{"id":343,"date":"2026-06-23T08:49:39","date_gmt":"2026-06-23T08:49:39","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/23\/tim-cyber-security-report-2026-ransomware-italia\/"},"modified":"2026-06-23T08:52:26","modified_gmt":"2026-06-23T08:52:26","slug":"tim-cyber-security-report-2026-ransomware-italia","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/tim-cyber-security-report-2026-ransomware-italia\/","title":{"rendered":"TIM Report 2026: 166 Ransomware in Italia, NIS2 al 3,9%"},"content":{"rendered":"\n

Il Cyber Security Report 2026<\/strong>, presentato il 9 giugno 2026 alla Camera dei Deputati da TIM e dalla Fondazione per la Sicurezza Informatica, fotografa un 2025 in cui la pressione delle minacce informatiche sull’Italia non ha precedenti. Gli attacchi ransomware nel paese sono cresciuti del 14% rispetto al 2024, con 166 casi rivendicati. A livello globale la stessa categoria ha registrato un incremento del 42%. Il 46% degli eventi DDoS che colpiscono aziende e istituzioni italiane prende di mira il settore governativo. Oltre il 50% dell’attivit\u00e0 di sfruttamento delle vulnerabilit\u00e0 \u00e8 attribuito ad attori sponsorizzati da Stati. E, a rendere il quadro ancora pi\u00f9 critico, solo il 3,9% delle imprese italiane dichiara di conoscere la Direttiva NIS2 in modo dettagliato.<\/p>\n\n\n\n

Il report, giunto alla sua seconda edizione, \u00e8 prodotto con il contributo del Centro Studi TIM e si avvale degli approfondimenti di Insikt Group<\/strong>, l’unit\u00e0 di threat intelligence di Recorded Future, per offrire una lettura comparata del rischio cyber a livello internazionale. I dati combinano le rilevazioni dei sistemi di difesa del Gruppo TIM con l’analisi di migliaia di incidenti pubblicamente noti. Il risultato \u00e8 il documento pi\u00f9 organico disponibile oggi sul panorama della sicurezza informatica in Italia.<\/p>\n\n\n\n

Il Quadro Generale: Pressione in Accelerazione su Tutti i Fronti<\/h2>\n\n\n\n

Il 2025 ha confermato una tendenza strutturale: il cybercrimine non \u00e8 pi\u00f9 un fenomeno episodico ma una minaccia sistemica, capace di colpire qualsiasi settore con strumenti sempre pi\u00f9 accessibili e automatizzati. Secondo il report TIM, tre dinamiche dominano il panorama attuale. Prima: gli attacchi DDoS diventano pi\u00f9 concentrati e prendono di mira obiettivi sensibili con precisione crescente. Seconda: il ransomware accelera su scala globale, sostenuto da un ecosistema Ransomware-as-a-Service che abbassa le barriere di ingresso per i criminali. Terza: le vulnerabilit\u00e0 assumono rilevanza strategica, con oltre il 50% dell’attivit\u00e0 di exploitation attribuita a gruppi legati a governi stranieri.<\/p>\n\n\n\n

L’intelligenza artificiale gioca un ruolo trasversale in questo scenario: amplifica la velocit\u00e0 e la scala di alcune categorie di attacchi, in particolare il phishing e la produzione di malware polimorfici, ma al tempo stesso potenzia gli strumenti difensivi. Il report TIM inquadra l’AI come “un driver chiave di trasformazione” che richiede un aggiornamento urgente delle strategie di sicurezza da parte delle organizzazioni italiane.<\/p>\n\n\n\n

Il costo globale del cybercrimine \u00e8 proiettato a 10.500 miliardi di dollari nel 2026, secondo le stime di ORDR Research. Il costo medio di una singola violazione dei dati ha raggiunto 4,88 milioni di dollari a livello mondiale. Le organizzazioni impiegano in media 277 giorni per identificare e contenere un incidente. Questi numeri definiscono il perimetro economico entro cui opera il report TIM quando parla di “pressione crescente sulle infrastrutture italiane”.<\/p>\n\n\n\n

Ransomware in Italia: 166 Casi nel 2025, il Nord-Ovest nel Mirino<\/h2>\n\n\n\n

Con 166 attacchi ransomware rivendicati nel corso del 2025, l’Italia registra un incremento del 14% rispetto all’anno precedente. Un dato che, letto in isolamento, potrebbe sembrare contenuto. Nel contesto globale, per\u00f2, rappresenta una delle crescite pi\u00f9 significative tra i paesi dell’Europa occidentale. Il report TIM identifica una concentrazione geografica precisa: circa quattro incidenti su dieci si sono verificati nel Nord-Ovest del paese, con la Lombardia responsabile di oltre il 30% del totale nazionale.<\/p>\n\n\n\n

La Concentrazione Geografica: Lombardia Sopra il 30%<\/h3>\n\n\n\n

La Lombardia \u00e8 la regione italiana con la pi\u00f9 alta densit\u00e0 di aziende manifatturiere, logistiche e finanziarie del paese. Questa concentrazione di infrastrutture produttive la rende il bersaglio preferito dei gruppi ransomware che puntano alla massima leva estorsiva. Il modello operativo prevalente \u00e8 il “double extortion”: cifratura dei dati combinata con furto e minaccia di pubblicazione. Le PMI lombarde, spesso prive di team di sicurezza dedicati e con sistemi IT datati, sono le vittime pi\u00f9 frequenti.<\/p>\n\n\n\n

Il dato geografico del report TIM \u00e8 coerente con quanto gi\u00e0 documentato dal Clusit nel suo Rapporto 2026. Le due fonti usano metodologie diverse, ma convergono sulla stessa diagnosi: il Nord Italia \u00e8 il cuore pulsante del rischio ransomware nazionale. Secondo il rapporto Elmec Data Gathering 2026, in tutta Italia nel 2025 sono state registrate oltre 3.600 campagne di phishing, molte delle quali costituivano il vettore iniziale di infezioni ransomware successive.<\/p>\n\n\n\n

Indicatore<\/th>Italia 2024<\/th>Italia 2025<\/th>Variazione<\/th><\/tr><\/thead>
Attacchi ransomware rivendicati<\/td>~146<\/td>166<\/td>+14%<\/td><\/tr>
Campagne phishing in Italia<\/td>N\/D<\/td>3.600+<\/td>N\/D<\/td><\/tr>
Incidenti nel Nord-Ovest sul totale<\/td>~35%<\/td>~40%<\/td>+5 pp<\/td><\/tr>
Quota Lombardia sul totale nazionale<\/td>~27%<\/td>>30%<\/td>+3 pp<\/td><\/tr>
DDoS su settore governo (% del totale)<\/td>~38%<\/td>46%<\/td>+8 pp<\/td><\/tr>
Exploit attribuiti ad attori statali<\/td><40%<\/td>>50%<\/td>+10+ pp<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Fonti: TIM e Fondazione per la Sicurezza Informatica, Cyber Security Report 2026 (9 giugno 2026); Elmec Data Gathering 2026.<\/em><\/p>\n\n\n\n

La Dimensione Globale: +42% di Ransomware e 7.000 Attacchi nel 2025<\/h2>\n\n\n\n

Sul piano internazionale, il 2025 \u00e8 stato l’anno del consolidamento del ransomware come industria strutturata. A livello globale, i report di settore documentano oltre 7.000 attacchi ransomware, con un incremento del 42% sul 2024. I gruppi pi\u00f9 attivi hanno ampliato i modelli di triple extortion, aggiungendo la minaccia di attacchi DDoS alle organizzazioni gi\u00e0 colpite per aumentare ulteriormente la pressione estorsiva.<\/p>\n\n\n\n

Il report TIM si avvale dei dati di Insikt Group di Recorded Future per contestualizzare questa crescita a livello internazionale. Il team di threat intelligence di Recorded Future monitora decine di forum clandestini e leak site attivi nel dark web, e identifica una tendenza chiara: il numero di gruppi ransomware attivi \u00e8 cresciuto del 49% rispetto all’anno precedente, stando al rapporto IBM X-Force 2026, mentre il numero di vulnerabilit\u00e0 nuove pubblicate nel 2025 ha raggiunto 48.000 (fonte: Elmec Data Gathering 2026), contro le 33.524 del periodo luglio 2023-luglio 2024 documentate da ENISA.<\/p>\n\n\n\n

“Il panorama delle minacce si \u00e8 evoluto in modo tale che anche organizzazioni con buone pratiche di sicurezza si trovano esposte a rischi significativi,” si legge nell’analisi di Insikt Group integrata nel report TIM. “La combinazione di AI generativa accessibile, mercati criminali organizzati e vulnerabilit\u00e0 nei sistemi legacy ha abbassato il costo di un attacco sofisticato a livelli senza precedenti.”<\/p>\n\n\n\n

La spesa globale in sicurezza informatica ha raggiunto 183,9 miliardi di dollari nel 2026, un incremento del 15% rispetto all’anno precedente. Questo dato, documentato da ORDR Research, testimonia che l’aumento degli investimenti in difesa non riesce ancora a tenere il passo con la crescita della superficie di attacco. Il numero di account violati a livello globale nel 2025 ha superato i 425 milioni, secondo il Data Gathering 2026 di Elmec.<\/p>\n\n\n\n

DDoS: il 46% dei Colpi Mira alle Istituzioni Governative Italiane<\/h2>\n\n\n\n

Gli attacchi DDoS (Distributed Denial of Service) in Italia nel 2025 hanno cambiato natura: non sono pi\u00f9 atti dimostrativi generici, ma strumenti mirati contro obiettivi strategici. Il 46% degli eventi DDoS che colpiscono aziende e istituzioni italiane prende di mira il settore governativo. Ministeri, agenzie pubbliche, portali di servizi digitali e piattaforme di trasporto urbano nelle principali citt\u00e0 sono stati i bersagli pi\u00f9 frequenti.<\/p>\n\n\n\n

Questa concentrazione non \u00e8 casuale. I gruppi hacktivisti filo-russi e filo-palestinesi, gi\u00e0 attivi nel 2024, hanno intensificato le campagne contro l’Italia in risposta alle posizioni del governo italiano sui conflitti internazionali. Nel gennaio 2025, come documentato dal CSIS (Center for Strategic and International Studies), un gruppo hacktivista filo-russo ha rivendicato attacchi ai siti di ministeri italiani e alle piattaforme di trasporto pubblico a Roma e Palermo, citando esplicitamente il sostegno di Roma a Kiev come motivazione.<\/p>\n\n\n\n

Il report TIM registra che gli attacchi DDoS stanno diventando “pi\u00f9 concentrati” e “sempre pi\u00f9 mirati verso obiettivi sensibili”, con una sofisticazione crescente che richiede capacit\u00e0 di mitigazione proporzionalmente avanzate. I servizi di DDoS-for-Hire disponibili sui mercati clandestini permettono anche ad attori non tecnici di lanciare campagne sostenute contro obiettivi specifici per poche centinaia di euro. La crescita del settore DDoS-for-Hire \u00e8 guidata in particolare da botnet composte da dispositivi residenziali e mobili compromessi, sempre pi\u00f9 difficili da distinguere dal traffico legittimo.<\/p>\n\n\n\n

Attori Statali: Oltre il 50% degli Exploit \u00e8 Sponsorizzato da Governi<\/h2>\n\n\n\n

Una delle rilevazioni pi\u00f9 significative del Cyber Security Report 2026 riguarda la composizione degli attori che sfruttano le vulnerabilit\u00e0: pi\u00f9 del 50% dell’attivit\u00e0 di exploitation attribuita nel 2025 \u00e8 riconducibile a gruppi sponsorizzati da governi stranieri. Questo dato posiziona l’Italia, e l’Europa in generale, al centro di una guerra cibernetica a bassa intensit\u00e0 ma ad alta continuit\u00e0.<\/p>\n\n\n\n

I principali attori statali attivi contro obiettivi europei e italiani includono gruppi affiliati alla Russia (APT28, noto anche come Fancy Bear, e APT29), alla Cina (Salt Typhoon, Volt Typhoon) e all’Iran (MuddyWater). Nel gennaio 2026, il gruppo APT28 ha condotto la campagna “Operation Neusploit”, che ha preso di mira paesi dell’Europa centrale e orientale con catene di infezione multi-stadio per la distribuzione di backdoor persistenti, come documentato dal CSIS.<\/p>\n\n\n\n

Salt Typhoon, il gruppo cinese specializzato in spionaggio su infrastrutture di telecomunicazione, ha colpito IBM Italia nel 2026, con due settimane di accesso non autorizzato a sistemi connessi a INPS e INAIL. Questi episodi confermano il pattern identificato nel report TIM: le infrastrutture critiche italiane sono bersagli deliberati di campagne statali con obiettivi di intelligence e, in alcuni scenari, di pre-posizionamento per operazioni future.<\/p>\n\n\n\n

Eugenio Santagata, responsabile della sicurezza pubblica e delle relazioni istituzionali di TIM, ha commentato la presentazione del report alla Camera: “I dati che presentiamo oggi confermano che la minaccia cyber non \u00e8 pi\u00f9 un problema tecnico ma una questione di sicurezza nazionale. Le imprese italiane devono comprendere che investire in cybersecurity significa proteggere la competitivit\u00e0 del paese.”<\/p>\n\n\n\n

Intelligenza Artificiale: Acceleratore di Minacce e Strumento di Difesa<\/h2>\n\n\n\n

AI Offensiva vs AI Difensiva: Il Nuovo Equilibrio<\/h3>\n\n\n\n

Il Cyber Security Report 2026 identifica l’intelligenza artificiale come “un driver chiave di trasformazione” con effetti sia sulla superficie di attacco che sugli strumenti difensivi. Sul versante offensivo, l’AI generativa permette la creazione di campagne di phishing altamente personalizzate a costi marginali, la produzione di malware polimorfico in grado di eludere i sistemi di detection basati su signature, e la generazione di deepfake audio e video per attacchi Business Email Compromise (BEC) di nuova generazione.<\/p>\n\n\n\n

Il rapporto del World Economic Forum Global Cybersecurity Outlook 2026 evidenzia che le perdite di dati associate all’AI generativa (34%) e l’avanzamento delle capacit\u00e0 avversariali potenziate dall’AI (29%) sono le due preoccupazioni principali per il 2026. Il cambio rispetto al 2025 \u00e8 marcato: nel 2025, l’avanzamento delle capacit\u00e0 avversariali era in cima alla lista al 47%, mentre le perdite di dati legate all’AI generativa si attestavano al 22%. Questo cambio di priorit\u00e0 segnala una svolta: le organizzazioni temono ora pi\u00f9 la perdita di controllo sui propri dati attraverso strumenti AI interni che non la minaccia esterna di attaccanti pi\u00f9 sofisticati.<\/p>\n\n\n\n

Sul versante difensivo, le piattaforme XDR (Extended Detection and Response) basate su AI stanno riducendo il tempo medio di detection degli incidenti. I sistemi di analisi comportamentale (UEBA) alimentati da modelli di machine learning identificano anomalie che sfuggono alle regole statiche. Il report TIM sottolinea che “l’AI rafforza gli strumenti di analisi e difesa”, ma avverte che questo rafforzamento \u00e8 efficace solo se accompagnato da investimenti adeguati in competenze umane specializzate.<\/p>\n\n\n\n

L’analisi di Insikt Group inserita nel report TIM evidenzia una tendenza critica: i gruppi ransomware pi\u00f9 sofisticati usano gi\u00e0 AI per ottimizzare le campagne di spear-phishing, identificando automaticamente i profili dei dipendenti IT target e costruendo messaggi credibili con dettagli contestuali precisi. Questo abbassa drasticamente il tasso di fallimento degli attacchi iniziali, con alcune campagne che raggiungono tassi di click superiori al 30% rispetto al 5-8% tipico del phishing tradizionale.<\/p>\n\n\n\n

