2025.<\/p>\n\n\n\n

Il tema della concentrazione geografica ha implicazioni anche sul piano delle politiche pubbliche: l’ACN ha avviato programmi di supporto alle PA locali e agli enti regionali, ma la capacit\u00e0 di risposta delle realt\u00e0 di dimensioni minori rimane significativamente inferiore a quella delle grandi organizzazioni. Il rapporto segnala che aziende di maggiori dimensioni e settori pi\u00f9 direttamente colpiti dalla NIS2 mostrano livelli di consapevolezza e preparazione cyber sensibilmente pi\u00f9 elevati rispetto alla media nazionale.<\/p>\n\n\n\n

Gli attacchi DDoS: meno eventi, pi\u00f9 duraturi e pi\u00f9 mirati<\/h2>\n\n\n\n

Il fronte degli attacchi DDoS (Distributed Denial of Service) presenta un paradosso apparente: il numero assoluto di eventi \u00e8 diminuito del 36% rispetto al 2024<\/strong>, attestandosi a circa 4.300 episodi, ma il tempo medio di esposizione \u00e8 cresciuto del 19%. La spiegazione di questa dinamica \u00e8 contenuta nel Rapporto TIM 2026: “La contrazione dei volumi non segnala alcun allentamento della minaccia: gli attacchi sono meno diffusi ma pi\u00f9 mirati, persistenti e concentrati su obiettivi strategici, con l’obiettivo di massimizzare l’impatto operativo.”<\/p>\n\n\n\n

In sostanza, i gruppi criminali hanno affinato la propria tecnica, abbandonando gli attacchi di massa a bassa intensit\u00e0 in favore di offensive chirurgiche contro infrastrutture critiche. Il settore governativo ha subito il 46% degli attacchi DDoS<\/strong> che hanno coinvolto imprese e istituzioni italiane (escludendo quelli rivolti a famiglie e cittadini privati, che rappresentano circa il 70% dei casi rilevati dal SOC di TIM). A seguire: servizi professionali, telecomunicazioni e trasporti.<\/p>\n\n\n\n

Questo shift qualitativo negli attacchi DDoS riflette una strategia pi\u00f9 sofisticata: non si tratta pi\u00f9 di semplici azioni dimostrative o di disturbo, ma di operazioni progettate per generare danni concreti e duraturi. La capacit\u00e0 di mantenere un target sotto pressione per periodi prolungati aumenta significativamente l’impatto economico e reputazionale sulle organizzazioni colpite. L’incremento del 19% nel tempo medio di esposizione significa che le organizzazioni rimangono offline o degradate per periodi molto pi\u00f9 lunghi rispetto al passato, con costi operativi diretti e indiretti proporzionalmente maggiori.<\/p>\n\n\n\n

La natura sempre pi\u00f9 geopolitica di questi attacchi rende difficile distinguere il cybercrime puro dall’hacktivismo sponsorizzato da stati. Gruppi come Killnet, NoName057(16) e altre entit\u00e0 pro-russe hanno sistematicamente preso di mira infrastrutture italiane ed europee nel contesto delle tensioni geopolitiche legate al conflitto ucraino. Gli attacchi DDoS contro siti governativi italiani nel 2024 e 2025 hanno preceduto e accompagnato le principali votazioni parlamentari e le dichiarazioni di politica estera del governo.<\/p>\n\n\n\n

L’intelligenza artificiale come moltiplicatore di minacce<\/h2>\n\n\n\n

L’intelligenza artificiale generativa ha trasformato in modo radicale l’economia degli attacchi di phishing e social engineering. Il CERT-AGID documenta che le campagne di phishing basate su contenuti generati dall’IA raggiungono un tasso di click-through del 54%, contro il 12% delle campagne scritte manualmente<\/strong>. Questo dato quantifica concretamente il vantaggio competitivo che l’IA conferisce agli attaccanti: messaggi personalizzati, privi di errori grammaticali e capaci di replicare lo stile comunicativo di individui specifici rendono il phishing AI-powered quattro volte pi\u00f9 efficace rispetto ai metodi tradizionali.<\/p>\n\n\n\n

