{"id":308,"date":"2026-06-21T20:57:25","date_gmt":"2026-06-21T20:57:25","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/21\/clusit-report-2026-507-attacchi-italia\/"},"modified":"2026-06-21T20:59:25","modified_gmt":"2026-06-21T20:59:25","slug":"clusit-report-2026-507-attacchi-italia","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/21\/clusit-report-2026-507-attacchi-italia\/","title":{"rendered":"Clusit Report 2026: 507 Attacchi in Italia, Prima in Europa"},"content":{"rendered":"\n

Il Rapporto Clusit 2026<\/strong>, pubblicato ad aprile 2026, consegna all’Italia un dato che non ammette interpretazioni edulcorate: nel 2025 si sono registrati 507 incidenti informatici gravi<\/strong> nel nostro Paese, pari al 9,6% del totale mondiale<\/strong>. A livello globale il conto \u00e8 ancora pi\u00f9 pesante: 5.265 incidenti seri<\/strong>, con un aumento del 48,7% rispetto al 2024<\/strong>. Se i dati del Rapporto Clusit 2026 confermano un’accelerazione strutturale del fenomeno, il Cyber Security Report 2026 di TIM e Format Research<\/strong>, presentato il 9 giugno 2026, aggiunge un ulteriore strato di granularit\u00e0: solo per il ransomware l’Italia ha registrato 166 casi nel 2025<\/strong>, con un incremento del 14% anno su anno<\/strong>. Una fotografia impietosa che posiziona l’Italia come primo Paese in Europa<\/strong> e quarto nel mondo per numero di cyberattacchi subiti.<\/p>\n\n\n\n

5.265 Incidenti Globali nel 2025: L’Accelerazione Strutturale<\/h2>\n\n\n\n

Il Rapporto Clusit 2026 descrive il 2025 come l’anno della svolta quantitativa. La media mensile di attacchi gravi \u00e8 passata da 171 nel 2021 a 439 nel 2025<\/strong>, un incremento del 256% in cinque anni<\/strong>. Non si tratta di una crescita lineare ma di un’accelerazione che riflette la professionalizzazione del crimine informatico, l’abbassamento delle barriere d’ingresso grazie all’intelligenza artificiale generativa e la proliferazione dei modelli Ransomware-as-a-Service.<\/p>\n\n\n\n

Un dato particolarmente preoccupante riguarda la gravit\u00e0 degli incidenti<\/strong>: l’84% dei casi censiti nel 2025 ricade nelle categorie Critico o Alto<\/strong>, contro il 79% del 2024. Per la prima volta il Rapporto introduce la categoria “Estremo”<\/strong>, riservata agli episodi con impatti devastanti su larga scala, che gi\u00e0 rappresenta il 2,7% del totale<\/strong>. Il messaggio \u00e8 chiaro: non solo aumenta la quantit\u00e0 degli attacchi, ma cresce la loro capacit\u00e0 distruttiva.<\/p>\n\n\n\n

Gabriele Faggioli, Presidente di Clusit, ha commentato i dati nel rapporto annuale: “Siamo di fronte a una trasformazione profonda del panorama delle minacce. Il 2025 ha dimostrato che nessun settore e nessuna dimensione aziendale \u00e8 immune. La risposta deve essere sistemica, non episodica.”<\/strong> L’analisi di Clusit evidenzia che il cybercrime, inteso come attivit\u00e0 criminale a scopo economico, rappresenta ancora la motivazione prevalente a livello globale con l’89% degli incidenti, ma in Italia la quota scende al 61% proprio per l’abnorme peso dell’hacktivismo.<\/p>\n\n\n\n

Italia nel Mirino: 507 Attacchi Gravi nel 2025<\/h2>\n\n\n\n

Nei cinque anni compresi tra il 2021 e il 2025, le organizzazioni italiane hanno subito complessivamente 1.432 incidenti gravi documentati<\/strong>. Di questi, ben 507 si sono concentrati nel solo 2025<\/strong>, pari al 35% del totale quinquennale<\/strong> in un unico anno. Un dato che illustra con chiarezza la progressione esponenziale del fenomeno.<\/p>\n\n\n\n