NIS2 in Italia: il 96,1% delle Aziende Non la Conosce Davvero<\/h2>\n\n\n\n

Il dato sulla conoscenza della Direttiva NIS2 tra le imprese italiane \u00e8 probabilmente la rilevazione pi\u00f9 allarmante del report. Secondo il sondaggio condotto da Format Research per il Cyber Security Report 2026, il 62,2% delle aziende afferma spontaneamente di conoscere la NIS2, un tasso apparentemente rassicurante. Il quadro cambia radicalmente quando si analizzano i dettagli: solo il 24,5% dichiara una familiarit\u00e0 almeno parziale con i contenuti della direttiva, e appena il 3,9% afferma di conoscerla in modo “dettagliato”. Il 13,3% non sa nemmeno se la conosce.<\/p>\n\n\n\n

Il Divario tra Consapevolezza Dichiarata e Conoscenza Reale<\/h3>\n\n\n\n

Questo divario tra consapevolezza dichiarata (62,2%) e conoscenza effettiva (3,9%) \u00e8 sintomatico di un problema strutturale nella compliance italiana. La NIS2, recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024 ed entrata in vigore il 16 ottobre 2024, obbliga migliaia di organizzazioni nei settori critici ad adottare misure di sicurezza specifiche, segnalare gli incidenti entro 24 ore e documentare i rischi della catena di fornitura.<\/p>\n\n\n\n

L’ACN (Agenzia per la Cybersicurezza Nazionale) avvier\u00e0 le ispezioni formali a partire da ottobre 2026, con sanzioni che possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti “essenziali”. La maggior parte delle 20.000 aziende che secondo l’ACN ricadono nell’ambito di applicazione della NIS2 non ha ancora completato il processo di registrazione e adeguamento.<\/p>\n\n\n\n

Il sondaggio Format Research, commissionato specificamente per questo report, ha intervistato un campione rappresentativo di imprese italiane di diverse dimensioni e settori. I risultati mostrano che la conoscenza della NIS2 \u00e8 inversamente proporzionale alle dimensioni aziendali: le grandi imprese e le multinazionali hanno livelli di familiarit\u00e0 significativamente pi\u00f9 alti, mentre le PMI, che costituiscono il 99% del tessuto produttivo italiano, sono quelle pi\u00f9 esposte al rischio di non conformit\u00e0.<\/p>\n\n\n\n

Livello di conoscenza NIS2<\/th>Percentuale aziende italiane<\/th>Rischio compliance<\/th><\/tr><\/thead>
Conoscenza dettagliata<\/td>3,9%<\/td>Basso<\/td><\/tr>
Conoscenza parziale<\/td>24,5%<\/td>Medio<\/td><\/tr>
Conoscenza dichiarata ma non verificata<\/td>62,2%<\/td>Alto<\/td><\/tr>
Incerto o non sa<\/td>13,3%<\/td>Critico<\/td><\/tr>
Aziende soggette a NIS2 (stima ACN)<\/td>~20.000<\/td>Ispezioni da ottobre 2026<\/td><\/tr>
Sanzione massima (soggetti essenziali)<\/td>10M EUR o 2% fatturato<\/td>In vigore da ottobre 2024<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Fonti: TIM e Fondazione per la Sicurezza Informatica, Cyber Security Report 2026; Format Research; D.Lgs. n. 138\/2024; ACN.<\/em><\/p>\n\n\n\n

Andrea Chittaro, presidente del CISO Forum Italia, ha commentato questi dati con preoccupazione: “Un’azienda che pensa di conoscere la NIS2 ma non l’ha mai letta in modo strutturato \u00e8 pi\u00f9 pericolosa di una che ammette di non conoscerla. La falsa consapevolezza crea una sicurezza illusoria che porta a ritardare gli investimenti necessari fino a quando l’ispezione ACN o un incidente reale non forzano la mano.”<\/p>\n\n\n\n

Il Mercato della Cybersecurity Italiana: 4,65 Miliardi nel 2026<\/h2>\n\n\n\n

L’intensificazione delle minacce sta alimentando una crescita robusta del mercato della cybersecurity in Italia. Secondo le stime di Mordor Intelligence, il mercato italiano vale 4,65 miliardi di dollari nel 2026 e crescer\u00e0 con un CAGR del 12,78% fino a raggiungere 8,48 miliardi di dollari entro il 2031. La componente dei servizi di Managed Detection and Response (MDR) registra la crescita pi\u00f9 rapida, con un CAGR del 13,95%.<\/p>\n\n\n\n

Questa espansione riflette la crescente consapevolezza delle imprese italiane. Tuttavia, come dimostrano i dati del report TIM sulla NIS2, questa consapevolezza \u00e8 ancora lontana dalla maturit\u00e0 operativa necessaria. Gli investimenti maggiori provengono da banche, assicurazioni e infrastrutture critiche, che per effetto della NIS2 e del Regolamento DORA (Digital Operational Resilience Act) hanno obblighi di compliance ben definiti e scadenze ravvicinate.<\/p>\n\n\n\n

La spesa pubblica in cybersecurity \u00e8 in crescita grazie agli investimenti del Piano Nazionale di Ripresa e Resilienza (PNRR), che destina risorse significative alla digitalizzazione sicura della pubblica amministrazione. Tuttavia, la competizione per le risorse umane specializzate rimane il principale collo di bottiglia: l’Italia conta circa 100.000 professionisti della cybersecurity, a fronte di una domanda stimata che supera i 150.000. Questo gap di competenze non si colmer\u00e0 nel breve periodo, rendendo i servizi MDR gestiti da terzi la soluzione prioritaria per la maggioranza delle organizzazioni italiane.<\/p>\n\n\n\n

Confronto con i Principali Report di Settore: Clusit, ENISA, Elmec<\/h2>\n\n\n\n

Il Cyber Security Report 2026 di TIM non opera in isolamento. Tre altri report pubblicati tra il 2025 e il 2026 permettono di triangolare i dati e costruire un quadro pi\u00f9 completo della situazione italiana ed europea.<\/p>\n\n\n\n

Il Rapporto Clusit 2026<\/strong> documenta 507 attacchi significativi contro obiettivi italiani nel 2025, con l’Italia che diventa per la prima volta il paese europeo pi\u00f9 colpito in proporzione al PIL. Il dato Clusit e il dato TIM usano metodologie diverse: il Clusit include tutte le categorie di attacchi documentati pubblicamente, mentre il report TIM si concentra su ransomware e DDoS rilevati direttamente dai sistemi del Gruppo. I due report sono complementari, non sostitutivi.<\/p>\n\n\n\n

L’ENISA Threat Landscape 2024<\/strong> registra 454 incidenti nel settore dei trasporti UE nel periodo luglio 2023-luglio 2024, confermando il trasporto come secondo settore pi\u00f9 colpito nell’UE con l’11% del totale. Il report TIM aggiunge la prospettiva italiana su come queste minacce si concretizzano a livello nazionale, con la specificit\u00e0 del dato geografico su Lombardia e Nord-Ovest.<\/p>\n\n\n\n

Il report Elmec Data Gathering 2026<\/strong> quantifica un aumento del 48% dell’attivit\u00e0 malevola globale nel 2025, con 48.000 nuovi CVE pubblicati nell’anno. Questo dato sulle vulnerabilit\u00e0 \u00e8 particolarmente rilevante: la crescita geometrica del numero di falle note supera di gran lunga la capacit\u00e0 delle organizzazioni di applicare patch in tempi ragionevoli, creando un accumulo di debito tecnico di sicurezza che gli attaccanti sfruttano sistematicamente.<\/p>\n\n\n\n

La sintesi di questi quattro report costruisce un’immagine coerente: l’Italia affronta una minaccia cyber crescente su tutti i fronti, con risorse di difesa ancora insufficienti rispetto all’esposizione, e con una consapevolezza regolamentare (NIS2) drammaticamente bassa nelle fasce di impresa pi\u00f9 vulnerabili.<\/p>\n\n\n\n

Impatto sul Mercato e sui Modelli di Difesa Aziendali<\/h2>\n\n\n\n

Le implicazioni del Cyber Security Report 2026 per le organizzazioni italiane si traducono in decisioni concrete di investimento e di governance. Il modello di difesa perimetrale tradizionale, basato su firewall e antivirus, \u00e8 stato superato dagli attacchi moderni che sfruttano credenziali compromesse e vulnerabilit\u00e0 nelle applicazioni web. La risposta del mercato italiano si articola su quattro direttrici.<\/p>\n\n\n\n

Zero Trust come standard operativo.<\/strong> Sempre pi\u00f9 organizzazioni italiane stanno abbandonando la logica “fidati ma verifica” a favore del principio “non fidarti mai, verifica sempre”. Questo significa autenticazione continua, segmentazione della rete e accesso minimo privilegiato per ogni utente e dispositivo. Le grandi imprese italiane con operazioni internazionali hanno gi\u00e0 avviato trasformazioni Zero Trust pluriennali, spinte anche dai requisiti NIS2 sulla gestione degli accessi.<\/p>\n\n\n\n

Crescita dei SOC gestiti.<\/strong> Le PMI, impossibilitate a mantenere team di sicurezza interni attivi 24 ore su 24, stanno affidando la gestione degli alert e la risposta agli incidenti a fornitori di Managed Security Services (MSSP). TIM stessa \u00e8 uno dei principali operatori in questo segmento: il report combina quindi un’analisi delle minacce con una proposta commerciale, un elemento di cui il lettore deve tenere conto nella valutazione dei dati.<\/p>\n\n\n\n

Priorit\u00e0 alla gestione delle vulnerabilit\u00e0 basata sul rischio.<\/strong> Con 48.000 nuovi CVE nel 2025, nessuna organizzazione pu\u00f2 applicare patch a tutto in tempi ragionevoli. I programmi di Vulnerability Management basati su prioritizzazione del rischio (CVSS combinato con il contesto operativo specifico) sono diventati una necessit\u00e0 operativa. L’ACN ha pubblicato linee guida specifiche per le organizzazioni NIS2 su come costruire questi programmi.<\/p>\n\n\n\n

Formazione continua del personale.<\/strong> Il phishing rimane il principale vettore di infezione iniziale in Italia, responsabile di oltre il 70% degli attacchi ransomware che hanno successo. Il report TIM sottolinea che i programmi di security awareness regolari, con simulazioni di phishing mensili, riducono significativamente il tasso di click su link malevoli, con impatto diretto sul numero di incidenti gestiti dai SOC.<\/p>\n\n\n\n

Cosa Dicono gli Esperti: Analisi e Prospettive sul 2026<\/h2>\n\n\n\n

La presentazione del report alla Camera dei Deputati ha riunito rappresentanti istituzionali, accademici e operatori del settore. Paola Girdinio, presidente della Fondazione per la Sicurezza Informatica, ha posto l’accento sul nodo della sovranit\u00e0 digitale: “La sicurezza informatica non \u00e8 pi\u00f9 solo una questione tecnologica. Riguarda la capacit\u00e0 dell’Italia di proteggere i propri sistemi produttivi, la propria amministrazione pubblica e, in ultima analisi, la propria democrazia. Il gap sulla NIS2 che questo report documenta deve diventare un’urgenza di governo, non solo di settore.”<\/p>\n\n\n\n

Dal lato dell’analisi internazionale, il team di Insikt Group di Recorded Future ha contribuito al report con una valutazione sul ruolo degli attori statali: “Il 2025 ha visto una convergenza tra operazioni di spionaggio e precondizionamento per attacchi disruptivi. I gruppi sponsorizzati da governi stranieri non si limitano a rubare dati: pre-posizionano backdoor nelle infrastrutture critiche per utilizzi futuri. L’Italia, come paese NATO e membro G7, \u00e8 un bersaglio di primo livello in questo scenario.”<\/p>\n\n\n\n

Juhan Lepassaar, direttore esecutivo di ENISA, ha commentato il contesto europeo in cui si inserisce il report TIM: “I dati del nostro Threat Landscape 2024 confermano che il settore dei trasporti e le infrastrutture critiche continuano ad essere bersagli di prima scelta per attori statali e criminali. La cooperazione tra stati membri funziona quando viene testata, come ha dimostrato Cyber Europe 2026. Ma la resilienza operativa si costruisce con investimenti concreti, non solo con esercitazioni.”<\/p>\n\n\n\n

Il Centro Studi TIM ha infine evidenziato che la collaborazione pubblico-privato \u00e8 il fattore abilitante che l’Italia non ha ancora sviluppato in modo strutturale: “I dati che raccogliamo nei nostri sistemi di difesa hanno un valore enorme per la sicurezza collettiva. La condivisione delle informazioni sulle minacce tra aziende private e istituzioni pubbliche avviene ancora in modo troppo frammentato. Il report \u00e8 anche un appello a costruire un ecosistema di threat intelligence condivisa a livello nazionale.”<\/p>\n\n\n\n

Cinque Previsioni per il 2026-2027<\/h2>\n\n\n\n

Basandosi sui trend identificati nel report TIM e nei report complementari, emergono cinque previsioni concrete per il biennio 2026-2027.<\/p>\n\n\n\n

1. Gli attacchi ransomware in Italia supereranno i 200 casi nel 2026.<\/strong> Con un trend di crescita del 14% annuo e l’ulteriore espansione del modello RaaS, il numero di attacchi rivendicati contro obiettivi italiani raggiunger\u00e0 le 200 unit\u00e0 gi\u00e0 prima della fine dell’anno in corso. Le PMI del Nord-Est, ancora meno protette rispetto a quelle lombarde, diventeranno il nuovo epicentro geografico.<\/p>\n\n\n\n

2. Le prime sanzioni NIS2 da parte dell’ACN arriveranno entro il Q1 2027.<\/strong> Con le ispezioni programmate da ottobre 2026, le prime organizzazioni che riceveranno notifiche di non conformit\u00e0 saranno quelle nei settori energia e trasporti, dove la maturit\u00e0 cyber \u00e8 pi\u00f9 bassa rispetto all’esposizione critica. Almeno una sanzione superiore al milione di euro sar\u00e0 comminata entro marzo 2027, con effetto deterrente sul mercato.<\/p>\n\n\n\n

3. Gli attacchi AI-driven supereranno il 60% del phishing totale entro fine 2026.<\/strong> I modelli di AI generativa accessibili stanno abbattendo i costi della produzione di email di phishing contestualizzate. Entro il terzo trimestre 2026, pi\u00f9 della met\u00e0 delle campagne documentate in Italia utilizzer\u00e0 AI per la personalizzazione del messaggio e la costruzione del pretesto.<\/p>\n\n\n\n

4. Il mercato MDR italiano crescer\u00e0 del 25% nel 2026.<\/strong> La combinazione di obblighi NIS2, aumento degli attacchi e carenza di competenze interne spinger\u00e0 le organizzazioni italiane verso contratti di Managed Detection and Response. Il segmento crescer\u00e0 a un ritmo superiore al doppio della media del mercato complessivo della cybersecurity nazionale (CAGR 12,78%).<\/p>\n\n\n\n

5. Un incidente critico colpir\u00e0 un’infrastruttura ferroviaria o portuale italiana entro il 2027.<\/strong> I dati ENISA sul settore trasporti e i risultati dell’esercizio Cyber Europe 2026 indicano che rail e marittimo sono i due settori con il gap pi\u00f9 ampio tra maturit\u00e0 cyber e criticit\u00e0 operativa. Un incidente reale con impatto operativo significativo su una rete ferroviaria o un porto italiano \u00e8 uno scenario ad alta probabilit\u00e0 entro 18 mesi, come confermato dall’analisi di rischio inserita nel report TIM.<\/p>\n\n\n\n

Coperture Correlate<\/h2>\n\n\n\n

Per approfondire i temi trattati in questo articolo:<\/p>\n\n\n\n