L’impatto non si limita al phishing. L’IA accelera ogni fase della kill chain di un attacco: dalla ricognizione automatizzata alla generazione di payload malevoli, dalla personalizzazione degli attacchi spear-phishing alla gestione automatizzata delle negoziazioni ransomware. Il CrowdStrike Global Threat Report 2026 documenta che il tempo medio di breakout degli attori eCrime \u00e8 sceso a soli 29 minuti nel 2025<\/strong>, con un miglioramento del 65% rispetto al 2024, riduzione in parte attribuibile all’automazione AI-driven dei processi di attacco. L’82% dei rilevamenti non coinvolge malware tradizionale, confermando la transizione verso tecniche basate su credenziali compromesse e movimenti laterali che sfruttano strumenti legittimi.<\/p>\n\n\n\n

Il WEF sottolinea nel suo rapporto che il 77% degli intervistati riporta un aumento delle frodi informatiche e del phishing, con il 34% che identifica le data leak associate all’IA generativa come principale preoccupazione e il 29% che teme l’avanzamento delle capacit\u00e0 avversariali AI-driven. La preoccupazione non riguarda solo gli attacchi diretti, ma anche l’uso dell’IA per generare deepfake convincenti di CEO e dirigenti aziendali, utilizzati per autorizzare bonifici fraudolenti o estrarre informazioni riservate.<\/p>\n\n\n\n

Sul fronte difensivo, l’IA offre opportunit\u00e0 altrettanto significative: sistemi di rilevamento delle anomalie capaci di identificare comportamenti sospetti in tempo reale, piattaforme SOAR (Security Orchestration, Automation and Response) che automatizzano la risposta agli incidenti, e strumenti di threat intelligence predittiva che anticipano i vettori di attacco prima che vengano sfruttati. Il Rapporto TIM 2026 riconosce esplicitamente questa dualit\u00e0: “L’intelligenza artificiale offre nuove capacit\u00e0 per l’analisi e la difesa”, ma la velocit\u00e0 con cui i difensori adottano queste tecnologie rimane inferiore a quella degli attaccanti, ampliando il divario di capacit\u00e0 tra le parti.<\/p>\n\n\n\n

Le vulnerabilit\u00e0 CVE nel 2025: 48.500 nuove falle, 28% sfruttate in 24 ore<\/h2>\n\n\n\n

Uno dei dati pi\u00f9 allarmanti del Rapporto TIM 2026 riguarda l’esplosione delle vulnerabilit\u00e0 note. Con quasi 48.500 nuove CVE<\/strong> pubblicate nel 2025, il dato segna un incremento del 20% rispetto all’anno precedente. Di queste, l’8% \u00e8 stato classificato come critico (circa 3.880 CVE) e il 28% \u00e8 stato sfruttato attivamente entro le prime 24 ore dalla pubblicazione. Quest’ultimo dato \u00e8 particolarmente rilevante: la finestra temporale disponibile ai team di sicurezza per valutare, prioritizzare e applicare le patch si \u00e8 ridotta a ore, non pi\u00f9 giorni o settimane.<\/p>\n\n\n\n

La CISA statunitense conferma questi trend nel proprio catalogo delle Known Exploited Vulnerabilities, che continua a crescere a ritmo sostenuto. La statistica del 28% di sfruttamento entro 24 ore evidenzia come il modello di patch management reattivo sia diventato strutturalmente inadeguato: le organizzazioni devono adottare approcci basati su vulnerability intelligence continua, prioritizzazione basata sul rischio reale e, dove possibile, compensating controls per le falle non immediatamente patchabili.<\/p>\n\n\n\n

Il rapporto evidenzia anche la crescente importanza strategica delle vulnerabilit\u00e0: “Le vulnerabilit\u00e0 non sono pi\u00f9 solo una questione tecnica gestita dal dipartimento IT: assumono una dimensione geopolitica, poich\u00e9 possono essere rapidamente trasformate in capacit\u00e0 operative nell’ambito di conflitti ibridi e operazioni di intelligence.” Il dato che oltre il 50% dell’attivit\u00e0 di sfruttamento \u00e8 attribuibile ad attori state-sponsored conferma questa lettura: le falle del software sono diventate asset strategici contesi tra potenze globali.<\/p>\n\n\n\n

Indicatore<\/th>Valore 2025<\/th>Variazione vs 2024<\/th>Impatto operativo<\/th><\/tr><\/thead>
Nuove CVE pubblicate<\/td>48.500<\/td>+20%<\/td>Superficie di attacco in rapida espansione<\/td><\/tr>
CVE classificate critiche<\/td>~3.880 (8% del totale)<\/td>N\/D<\/td>Priorit\u00e0 assoluta di patching<\/td><\/tr>
CVE sfruttate entro 24 ore<\/td>28%<\/td>N\/D<\/td>Patch management reattivo inadeguato<\/td><\/tr>
Exploit attribuiti a state-actor<\/td>>50%<\/td>N\/D<\/td>Dimensione geopolitica del rischio<\/td><\/tr>
Account violati globalmente<\/td>425 milioni<\/td>N\/D<\/td>Credential stuffing e identity threat<\/td><\/tr>
Rivendicazioni ransomware globali<\/td>7.400+<\/td>+42%<\/td>Record storico<\/td><\/tr>
Campagne malevole in Italia (CERT-AGID)<\/td>3.600+<\/td>N\/D<\/td>Pressione costante sul territorio nazionale<\/td><\/tr>
Click-through phishing AI-powered<\/td>54%<\/td>vs 12% manuale<\/td>4x pi\u00f9 efficace del phishing tradizionale<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Gli attori state-sponsored: geopolitica e cyber si fondono<\/h2>\n\n\n\n

La quota superiore al 50% dell’attivit\u00e0 di sfruttamento delle vulnerabilit\u00e0 attribuita ad attori sponsorizzati da stati<\/strong> \u00e8 forse il dato pi\u00f9 significativo dell’intero rapporto, sul piano delle implicazioni strategiche. Significa che la maggior parte degli exploit avanzati non proviene dal cybercrime ordinario, ma da programmi strutturati di cyber warfare e spionaggio informatico condotti da nazioni con risorse significative e obiettivi geopolitici precisi.<\/p>\n\n\n\n

In Europa, le tensioni geopolitiche legate al conflitto ucraino, alle elezioni in vari paesi e alle tensioni commerciali globali hanno alimentato un’intensa attivit\u00e0 di cyber-spionaggio e sabotaggio. Gruppi come Sandworm (attribuito alla Russia), APT40 (Cina) e Lazarus Group (Corea del Nord) continuano a operare contro obiettivi europei con crescente sofisticatezza. L’Italia, in qualit\u00e0 di membro NATO e G7 con una significativa presenza industriale in settori strategici come difesa, energia e farmaceutico, rappresenta un bersaglio di elevato interesse per questi attori.<\/p>\n\n\n\n

“La pressione complessiva, quindi, non sta diminuendo: sta cambiando forma e si concentra sempre pi\u00f9 su entit\u00e0 e servizi di alta rilevanza sistemica”, conclude il Rapporto TIM 2026. Questa frase cattura perfettamente il cambiamento in atto: da un modello di attacco opportunistico, indifferenziato e ad alto volume, a uno selettivo, pianificato e ad alto impatto. La difesa deve evolvere di conseguenza, spostando il baricentro dalla protezione perimetrale alla resilienza dei sistemi pi\u00f9 critici e alla capacit\u00e0 di risposta e ripristino rapido dopo un incidente.<\/p>\n\n\n\n

La Agenzia per la Cybersicurezza Nazionale (ACN)<\/a> ha identificato il perimetro di sicurezza nazionale cibernetica, che include tutte le entit\u00e0 pubbliche e private le cui reti e sistemi informativi supportano funzioni essenziali dello Stato. Per queste organizzazioni, gli obblighi di sicurezza sono particolarmente stringenti e includono requisiti specifici di resilienza, continuit\u00e0 operativa e capacit\u00e0 di risposta agli incidenti che vanno ben oltre quelli previsti dalla NIS2.<\/p>\n\n\n\n

NIS2 in Italia: conoscenza dettagliata solo al 3,9%<\/h2>\n\n\n\n

Sul fronte normativo, il Rapporto TIM 2026 include i risultati di un’indagine condotta da Format Research sulla conoscenza della Direttiva NIS2 (Direttiva UE 2022\/2555) tra le aziende italiane. I numeri rivelano un gap preoccupante tra il quadro normativo vigente e la consapevolezza delle organizzazioni soggette agli obblighi di legge.<\/p>\n\n\n\n

