Anno orribile. Il 2025 segna un nuovo record storico per la criminalità informatica che non accenna a rallentare, sia a livello globale sia in Italia.
Due sguardi: nel mondo gli attacchi cyber gravi sono stati 5.265, cresciuti del 49% rispetto al 2024, un numero mai così altro in termini assoluti. In Italia 507, in confronto ai 357 del 2024, in crescita anno su anno del 42%, che confermano il nostro Paese colpito dal 9,6% degli attacchi globali.
La fotografia scattata dal rapporto 2026 di Clusit, l’Associazione Italiana per la Sicurezza Informatica, e presentata in anteprima alla stampa questa settimana, è il termometro annuale degli attacchi noti, cioè andati a buon fine nel 2025 e di particolare gravità, con impatti significativi in termini economici, tecnologici, legali, reputazionali sulle organizzazioni colpite.
Attacchi che negli ultimi cinque anni sono aumentati del 157% e che sono solo una parte dell’ampio mondo del cybercrime nascosto.
L’analisi Clusit che si focalizza su cinque variabili chiave (le categorie di vittime, i profili degli aggressori, le tecniche impiegate, la distribuzione geografica degli incidenti, il loro impatto) mostra come le minacce, pur mantenendo lo stesso nome anno dopo anno, hanno subìto una evoluzione importante complice l’intelligenza artificiale che ha contribuito ad affinarle, ridefinendo il mercato della cybersicurezza . “La cybersecurity è un’urgenza per tutti, un fatto di cronaca dilagante, cresce il timore delle persone comuni nell’utilizzo di applicazioni online, per incidenti in aumento e sempre più sofisticati, grazie all’uso dell’AI – esordisce Anna Vaccarelli, presidente di Clusit -. Le normative aiutano ad essere più resilienti ma non sempre questo basta. Settori come banche e assicurazioni sono i più attaccati perché il loro denaro fa gola a tutti, anche se diminuiscono gli incidenti grazie all’attuazione di normativa come Dora. E ora la copertura della Nis2 alza l’attenzione verso la tematica della sicurezza lungo l’intera supply chain. Ma tutti settori devono farsi carico del tema e la sicurezza deve esser by design non solo nel software a anche nelle organizzazioni. Soprattutto perché oggi l’AI la fa da padrona, sia per attaccanti sia per i difensori, anche nelle piattaforme Soc e negli strumenti di difesa. Serve dunque diffondere consapevolezza e adottare strategie oltre le barriere classiche: prevenzione avanzata, monitoraggio costante e progettazione resiliente”
Chi sono gli aggressori e quali i motivi di attacco?
L’obiettivo di estorcere denaro, si conferma come negli anni precedenti la motivazione principale del cybercrime per 9 incidenti su 10 (89% del totale), con un trend di crescita del 55% rispetto agli incidenti 2024. Un fenomeno che per Clusit conferma “la commistione, quando non l’integrazione, tra criminalità “tradizionale” e criminalità “digitale” che porta a reinvestire in questo business i proventi delle attività precedenti per aumentare le risorse a disposizione di chi attacca, a fronte di ricavi sempre maggiori”.
Cresce il fenomeno dell’attivismo (+10%), rimangono sostanzialmente costanti le distribuzioni di spionaggio/ sabotaggio e guerra dell’informazione .
Se guardiamo all’Italia le tipologie di aggressori sono principalmente cybercriminali (61%) e attivisti (39%), quest’ultimi cresciuti in modo significativo nel 2025 (+145%) per ragioni geopolitiche legata alle guerre in corso. Minima la percentuale di incidenti nella categoria spionaggio/sabotaggio (0,4%, contro il 3% del dato globale). “I fenomeni di cyber-attivismo, pur con finalità spesso solo dimostrative e impatti sostanziali limitati, colpiscono nel segno, attirando enorme attenzione mediatica. L’effetto reputazionale ne esce amplificato da due fattori principali: da un lato, la scarsa preparazione delle nostre organizzazioni, che le rende vulnerabili anche ad attacchi non mirati a danni gravi; dall’altro, una comunicazione ancora immatura – da parte di media, cittadini e vittime stesse – che tende a ingigantire la percezione del rischio anziché contestualizzarlo adeguatamente”, commenta Luca Bechelli del Comitato Direttivo Clusit.
Chi sono le vittime e dove risiedono?
“Se guardiamo le vittime, ce ne è per tutti. Non c’è nessuna categoria che può ritenersi al sicuro” precisa Sofia Scozzari, del Comitato Direttivo Clusit. Un incidente su cinque a livello globale è avvenuto a danno di obiettivi multipli, in crescita del 96% sul 2024. Sono campagne di attacco destinate a colpire indiscriminatamente organizzazioni differenti per settore o dimensione, che confermano da una parte la capacità dei soggetti malevoli di massimizzare su scala le proprie operazioni, dall’altra dimostrano la fragilità intrinseca delle infrastrutture tecnologiche per un nuovo molto ampio di organizzazioni.
Se guardiamo ai settori, nel mirino gli ambiti governativo, militare e delle forze dell’ordine ai quali sono stati diretti il 12% degli attacchi. Mentre la sanità, seppure raccoglie l’11% delle minacce, ha visto crescere gli incidenti “solo” del 19%.
Il settore manifatturiero raccoglie l’8% degli attacchi globali, ma l’attenzione degli attaccanti è cresciuta del 79%. “L’analisi dei settori maggiormente colpiti ci mostra che per i cyber criminali è ancora possibile ottenere risultati cospicui colpendo la tecnologia di base, quella comunemente a disposizione nelle aziende – oppure impiegando tecniche di attacco standard – continua Scozzari -. L’uso crescente e sempre più sofisticato dell’intelligenza artificiale ha certamente consolidato l’automazione di tipologie di attacco che fino a qualche anno fa erano solo manuali”.
Il settore dei servizi Ict ha visto crescere del 46% gli incidenti, nonostante sia un settore con maggior budget e competenze, seguito dal mondo finanziario/assicurativo che ha raccolto il 6,3% degli incidenti mondiali, con un incremento del 27%.
Se guardiamo all’Italia, gli analisti del Clusit sottolineano un’inversione di tendenza rispetto al passato, con una maggiore concentrazione degli eventi su un numero più limitato di settori verso i quali gli attaccanti hanno ottenuto risultati più rilevanti. Il settore governativo, militare, forze dell’ordine è stato il più attaccato nel 2025, con oltre il 28% degli incidenti, in crescita in valore assoluto del 290% rispetto al 2024. Seguono il comparto manifatturiero (12,6% degli incidenti) che a livello globale ha raccolto il 16% degli attacchi rivolti del comparto.
La categoria degli attacchi multipli ha subìto il 12,4% degli incidenti, mentre una impennata è toccata al comparto dei Trasporti e alla Logistica con un +134,6%, raddoppiati gli attacchi nel settore del commercio. Va meglio per la sanità, con una riduzione dell’incidenza degli attacchi sul totale, colpita solo dall’1,8% degli incidenti.
Se guardiamo dove le vittime risiedono, lo scorso anno il 58% degli incidenti di cyber sicurezza è avvenuto sui territori americano ed europeo, con un incremento del 41% in America e del 21% in Europa. La crescita maggiore si è verificata nel continente asiatico (+131%), che è stato colpito dal 19% degli attacchi. La geografia delle vittime rispecchia anche l’introduzione di normative che impongono la denuncia da parte delle vittime di incidenti. Un fattore che manifesterà i propri effetti progressivamente nel corso degli anni. Ma si conferma anche il trend di incidenti verso località multiple (+61%), con attacchi senza un preciso obiettivo geografico.
“Se in passato avevamo più informazioni dagli Stati Uniti, per il fatto che sono molto digitalizzati e hanno avuto normative che obbligavano il disclosure degli incidenti, oggi in Europa abbiamo normative dello stesso tenore e e siamo costretti a dare evidenza degli attacchi per questo abbiamo visto crescere di parecchio gi incidenti sul territorio europeo che oggi arrivano ad essere un quarto rispetto al totale (21%)”, dettaglia Scozzari.
Quali le tecniche di attacco?
La tecnica che si conferma più efficace anche nel 2025 è il malware, che ha causato un incidente su quattro (+ 18% rispetto al 2024) ma per un terzo degli incidenti registrati nel 2025 non è stato possibile determinare la tecnica utilizzata (+8), “undisclosed”, perché spesso le comunicazioni ufficiali delle aziende si limitano agli elementi strettamente richiesti dalla legge, con poca trasparenza sulle tecniche di attacco subite. “Guardo in faccia i cyberattacchi da più di 14 anni e ho visto incredibile evoluzione sia nelle tecniche che nella loro complessità, noi rimaniamo vittime delle stesse problematiche che evolvono commenta – commenta Scozzari -. Gi attaccanti fra di loro continuano a collaborare, mentre i difensori non collaborano, non discutono degli attacchi che hanno ricevuto. Credo che se vogliamo migliorare dobbiamo collaborare tra difensori per diminuire il gap tra gli attaccanti. Ho visto crescere in questi anni l’attenzione ai temi di cyber, adesso ce ne si occupa, i media ne parlano correttamente, per capire cosa sta succedendo. Ma i temi diventano sempre più complessi, serve collaborare”. Una maggiore trasparenza tecnica, gestita in modo strutturato e responsabile, potrebbe favorire una collaborazione più efficace tra i difensori, analogamente a quanto avviene da tempo nel mondo cybercriminale, contribuendo a ridurre l’attuale squilibrio che caratterizza lo scenario cyber e rafforzando la resilienza collettiva dell’ecosistema digitale”.