Il Rapporto Clusit 2026 sottolinea che l’Italia si \u00e8 avvicinata al picco del 11,2%<\/strong> registrato nel 2023, fermandosi al 9,6% nel 2025. Il fatto che il Paese mantenga una quota superiore al 9% degli incidenti mondiali, pur avendo un PIL che rappresenta circa il 2,5% del PIL globale, segnala una sproporzione strutturale nella vulnerabilit\u00e0 del tessuto economico e istituzionale italiano.<\/p>\n\n\n\n

Il Barometro dei Rischi Allianz 2026<\/strong> ha classificato gli incidenti informatici come il rischio principale a livello globale per il quinto anno consecutivo<\/strong>, con il punteggio pi\u00f9 alto mai registrato: citato dal 42% dei rispondenti<\/strong> e con un margine di 10 punti percentuali<\/strong> sul secondo rischio classificato, l’intelligenza artificiale. In questo contesto europeo, la posizione dell’Italia assume un rilievo ancora maggiore.<\/p>\n\n\n\n

Hacktivismo: l’Italia Concentra il 64% dei Casi Mondiali<\/h2>\n\n\n\n

Il dato che pi\u00f9 sorprende nella fotografia italiana \u00e8 la quota di hacktivismo<\/strong>: l’Italia concentra il 64% degli incidenti hacktivistici globali<\/strong> nel 2025. Un primato negativo senza precedenti nella storia del Rapporto Clusit, che riflette la particolare esposizione del Paese agli attacchi di collettivi filorussi come NoName057(16) e Killnet, intensificatisi in relazione al supporto italiano all’Ucraina.<\/p>\n\n\n\n

Questi collettivi hanno preso di mira sistematicamente siti web governativi, ministeri, aziende di trasporto pubblico e banche italiane con campagne di DDoS (Distributed Denial of Service)<\/strong>. A gennaio 2025, un gruppo filorusso ha rivendicato attacchi contro portali governativi di Roma e Palermo in risposta all’incontro tra la Presidente del Consiglio Giorgia Meloni e il Presidente ucraino Volodymyr Zelensky. Secondo il CSIS (Center for Strategic and International Studies), questa campagna rientra in un pattern coordinato di coercizione cibernetica a sfondo geopolitico.<\/p>\n\n\n\n

Bruno Frattasi, Direttore Generale dell’ACN (Agenzia per la Cybersicurezza Nazionale), ha dichiarato in riferimento al fenomeno dell’hacktivismo a indirizzo italiano: “La minaccia ibrida che combina pressione diplomatica e attivit\u00e0 cibernetica \u00e8 una realt\u00e0 con cui l’Italia convive quotidianamente. L’ACN lavora in stretto coordinamento con le strutture NATO e con i CERT europei per garantire continuit\u00e0 operativa alle infrastrutture critiche nazionali.”<\/strong><\/p>\n\n\n\n

Ransomware 2025: +42% Globale, 166 Vittime Confermate in Italia<\/h2>\n\n\n\n

Il Cyber Security Report 2026 di TIM e Format Research, pubblicato il 9 giugno 2026, certifica che nel 2025 sono state rivendicate oltre 7.400 campagne ransomware a livello globale<\/strong>, con un incremento del 42% rispetto al 2024<\/strong>. Di queste, 1.173 sono state confermate direttamente dalle organizzazioni vittime<\/strong>, a testimonianza del gap tra rivendicazioni dei gruppi criminali e incidenti realmente documentabili.<\/p>\n\n\n\n

Per l’Italia il conteggio si ferma a 166 casi<\/strong> nel 2025, in crescita del 14% anno su anno<\/strong>. I settori pi\u00f9 colpiti, secondo il report TIM, includono la pubblica amministrazione, i servizi professionali, le telecomunicazioni e i trasporti. L’Europa nel suo complesso raccoglie il 16% degli incidenti ransomware globali<\/strong>, seconda solo agli Stati Uniti che si aggiudicano quasi il 50% del totale<\/strong>.<\/p>\n\n\n\n

Un’analisi del Check Point Research 2026 rileva un incremento del 48% degli attacchi ransomware<\/strong> a livello globale rispetto all’anno precedente, con l’82% dei file malevoli veicolati via email. Il costo globale del cybercrime \u00e8 stimato da Cybersecurity Ventures in 10.500 miliardi di dollari nel 2025<\/strong>, con una proiezione di spesa in cybersecurity superiore ai 520 miliardi di dollari annui entro il 2026<\/strong>.<\/p>\n\n\n\n

Metrica<\/th>2024<\/th>2025<\/th>Variazione<\/th><\/tr><\/thead>
Incidenti gravi globali (Clusit)<\/td>~3.541<\/td>5.265<\/td>+48,7%<\/td><\/tr>
Incidenti gravi in Italia (Clusit)<\/td>~350<\/td>507<\/td>+44,9%<\/td><\/tr>
Rivendicazioni ransomware globali (TIM)<\/td>~5.200<\/td>7.400+<\/td>+42%<\/td><\/tr>
Ransomware in Italia (TIM)<\/td>~145<\/td>166<\/td>+14%<\/td><\/tr>
Campagne malware in Italia (CERT-AGID)<\/td>~2.600<\/td>3.600+<\/td>+38%<\/td><\/tr>
Vulnerabilit\u00e0 note globali (CVE)<\/td>~40.400<\/td>~48.500<\/td>+20%<\/td><\/tr>
Incidenti DDoS globali (TIM)<\/td>~6.700<\/td>~4.300<\/td>-36%<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

I Settori Pi\u00f9 Colpiti: Manifatturiero, Professionale e PA<\/h2>\n\n\n\n

Il Rapporto Clusit 2026 identifica tre settori con la crescita percentuale pi\u00f9 sostenuta nel 2025. Il manifatturiero<\/strong> registra un +79%, confermando il trend gi\u00e0 visibile nel 2024 quando le linee di produzione interconnesse e i sistemi OT (Operational Technology) sono diventati bersagli primari dei gruppi ransomware. Il Professional, Scientific and Technical<\/strong> cresce del +91%, trainato dagli attacchi a studi legali, societ\u00e0 di consulenza e fornitori di servizi IT che fungono da trampolino verso clienti pi\u00f9 grandi (supply chain attack). Il settore ICT<\/strong> stesso registra un +46%, mentre Finance e Insurance<\/strong> crescono del +27%.<\/p>\n\n\n\n

Il Settore Pubblico Italiano: 46% dei Casi SOC<\/h3>\n\n\n\n

Il Cyber Security Report TIM 2026 fornisce dati ancora pi\u00f9 granulari sul tessuto istituzionale italiano. Escludendo gli attacchi a persone fisiche, il settore governo e pubblica amministrazione<\/strong> sale al 46% del totale dei casi rilevati dai SOC (Security Operations Center)<\/strong> di TIM nel 2025. Seguono i servizi professionali, le telecomunicazioni e i trasporti.<\/p>\n\n\n\n

Questa concentrazione sulla PA \u00e8 in parte spiegabile con il profilo dell’hacktivismo filorusso che punta a massimizzare la visibilit\u00e0 degli attacchi colpendo enti governativi e servizi pubblici. Ma i dati SOC di TIM indicano anche una crescita degli attacchi economicamente motivati verso enti locali, ASL e agenzie regionali, spesso con posture di sicurezza pi\u00f9 vulnerabili rispetto alle grandi aziende private.<\/p>\n\n\n\n

Il Rapporto Clusit 2026 segnala che il Financial e Insurance<\/strong> rappresenta una quota consistente a livello globale, con gruppi come LockBit 3.0 e RansomHub che preferiscono obiettivi ad alta capacit\u00e0 di pagamento. In Italia, secondo i dati del Ministero dell’Interno citati dalla guida della International Trade Administration, la Polizia Postale (CNAIPIC)<\/strong> ha gestito nel 2024 oltre 12.000 attacchi informatici significativi<\/strong> e pi\u00f9 di 59.000 alert<\/strong> per proteggere infrastrutture di interesse nazionale.<\/p>\n\n\n\n