Il 62,2% delle aziende intervistate ha dichiarato di conoscere la NIS2 in modo spontaneo, ma solo il 24,5% ha affermato di averne almeno una familiarit\u00e0 parziale<\/strong>. Il dato pi\u00f9 critico \u00e8 quello sulla conoscenza dettagliata: appena il 3,9% delle aziende italiane<\/strong> dichiara di conoscere in modo approfondito i requisiti della direttiva. Il 13,3% ha dichiarato di non sapere se la conosce o meno, il che suggerisce un livello di disinformazione sostanziale anche tra chi potrebbe essere soggetto agli obblighi normativi.<\/p>\n\n\n\n

L’Italia ha recepito la NIS2 attraverso il Decreto Legislativo n. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre 2024. Da quella data, l’Agenzia per la Cybersicurezza Nazionale (ACN)<\/strong> opera come autorit\u00e0 NIS nazionale competente e punto di contatto unico. Gli obblighi della NIS2 includono misure di sicurezza tecnica e organizzativa, notifica degli incidenti entro 24 ore (segnalazione iniziale) e 72 ore (notifica completa), e una governance della cybersecurity che coinvolge direttamente i board aziendali con responsabilit\u00e0 esplicita dei vertici aziendali.<\/p>\n\n\n\n

La consapevolezza \u00e8 pi\u00f9 elevata tra le aziende di grandi dimensioni e quelle operanti nei settori pi\u00f9 direttamente interessati dalla direttiva (energia, trasporti, sanit\u00e0, infrastrutture digitali, pubblica amministrazione). Le PMI, invece, mostrano livelli di conoscenza significativamente inferiori, nonostante molte di esse ricadano nell’ambito di applicazione della normativa come soggetti “importanti” o come componenti della supply chain di operatori essenziali. Secondo le analisi del framework Chambers & Partners Cybersecurity 2026 per l’Italia, la tendenza normativa del 2026 \u00e8 verso una centralit\u00e0 crescente della governance e della responsabilit\u00e0 del senior management nella compliance cyber, non solo dell’IT.<\/p>\n\n\n\n

Le sanzioni previste dalla NIS2 per i soggetti essenziali possono raggiungere il 2% del fatturato annuo globale o 10 milioni di euro (il valore pi\u00f9 alto tra i due). Per i soggetti importanti, il tetto \u00e8 all’1,4% del fatturato o 7 milioni di euro. Con l’ACN che ha completato il processo di identificazione delle entit\u00e0 soggette agli obblighi, i primi procedimenti sanzionatori potrebbero materializzarsi entro la fine del 2026, creando un effetto deterrente significativo sul mercato.<\/p>\n\n\n\n

Il mercato europeo della cybersecurity: 85,68 miliardi di dollari nel 2026<\/h2>\n\n\n\n

La crescita della minaccia cyber si accompagna a un’espansione parallela del mercato delle soluzioni di sicurezza informatica. Secondo le proiezioni di Market Data Forecast, il mercato europeo della cybersecurity ha raggiunto 76,21 miliardi di dollari nel 2025<\/strong> e crescer\u00e0 a 85,68 miliardi nel 2026, con un tasso di crescita annuo composto (CAGR) del 12,42% fino al 2034, anno in cui si prevede raggiunga 218,58 miliardi di dollari.<\/p>\n\n\n\n

Questi numeri riflettono una risposta strutturale dell’ecosistema industriale e istituzionale europeo all’intensificazione delle minacce. Gli investimenti stanno aumentando in tutte le categorie principali: sicurezza degli endpoint, cloud security, gestione delle identit\u00e0 e degli accessi (IAM), threat intelligence, servizi gestiti (MSSP) e tecnologie di risposta agli incidenti. Il Cyber Resilience Act europeo, pienamente in vigore nel 2026, sta imprimendo un’ulteriore spinta agli investimenti in sicurezza by-design da parte di tutti i produttori che vogliono accedere al mercato europeo.<\/p>\n\n\n\n

In Italia, la crescita del mercato cybersecurity \u00e8 trainata anche dagli incentivi del PNRR (Piano Nazionale di Ripresa e Resilienza), che ha destinato risorse significative alla digitalizzazione sicura della pubblica amministrazione e al rafforzamento delle capacit\u00e0 dell’ACN. L’adozione di tecnologie di sicurezza avanzate da parte delle PA italiane, storicamente in ritardo rispetto al settore privato, \u00e8 uno dei driver principali della domanda nel medio termine. La creazione del polo nazionale di crittografia quantistica e l’investimento in capacit\u00e0 SOC nazionali rappresentano ulteriori segnali di una strategia industriale della sicurezza in fase di maturazione.<\/p>\n\n\n\n

