Per la cybersecurity italiana, il 2025 si chiude con un dato apparentemente rassicurante ma anche una serie di segnali di segno opposto. Da un lato l’Italia esce dopo anni dalla top 5 mondiale dei Paesi più colpiti dai ransomware; un riposizionamento al sesto posto che, letto così, sembrerebbe portare una boccata d’ossigeno. Dall’altro, il numero degli eventi di sicurezza gestiti dai centri operativi continua a crescere, gli attacchi diventano più mirati e impattanti, e la pressione geopolitica si scarica sulle infrastrutture digitali del Paese. È la fotografia che restituisce la nona edizione dell’Y-Report di Yarix — centro di competenza per la cybersecurity di Var Group — basata sui dati elaborati nel corso del 2025 dal security operations center dell’azienda.

Metodologia

Il rapporto poggia su un panel qualificato di organizzazioni clienti rappresentative di diversi settori dell’economia nazionale e internazionale, integrato con i dati relativi alla gestione di incidenti informatici presso aziende non precedentemente servite e supportate da Yarix nelle fasi di risposta e ripristino operativo. Le realtà incluse nel panel presentano in media oltre mille dipendenti e un fatturato superiore ai 50 milioni di euro: un profilo che restituisce una base dati rappresentativa del segmento enterprise e mid-market, sottoposta a processi di normalizzazione, aggregazione statistica e anonimizzazione automatica.

Nuove grammatiche di attacco

I numeri del rapporto raccontano un’accelerazione che va oltre la semplice crescita. Nel corso del 2025 il Soc di Yarix ha esaminato oltre 522mila eventi di sicurezza, di cui più di 158mila si sono evoluti in incidenti veri e propri, con un incremento medio mensile dell’8% rispetto al 2024. Il dato più significativo, però, riguarda gli eventi più gravi, cresciuti del 62% su base annua: una dinamica che indica una capacità crescente degli attaccanti di colpire in modo mirato e con impatto operativo elevato.
La concentrazione settoriale conferma la centralità dei comparti produttivi e tecnologici ad alta criticità. Il manifatturiero è il settore più colpito con il 17,9% degli attacchi rilevati, seguito dall’IT con l’8,3%. Le ragioni di questa esposizione sono diverse ma convergenti: nel manifatturiero pesa la presenza di sistemi produttivi obsoleti, le cui risorse non sono centralizzate ma disperse su più nodi, ampliando di fatto la superficie d’attacco; nel comparto IT incidono la quantità e la sensibilità dei dati trattati e l’elevato numero di servizi accessibili dall’esterno.

Mirko Gatto, Head of cybersecurity di Var Group_DENTRO
Mirko Gatto, head of cybersecurity di Var Group

Sotto la crescita dei numeri si intravede però una trasformazione più profonda del panorama delle minacce. “Il 2025 rappresenta un passaggio di maturità per il contesto cyber: non ci troviamo più soltanto di fronte a una crescita dei numeri, ma a un cambiamento profondo delle modalità con cui la minaccia si manifesta – osserva Mirko Gatto, Head of Cybersecurity di Var Group –. Gli attacchi sono diventati più veloci, frammentati e capaci di adattarsi rapidamente, sostenuti da un ecosistema criminale ormai strutturato e dall’accesso sempre più diffuso a strumenti avanzati, compresi quelli basati sull’intelligenza artificiale”.
Il rapporto sottolinea poi, nel concreto, modelli di attacco più distribuiti, automatizzati e adattivi, in cui gli attori malevoli combinano in modo efficace vulnerabilità note, credenziali compromesse e superfici esposte. Il risultato è una riduzione del tempo che intercorre tra l’accesso iniziale e il potenziale impatto: un correlato che riguarda direttamente il modo in cui i team di difesa devono operare, perché l’individuazione tempestiva di segnali anche deboli ma significativi diventa la condizione per intervenire prima che la kill chain raggiunga i suoi obiettivi. A trainare questa trasformazione sono soprattutto le tecniche di initial access: l’abuso di credenziali valide, l’esposizione di servizi accessibili da Internet e l’evoluzione delle campagne di phishing — sempre più sofisticate e difficili da distinguere dalle comunicazioni legittime — ridisegnano il peso relativo delle diverse fasi di attacco. Gli eventi osservati, sottolineano gli analisti, sono inoltre sempre meno isolati: si inseriscono in catene articolate in cui più tecniche vengono combinate per aggirare i controlli tradizionali.

Eventi di sicurezza per settore industriale
Eventi di sicurezza per settore industriale (fonte: 2026 Y-Report, Yarix – Var Group)

Ransomware, Italia fuori dalla top 5 ma…

Il dato più “eclatante” del rapporto riguarda però il ransomware. Nel 2025, a livello globale, Yarix ha monitorato oltre 7.100 attacchi rivendicati pubblicamente, in crescita del 51% rispetto all’anno precedente. Cresce anche il numero dei gruppi attivi, +35%, in un ecosistema sempre più frammentato: accanto a pochi attori dominanti si moltiplicano nuove formazioni con impatto più limitato. La classifica monitorata da Yarix raccoglie nel 2025 ben 124 gang ransomware operative, ma la concentrazione resta significativa: la sola top 10 totalizza circa il 56% degli attacchi complessivi.

La minaccia ransomware in Italia per settore
La minaccia ransomware in Italia per settore (fonte: 2026 Y-Report, Yarix – Var Group)

Sul piano geografico, gli Stati Uniti restano di gran lunga il bersaglio principale con il 52% degli attacchi rivendicati, seguiti a distanza dal Canada (6%) e dall’Europa occidentale: Germania, Regno Unito e Francia raccolgono insieme un altro 10%. L’Italia, dopo anni di permanenza nella top 5 mondiale, come già accennato, scende quest’anno al sesto posto. Un riposizionamento che il rapporto non interpreta come segnale di un’inversione di tendenza, quanto come effetto di una redistribuzione delle attività criminali su un numero crescente di Paesi e di un’attenzione degli attori più aggressivi verso target ad alto valore in altre geografie. Complessivamente, il totale degli attacchi attribuiti ai dieci Paesi più colpiti rappresenta il 77% degli eventi registrati nel 2025.