Il Caso Lombardia: 30% del Ransomware Italiano Concentrato in una Regione<\/h2>\n\n\n\n

La distribuzione geografica degli attacchi ransomware sul territorio italiano rivela una concentrazione inattesa. Secondo il report TIM\/Format Research 2026, circa 4 incidenti su 10 in Italia<\/strong> si sono verificati nel Nord-Ovest<\/strong>, con la sola Lombardia<\/strong> responsabile di oltre il 30% del totale nazionale<\/strong>. Un fenomeno direttamente correlato alla densit\u00e0 del tessuto produttivo: la regione ospita la quota pi\u00f9 alta di PMI manifatturiere, sedi di multinazionali e data center del Paese.<\/p>\n\n\n\n

La concentrazione geografica ha implicazioni pratiche per la risposta alle minacce. Le aziende lombarde, spesso inserite in filiere produttive globali, sono obiettivi particolarmente attraenti per i gruppi ransomware che mirano alla doppia estorsione: cifratura dei dati e minaccia di pubblicazione di informazioni riservate sui leak site del darkweb. Il settore manifatturiero e la componentistica automotive sono stati tra i bersagli pi\u00f9 frequenti nel 2025.<\/p>\n\n\n\n

Vulnerabilit\u00e0 Informatiche: Quasi 48.500 CVE nel 2025<\/h2>\n\n\n\n

Il report TIM\/Format Research 2026 certifica che nel 2025 sono state identificate e catalogate quasi 48.500 vulnerabilit\u00e0 informatiche<\/strong> (CVE, Common Vulnerabilities and Exposures), con un incremento del 20% rispetto al 2024<\/strong>. Un numero che rende impossibile la remediation tempestiva per la maggior parte delle organizzazioni, creando finestre di esposizione che i threat actor sfruttano sistematicamente.<\/p>\n\n\n\n

La crescita del numero di CVE \u00e8 alimentata da tre fattori strutturali: l’espansione della superficie d’attacco dovuta alla digitalizzazione accelerata delle filiere produttive, la maggiore efficacia dei programmi di bug bounty che incentivano la ricerca di vulnerabilit\u00e0, e l’uso dell’IA da parte dei gruppi criminali per automatizzare la scoperta e lo sfruttamento di falle nei sistemi. Secondo TIM, oltre il 50% dell’attivit\u00e0 di exploitation documentata nel 2025 \u00e8 attribuibile ad attori state-sponsored<\/strong>, con particolare riferimento a gruppi legati a Russia, Cina e Iran.<\/p>\n\n\n\n

Una rappresentante del team di ricerca TIM Cybersecurity ha commentato i dati alla presentazione del report: “La crescita delle CVE non riguarda solo la quantit\u00e0. Quello che preoccupa di pi\u00f9 \u00e8 la velocit\u00e0 con cui vengono armate: dal momento della pubblicazione di una CVE critica, i gruppi criminali dispongono spesso di exploit funzionanti nel giro di 24-72 ore.”<\/strong><\/p>\n\n\n\n

DDoS: -36% ma con Frequenza e Impatto Crescente<\/h2>\n\n\n\n

Il dato sugli attacchi DDoS sembra in apparente contraddizione con il quadro generale di crescita delle minacce. Il report TIM 2026 certifica circa 4.300 eventi DDoS nel 2025<\/strong>, in calo del 36% rispetto al 2024<\/strong>. Tuttavia, questa riduzione quantitativa nasconde un peggioramento qualitativo: il tempo di esposizione alle campagne<\/strong> \u00e8 aumentato del 19%<\/strong>, e gli eventi residui tendono ad essere pi\u00f9 sofisticati e prolungati.<\/p>\n\n\n\n

La spiegazione del paradosso sta nel consolidamento dei servizi di mitigazione DDoS da parte dei principali provider europei, che ha reso meno redditizi gli attacchi volumetrici di bassa intensit\u00e0. I gruppi hacktivisti si sono adattati puntando su attacchi application-layer (Layer 7) pi\u00f9 difficili da filtrare con le soluzioni tradizionali. Il record di 31,4 Tbps<\/strong> riportato dal Cloudflare DDoS Threat Report 2026 \u00e8 la testimonianza di come la potenza bruta disponibile ai threat actor continui a crescere nonostante la riduzione degli eventi.<\/p>\n\n\n\n

CERT-AGID: 3.600 Campagne Malware in Italia nel 2025<\/h2>\n\n\n\n

Il CERT-AGID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha documentato nel 2025 oltre 3.600 campagne malware<\/strong> rivolte a destinatari italiani, con un incremento di circa il 38% rispetto all’anno precedente<\/strong>. Le campagne comprendono phishing, smishing (phishing via SMS), malware documentale (allegati Office malevoli) e campagne di credential stuffing verso portali di enti pubblici e banche.<\/p>\n\n\n\n

La Risposta dell’ACN: 77 Milioni di Euro nel 2025<\/h3>\n\n\n\n

Il governo italiano ha investito 77 milioni di dollari in cybersecurity nel 2025<\/strong>, nell’ambito di un piano pi\u00f9 ampio da 2,2 miliardi di dollari<\/strong> per l’implementazione della Strategia Nazionale di Cybersicurezza. L’ACN, istituita nel 2021, ha progressivamente ampliato il proprio mandato operativo, coordinando il CSIRT Italia e gestendo le notifiche di incidente previste dalla direttiva NIS2, recepita in Italia nel 2024.<\/p>\n\n\n\n

Nonostante l’incremento degli investimenti, la guida della International Trade Administration<\/strong> segnala che l’Italia rimane strutturalmente esposta a causa del ritardo nel percorso di adozione di soluzioni di sicurezza avanzate da parte delle PMI, che rappresentano il 99% del tessuto produttivo nazionale. Il mercato italiano della cybersecurity vale 2,7 miliardi di euro nel 2024<\/strong>, in crescita del 15% rispetto all’anno precedente, ma gli analisti segnalano che la spesa rimane concentrata nelle grandi aziende e nella PA centrale.<\/p>\n\n\n\n

Paese \/ Regione<\/th>Incidenti Ransomware 2025<\/th>% Globale<\/th>Trend<\/th><\/tr><\/thead>
Stati Uniti<\/td>~3.700<\/td>~50%<\/td>+38%<\/td><\/tr>
Unione Europea (totale)<\/td>~1.184<\/td>16%<\/td>+29%<\/td><\/tr>
Germania<\/td>~280<\/td>3,8%<\/td>+22% (supera UK)<\/td><\/tr>
Regno Unito<\/td>~260<\/td>3,5%<\/td>+15%<\/td><\/tr>
Italia<\/td>166<\/td>2,2%<\/td>+14%<\/td><\/tr>
Francia<\/td>~140<\/td>1,9%<\/td>+18%<\/td><\/tr>
Resto del mondo<\/td>~1.970<\/td>26,6%<\/td>+55%<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il Confronto Europeo: la Germania Supera il Regno Unito<\/h2>\n\n\n\n

Una delle novit\u00e0 di rilievo nel report TIM 2026 riguarda il riposizionamento europeo nella classifica dei Paesi pi\u00f9 colpiti dal ransomware. Per la prima volta, la Germania supera il Regno Unito<\/strong> diventando il Paese europeo con il maggior numero di incidenti ransomware nel 2025. Questo sorpasso riflette la crescente esposizione del settore manifatturiero tedesco, in particolare nell’industria automotive e nella componentistica meccanica, alle campagne dei principali gruppi ransomware internazionali.<\/p>\n\n\n\n