Confronto con i principali report internazionali 2026<\/h2>\n\n\n\n

Il Rapporto TIM 2026 non \u00e8 l’unico documento pubblicato nel primo semestre del 2026 a fotografare lo stato della sicurezza informatica. Un confronto con i principali report internazionali evidenzia convergenze significative ma anche alcune specifiche angolature nazionali.<\/p>\n\n\n\n

WEF Global Cybersecurity Outlook 2026<\/h3>\n\n\n\n

Il rapporto del World Economic Forum, pubblicato a gennaio 2026, colloca le vulnerabilit\u00e0 legate all’IA al centro del dibattito sulla sicurezza. Il 77% degli intervistati riporta un aumento delle frodi informatiche e del phishing, con il 34% che identifica le data leak associate all’IA generativa come principale preoccupazione. Il documento conferma la tendenza rilevata da TIM alla geopoliticizzazione degli attacchi e all’erosione del confine tra criminalit\u00e0 informatica e conflitto stato-stato. La stima del costo medio di un cyberattacco significativo, pari a circa \u00a3195.000 (circa 230.000 euro) per le aziende britanniche, d\u00e0 un’idea concreta dell’impatto economico che le organizzazioni italiane di dimensioni simili potrebbero aspettarsi.<\/p>\n\n\n\n

CrowdStrike Global Threat Report 2026 e Fortinet<\/h3>\n\n\n\n

Il report CrowdStrike 2026 introduce un dato operativo di grande impatto: il breakout time medio degli attori eCrime \u00e8 sceso a 29 minuti nel 2025, con una riduzione del 65% rispetto al 2024. L’82% dei rilevamenti non coinvolge malware tradizionale, confermando la transizione verso tecniche di attacco basate su credenziali compromesse e movimenti laterali legittimi, molto pi\u00f9 difficili da individuare con gli strumenti di sicurezza tradizionali. Fortinet riporta 122 miliardi di tentativi di exploitation nel 2025, con una crescente automazione AI degli attacchi che riduce i costi e aumenta la scalabilit\u00e0 delle operazioni criminali.<\/p>\n\n\n\n

Secondo il report di sintesi Data Gathering 2026 di Elmec<\/a>, il numero complessivo di attivit\u00e0 malevole ha mostrato un incremento del 48% nel 2025, con oltre 7.000 attacchi ransomware e 3.600 campagne di phishing registrate in Italia dal CERT-AGID. Il dato dei 425 milioni di account violati a livello mondiale \u00e8 confermato da fonti multiple ed \u00e8 coerente con l’intensificazione delle campagne di credential harvesting osservata nel secondo semestre del 2025.<\/p>\n\n\n\n

Le priorit\u00e0 di investimento per le aziende italiane nel 2026<\/h2>\n\n\n\n

I dati del Rapporto TIM 2026 traducono in maniera diretta le priorit\u00e0 di investimento che le aziende italiane dovrebbero considerare per il secondo semestre 2026 e il 2027. La concentrazione degli attacchi ransomware nel settore manifatturiero e nei servizi professionali suggerisce che questi settori debbano dare priorit\u00e0 assoluta alla segmentazione delle reti OT\/IT, al backup isolato con test regolari di ripristino e al piano formale di risposta agli incidenti (IR plan) con esercitazioni tabletop periodiche.<\/p>\n\n\n\n

L’aumento del 19% nel tempo medio di esposizione degli attacchi DDoS indica la necessit\u00e0 di soluzioni di mitigazione on-demand scalabili, non solo soluzioni dimensionate per i picchi storici. I servizi di DDoS protection basati su cloud, con capacit\u00e0 di scrubbing distribuita e tempi di attivazione inferiori ai 5 minuti, rappresentano lo standard minimo per le organizzazioni che erogano servizi digitali critici.<\/p>\n\n\n\n