Le vulnerabilità vengono sfruttate nel 16.5% dei casi, con una crescita del 65%, mentre gli attacchi sferrati con tecniche di phishing e social engineering subiscono un incremento del 75%, con il contributo sostanziale dell’AI. Rilevato in crescita del 58% rispetto al 2024 il ricorso a tecniche multiple, analogamente sono cresciuti gli Attacchi Web (+ 62%)
Nel nostro Paese, sono avvenuti principalmente incidenti DDoS (38,5% dei casi, erano il 21% nel 2024). Il malware è invece sceso al 23% (-14%) “sebbene non sia automatico che tutti i DDoS siano legati all’attivismo, né che viceversa questo si basi sempre sulla tecnica DDoS, spesso esiste tuttavia una correlazione tra i due fenomeni – commenta il rapporto – giudicando la situazione coerente con l’aumento degli incidenti subìti dalla pubblica amministrazione e con l’impennata di incidenti di tipologia attivista. – Per la sua semplicità e per l’impatto mediatico che può generare, il DDoS è infatti uno degli strumenti favoriti e più utilizzati negli attacchi dimostrativi”.
Phishing/ingegneria sociale hanno causato il 12,4% degli incidenti (+66%) probabilmente grazie all’uso ormai massivo dell’AI che permette di creare email e messaggi sempre più realistici e verosimili.
Quanto sono stati gravi gli incidenti?
“E ‘ aumentata la severità degli attacchi – continua Scozzari – per questo abbiamo creato una nuova classe che misura la severity, la cui asticella si è alzato a testimoniare che i cybercriminiali non stanno affatto scherzando. L’effetto domino degli attacchi in passato non si era mai visto a questi livelli”. Come dimostra il caso Jaguar Land Rover, colpita il 1° settembre 2025 da un cyber-attacco che ha bloccato per diverse settimane le linee di produzione e i sistemi di approvvigionamento in tutto il mondo, costringendo 33.000 dipendenti a rimanere a casa. Un effetto domino che ha richiesto l’intervento del governo britannico con un prestito di 1,5 miliardi di sterline per sostenere l’azienda durante la crisi, per pagare stipendi e fornitori. “Da un parte è sempre più difficile difenderci dall’altra le minacce sono sempre più complesse” puntualizza Scozzari.
Severity per tecniche 2025 (fonte: Clusit – Rapporto 2026 sulla Cybersecurity)Il numero degli incidenti “ad alto impatto” sono il 55% del totale e sono cresciuto del 66% nel 2025. Si sono ridotti invece quelli a media/bassa gravità (-7%) che costituiscono circa il 15% del totale. Crescono gli incidenti critici e la somma degli incidenti di gravità critica ed estrema è un terzo del numero di eventi a livello mondiale.
Gli incidenti che hanno avuto come obiettivi lo spionaggio e la guerra dell’informazione sono stati per 70% di gravità “Critica” ed “Estrema”; il settore maggiormente colpito da incidenti di gravità “Critica” ed “Estrema” è stato quello sanitario, con il 64% degli eventi.
Come rilevato già negli scorsi anni, il dato italiano si discosta invece parzialmente da quello internazionale. Gli impatti elevati sono infatti notevolmente inferiori rispetto al dato globale – poco più del 39% – mentre gli incidenti con gravità medio/bassa si assestano al 52%, raddoppiando rispetto al 2024, con una variazione percentuale in crescita del 97%.
Commenta Gabriele Faggioli, presidente onorario di Clusit: “In Italia investiamo poco in tecnologia cyber, anche se la leva normativa come la Nis2 spinge le aziende ad investire, ma gli investimenti sono sempre ridotti: poco più dello 0,13% del Pil Italiano. Altri Paesi a noi confrontabili, nell’ambito del G7, spendono attorno allo 0,3 del loro Pil. E’ una differenza significativa, rimaniamo indietro di due terzi. Penso che questo sia un dato importante da commentare, perché siamo un Paese che fa pochi investimenti in produzione di tecnologie e investimenti in sicurezza. Un’arretratezza del nostro Paese che conferma anche l’indice Desi“.
Cosa ci aspetta?
Chiude Scozzari. “Sono a Dubai in questi giorni e quello che posso confermare è che a a ogni conflitto nel mondo fisico corrisponde una controffensiva nel mondo cyber che si traduce in tre tipi di attività: spionaggio e sabotaggio per raccogliere informazioni (massimo sviluppo in questi contesti), information warfare per sfruttare informazioni raccolte a fini malevoli, una piccola parte di cybercrime per sovvenzionare campagne più importanti. Nel confitto attuale in Iran, nella prima settimana di guerra, nei Paesi dell’area gli attacchi sono cresciuti del 384%, per lo più attivisti DDos e minima parte altro”.
© RIPRODUZIONE RISERVATA