L’esercitazione Cyber Europe 2026<\/strong>, organizzata dall’ENISA il 10 e 11 giugno 2026 con oltre 5.000 esperti di sicurezza da tutta l’UE, ha messo al centro delle simulazioni proprio la risposta a cyberattacchi contro le infrastrutture di trasporto: ferrovie, porti e aeroporti. L’ENISA ha sottolineato che gli attori state-sponsored, in particolare legati alla Russia, stanno progressivamente spostando il focus verso sistemi ICS\/SCADA nelle infrastrutture critiche europee, con un incremento del +50% degli attacchi OT rispetto al 2024.<\/p>\n\n\n\n

Un rappresentante dell’ENISA ha dichiarato in riferimento all’esercitazione: “Cyber Europe 2026 ha dimostrato che la capacit\u00e0 di risposta dell’UE \u00e8 migliorata, ma le minacce evolvono pi\u00f9 rapidamente delle difese. La cooperazione tra CSIRT nazionali \u00e8 oggi la prima linea di difesa per proteggere le reti europee da attori con risorse quasi illimitate.”<\/strong><\/p>\n\n\n\n

Previsioni 2026: Cosa Aspettarsi nei Prossimi Mesi<\/h2>\n\n\n\n

Sulla base dei dati del Rapporto Clusit 2026, del report TIM\/Format Research e delle tendenze emerse nel primo semestre 2026, \u00e8 possibile formulare cinque previsioni per i mesi a venire:<\/p>\n\n\n\n

    \n
  1. Escalation degli attacchi alla PA italiana:<\/strong> con le elezioni amministrative di autunno 2026 e il semestre di presidenza italiana del G7, i collettivi hacktivistici aumenteranno la pressione su siti governativi e portali istituzionali. La quota del settore pubblico nel totale degli incidenti SOC potrebbe superare il 50%.<\/li>\n
  2. Ransomware verso le PMI manifatturiere del Nord-Ovest:<\/strong> la concentrazione geografica emersa nel report TIM \u00e8 destinata ad accentuarsi. I gruppi come RansomHub e Akira continuano a colpire aziende con fatturati tra 10 e 100 milioni di euro, spesso prive di SOC dedicati. Ci si aspetta un incremento ulteriore del 15-20% dei casi italiani nel 2026.<\/li>\n
  3. Crescita degli attacchi alle infrastrutture energetiche:<\/strong> il precedente dei cyberattacchi russi alle reti idriche ed energetiche di sei Paesi UE nel 2026 suggerisce che anche l’Italia, con le sue centrali termoelettriche e le reti di distribuzione del gas, rientri nel perimetro dei potenziali obiettivi strategici.<\/li>\n
  4. AI-assisted attack: la soglia si abbassa ulteriormente:<\/strong> gli strumenti di automazione degli attacchi basati su LLM renderanno disponibili capacit\u00e0 di ricognizione e spear-phishing avanzate anche a gruppi criminali con risorse limitate. I ricercatori prevedono che entro fine 2026 oltre il 60% delle campagne phishing sar\u00e0 generato o ottimizzato tramite AI.<\/li>\n
  5. Obbligo NIS2 come acceleratore della spesa:<\/strong> con le sanzioni NIS2 operative in Italia dalla fine del 2024, le aziende nel perimetro obbligatorio accelereranno gli investimenti in SOC-as-a-Service, vulnerability management e incident response. Il mercato italiano della cybersecurity potrebbe raggiungere i 3 miliardi di euro entro fine 2026.<\/li>\n<\/ol>\n\n\n\n

    Raccomandazioni per Aziende e PA Italiane<\/h2>\n\n\n\n

    Gabriele Faggioli, commentando le implicazioni operative del Rapporto Clusit 2026, ha sottolineato che “la priorit\u00e0 assoluta per il 2026 \u00e8 colmare il divario tra la consapevolezza del rischio e la capacit\u00e0 concreta di risposta. Troppe organizzazioni italiane dispongono di policy sulla carta ma non hanno mai testato i propri piani di incident response in condizioni reali.”<\/strong><\/p>\n\n\n\n

    Sulla base dei dati dei report esaminati, le priorit\u00e0 operative per organizzazioni italiane di ogni dimensione includono:<\/p>\n\n\n\n