Sul fronte delle vulnerabilit\u00e0, la finestra di 24 ore per il 28% degli exploit impone l’adozione di strumenti di vulnerability management basati su threat intelligence in tempo reale, capaci di prioritizzare automaticamente le patch in base al rischio concreto di sfruttamento. Soluzioni che integrano CVSS 4.0, EPSS (Exploit Prediction Scoring System) e la correlazione con i dati del dark web rappresentano il nuovo standard di riferimento. La gestione delle identit\u00e0 privilegiate (PAM) e l’implementazione di autenticazione multi-fattore resistente al phishing (FIDO2\/passkey) sono diventate requisiti non negoziabili per qualsiasi organizzazione che gestisca dati sensibili.<\/p>\n\n\n\n

La bassa conoscenza della NIS2 tra le aziende italiane apre uno spazio significativo per consulenza legale e tecnica specializzata. Le scadenze di compliance, con i relativi obblighi di registrazione presso ACN, implementazione di misure di sicurezza e istituzione di procedure di notifica degli incidenti, rappresentano un driver di domanda strutturale per i prossimi 18-24 mesi. I fornitori di servizi gestiti (MSSP) che offrono pacchetti di compliance NIS2 as-a-service, integrati con SOC 24\/7 e capacit\u00e0 di notifica degli incidenti, sono posizionati per catturare una quota crescente di questo mercato.<\/p>\n\n\n\n

5 previsioni per il panorama cyber italiano 2026-2027<\/h2>\n\n\n\n

Sulla base dei dati del Rapporto TIM 2026 e del contesto internazionale, \u00e8 possibile delineare cinque previsioni per l’evoluzione del panorama cyber in Italia nei prossimi 12-18 mesi.<\/p>\n\n\n\n

1. Gli attacchi ransomware in Italia supereranno i 190 casi nel 2026.<\/strong> Il trend del +14% annuo, se confermato, porterebbe il dato a circa 189 casi, ma la crescente adozione di strumenti AI da parte dei gruppi criminali e il consolidamento dei modelli RaaS (Ransomware-as-a-Service) potrebbero accelerare ulteriormente questa dinamica. Il manifatturiero del Nord-Ovest rimarr\u00e0 il bersaglio prioritario.<\/p>\n\n\n\n

2. Il tasso di sfruttamento zero-day salir\u00e0 al 35% entro 24 ore dalla divulgazione.<\/strong> Con l’automazione crescente degli strumenti di exploit development e la disponibilit\u00e0 di IA per l’analisi rapida delle patch, il gi\u00e0 preoccupante 28% attuale \u00e8 destinato a crescere ulteriormente, riducendo a zero il margine per approcci di patching reattivo nelle organizzazioni senza un programma di vulnerability intelligence continua.<\/p>\n\n\n\n

3. Le prime sanzioni NIS2 in Italia arriveranno entro la fine del 2026.<\/strong> Con la normativa pienamente in vigore e l’ACN che ha completato il processo di identificazione dei soggetti essenziali e importanti, \u00e8 prevedibile che i primi procedimenti sanzionatori per violazioni degli obblighi NIS2 si materializzino entro l’anno, creando un effetto deterrente significativo e spingendo verso una rapida crescita della domanda di compliance as-a-service.<\/p>\n\n\n\n

4. Gli attacchi AI-powered contro infrastrutture critiche europee cresceranno del 30%.<\/strong> La correlazione tra tensioni geopolitiche e attivit\u00e0 cyber state-sponsored suggerisce che, in assenza di una riduzione delle tensioni internazionali, il volume di attacchi sofisticati contro energia, trasporti e telecomunicazioni europee crescer\u00e0 significativamente nel biennio 2026-2027. La quota di exploit attribuiti a state-actor \u00e8 destinata a superare il 60%.<\/p>\n\n\n\n

5. Il mercato MSSP italiano crescer\u00e0 del 20-25% entro il 2027.<\/strong> La combinazione di compliance NIS2, crescente sofisticatezza delle minacce e carenza strutturale di professionisti cyber spinger\u00e0 le aziende, in particolare le PMI, verso l’esternalizzazione dei servizi di sicurezza. Secondo le proiezioni di settore, l’Italia registra un deficit stimato di oltre 100.000 professionisti cyber qualificati entro il 2027, rendendo i servizi gestiti la risposta strutturale pi\u00f9 probabile per la stragrande maggioranza delle organizzazioni.<\/p>\n\n\n\n

Copertura Correlata<\/h2>\n\n\n\n

Approfondimenti sulla sicurezza informatica in Italia e in Europa<\/h3>\n\n\n\n