Lo sguardo appena un po’ più in profondità sul nostro Paese svela che il profilo delle vittime conferma una specificità tutta italiana. Il 67% dei target è costituito da piccole imprese — un valore di dieci punti percentuali superiore alla media globale — e un altro 18% da realtà di medie dimensioni. Una concentrazione che riflette la composizione del tessuto produttivo del Paese, fatto in larga misura di Pmi con livelli di maturità cyber spesso inferiori a quelli delle grandi corporation, ma che custodiscono know-how e proprietà intellettuale di valore strategico per intere filiere. La distribuzione regionale conferma questa lettura: la Lombardia guida con il 36% degli attacchi, seguita da Emilia-Romagna (13%), Lazio (10%), Veneto (10%) e Piemonte (8%), una geografia che si sovrappone, non a caso, a quella dei principali distretti industriali italiani.

Hacktivism e geopolitica, Italia nel mirino

Accanto alla criminalità cyber organizzata, il 2025 vede crescere in modo significativo l’attività di hacktivism contro obiettivi italiani. Attacchi DDoS e defacement vengono utilizzati come strumenti di pressione e propaganda, in campagne che il rapporto descrive sviluppate “a ondate” e che gli analisti correlano con precisione agli eventi geopolitici di maggior visibilità mediatica, dal conflitto in Ucraina a quello tra Israele e Hamas.
Il primo e più marcato picco si concentra tra giugno e luglio, periodo in cui si registra oltre il 27% degli attacchi osservati nell’intero anno. Una finestra che coincide con due eventi di rilievo internazionale: l’avvicinamento al vertice Nato dell’Aja di fine giugno — dove gli alleati si sono impegnati a investire in difesa e sicurezza fino al 5% del Pil annuo entro il 2035 — e la Conferenza sulla Ripresa dell’Ucraina (URC2025), ospitata a Roma il 10 e 11 luglio. Eventi simbolicamente legati al ruolo dell’Italia nel sostegno a Kiev, identificati nel rapporto come catalizzatori delle rivendicazioni di collettivi hacktivist filorussi, impegnati a utilizzare le azioni cyber come strumento di pressione comunicativa.

Il secondo picco, con circa il 23% delle campagne complessive, si registra tra settembre e ottobre. In questa fase l’hacktivism italiano risente delle ricorrenze simboliche e delle dinamiche legate al conflitto mediorientale: la ricorrenza del 7 ottobre si conferma un potente catalizzatore di campagne coordinate, promosse da collettivi pro-palestinesi e pro-arabi, che estendono le proprie azioni anche verso i Paesi percepiti come sostenitori di Israele. Nei giorni immediatamente precedenti l’anniversario, alcuni atenei italiani — tra cui La Sapienza di Roma e l’Alma Mater Studiorum di Bologna — sono stati colpiti da attacchi DDoS in concomitanza con proteste studentesche pro-Palestina già in corso nelle stesse città. Una sincronia che, secondo gli analisti di Yarix, suggerisce un chiaro intento di amplificazione reciproca tra mobilitazione fisica e attivismo digitale. Nello stesso filone si inseriscono i ricorrenti riferimenti alla Sumud Flotilla, citata nelle rivendicazioni come simbolo di resistenza e come elemento narrativo utile a rafforzare il messaggio politico delle azioni cyber, accompagnate da hashtag, comunicati e contenuti propagandistici con l’obiettivo dichiarato di massimizzare la visibilità online più che di provocare danni tecnici duraturi.

Dalla cybersecurity dichiarata a quella dimostrabile

La lettura del rapporto nel suo insieme disegna un panorama in cui il rischio cyber diventa sempre più strettamente intrecciato con gli equilibri geopolitici e con la capacità delle organizzazioni di adattare le proprie strategie di difesa a modelli di minaccia in continua evoluzione. “Il ransomware continua a essere uno degli strumenti principali di pressione economica, mentre la componente geopolitica incide in modo crescente anche sul panorama italiano, rendendo il rischio informatico strettamente legato agli equilibri globali — riprende Gatto —. Per le organizzazioni, il cambiamento più significativo riguarda il ruolo stesso della sicurezza, che evolve da funzione prevalentemente tecnica a fattore strategico. In questo scenario, il vero vantaggio competitivo non sarà tanto evitare l’attacco, quanto essere in grado di governarlo, ridurne l’impatto e trasformarlo in un’opportunità di miglioramento continuo”.

Una transizione che il manager descrive in termini di maturità organizzativa, e che si lega direttamente al quadro normativo in evoluzione. “Nei prossimi anni diventerà più evidente il passaggio da una cybersecurity semplicemente dichiarata a una cybersecurity dimostrabile” — aggiunge il responsabile cyber di Var Group —. Normative come Nis2, insieme all’evoluzione del panorama delle minacce, spingono le organizzazioni verso modelli fondati su governance, tracciabilità, controlli costanti e reale capacità di risposta”. In altre parole, non basta avere policy e tecnologie sulla carta: occorre  essere in grado di provare, con dati e processi tracciabili, che quelle protezioni funzionano davvero. Una sfida che ridisegna il perimetro della funzione cybersecurity all’interno delle imprese, spostandone il baricentro dalla pura difesa tecnica al governo del rischio come componente strutturale della strategia di business.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE