In Italia come l’anno scorso la crescita è minore (+42%) e anche la gravità media degli incidenti, ma il nostro paese resta uno dei principali bersagli: PA/Difesa, manifatturiero e trasporti i settori più colpiti
Autore: Daniele Lazzarin
Il 2025 segna nuovi record storici per la criminalità informatica: nel mondo gli attacchi cyber gravi sono cresciuti del 49% rispetto al 2024, arrivando a quota 5.265, e sia il tasso di crescita sia il numero annuo di attacchi sono i più grandi mai registrati finora.
In questo quadro l’Italia registra 507 incidenti, in crescita del 42%: una crescita che per il secondo anno consecutivo è inferiore alla media. Nonostante questo, il nostro paese continua ad attirare quasi un attacco su 10 nel mondo (il 9,6%), confermandosi come bersaglio privilegiato del cyber crimine, ben al di là del suo peso economico.
Sono alcuni dei dati principali del Rapporto Clusit 2026, presentato stamattina in anteprima alla stampa, da cui emergono diversi trend interessanti, tra cui ovviamente l’enorme crescita dell’intelligenza artificiale come fattore abilitante di nuove forme di attacco e acceleratore di quelle già note, e diversi elementi che spingono a un cauto ottimismo per la situazione italiana.
“L'Intelligenza Artificiale ridefinisce la cybersicurezza: i sistemi agentici autonomi potenziano la difesa, ma introducono nuove sfide, quali vulnerabilità manipolabili - tramite dati di addestramento alterati o difetti di progettazione - rendendo l'IA stessa un’arma potente in mano agli attaccanti, dalla creazione di software malevolo, a tecniche raffinate di esplorazione delle vulnerabilità. Serve dunque diffondere consapevolezza e adottare strategie oltre le barriere classiche: prevenzione avanzata, monitoraggio costante e progettazione resiliente”, ha commentato Anna Vaccarelli, presidente di Clusit.
Come noto l’analisi del Clusit si concentra sugli incidenti, che sono solo su una parte dei cyber attacchi: quelli noti, andati a buon fine, e di particolare gravità, che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali sulle vittime. Inoltre approfondisce cinque variabili chiave: le categorie di vittime, i profili degli aggressori e le tecniche impiegate, la distribuzione geografica degli incidenti, e il loro impatto.
Il Cybercrime, con l’obiettivo di estorcere denaro, si conferma come negli anni precedenti la motivazione di quasi 9 incidenti su 10 (89% del totale), in crescita del 55% annuo.
Andamento che secondo gli esperti Clusit conferma la commistione tra criminalità “tradizionale” e criminalità “digitale”, che porta a reinvestire in questo business i proventi delle attività precedenti per aumentare le risorse a disposizione di chi attacca, a fronte di ricavi sempre maggiori.
Continua a crescere il fenomeno dell’Attivismo (+10%), mentre rimangono sostanzialmente stabili le distribuzioni di Spionaggio/Sabotaggio e Guerra dell’Informazione.
In Italia il cybercrimine ha un’incidenza nettamente più bassa che nel mondo (61% degli incidenti) a vantaggio dell’attivismo (39%), cresciuto addirittura del 145% rispetto al 2024, con eventi di matrice geopolitica correlati ai conflitti in essere.
"L’Italia risulta particolarmente esposta ai fenomeni di cyber-attivismo: pur con finalità spesso solo dimostrative e impatti sostanziali limitati, questi attacchi attirano enorme attenzione mediatica. L’effetto reputazionale ne esce amplificato da due fattori: la scarsa preparazione delle nostre organizzazioni, che le rende vulnerabili anche ad attacchi non mirati a danni gravi, e una comunicazione ancora immatura – da parte di media, cittadini e vittime stesse – che tende a ingigantire la percezione del rischio anziché contestualizzarlo adeguatamente", ha spiegato Luca Bechelli, del Comitato Direttivo Clusit.
Nel 2025 quasi un incidente su cinque a livello globale è avvenuto a danno di obiettivi multipli: si tratta di campagne di attacco che colpiscono indiscriminatamente organizzazioni diverse per settore o dimensione, cresciute del 96% rispetto al 2024. Il Clusit lo definisce un segnale preoccupante, dovuto alla capacità dei soggetti malevoli di massimizzare su scala le proprie operazioni, e soprattutto alla fragilità intrinseca delle infrastrutture tecnologiche delle vittime.
Seguono il settore Governativo, Militare e delle Forze dell’Ordine, colpito dal 12% degli attacchi, e la Sanità (11% degli attacchi, +19% rispetto al 2024) e il comparto manifatturiero (8% degli attacchi, in crescita del 79%).
“L’analisi dei settori più colpiti ci mostra che per i cyber criminali è ancora possibile ottenere risultati cospicui colpendo la tecnologia di base - quella comunemente a disposizione nelle aziende - o impiegando tecniche di attacco standard. L'uso crescente e sempre più sofisticato dell'Intelligenza Artificiale ha certamente consolidato l'automazione di tipologie di attacco che fino a qualche anno fa erano solo manuali", ha detto Sofia Scozzari, del Comitato Direttivo Clusit.
Venendo all’Italia, il settore PA-Difesa-Forze dell’Ordine è stato il più attaccato nel 2025, con oltre il 28% degli incidenti, in crescita in valore assoluto del 290% rispetto al 2024.
Seguono il comparto Manifatturiero, con il 12,6% degli incidenti italiani, la categoria Multiple Targets (12,4%) e il settore Trasporti e Logistica con il 12%, frutto di un’impennata del 134,6% degli attacchi anno su anno.
Inoltre in Italia il settore del commercio (sia dettaglio che ingrosso) ha subito un numero di attacchi quasi doppio rispetto al 2024, mentre quello sanitario ha invece visto nel 2025 una riduzione dell’incidenza degli attacchi sul totale, scesa all’1,8%.
In generale, nel nostro Paese è emersa nel 2025 un’inversione di tendenza rispetto al passato, con una maggiore concentrazione degli eventi su un numero più limitato di settori verso i quali gli attaccanti hanno ottenuto risultati più rilevanti: potrebbero essere effettivamente settori più bersagliati di altri, oppure intrinsecamente meno capaci di difendersi e mitigare gli effetti degli incidenti, spiega il Clusit.
Nel 2025 il 33% degli incidenti di cyber sicurezza è avvenuto in Nord America e il 25% in Europa, con incrementi rispettivamente del 41% e del 21%, ma la crescita più alta si è avuta in Asia (+131%), bersaglio del 19% degli attacchi.
Sono aumentati, inoltre, anche gli incidenti verso località multiple (+61%), con attacchi sferrati senza un preciso obiettivo geografico.
I dati sulla distribuzione geografica degli attacchi risentono notevolmente, sottolinea Clusit, dello stato della digitalizzazione e della normazione sui temi legati alla cybersecurity nel mondo: le normative che impongono la denuncia da parte delle vittime di incidenti incidono con effetti che si manifestano progressivamente nel corso degli anni.
Nel 2025 un incidente su quattro nel mondo è stato causato da Malware: questa tecnica si conferma la più efficace tra quelle note, in aumento del 18% rispetto al 2024. Al secondo posto le tecniche “undisclosed”: per oltre un terzo degli incidenti registrati nel 2025 infatti non è stato possibile determinare la tecnica utilizzata, nonostante il rafforzamento degli obblighi di denuncia.
Qui i ricercatori del Clusit evidenziano che troppo spesso le comunicazioni ufficiali si limitano agli elementi strettamente richiesti dalla legge, auspicando una maggiore trasparenza tecnica e una collaborazione più efficace tra i difensori, analogamente a quanto avviene da tempo nel mondo cybercriminale.
Al terzo posto lo sfruttamento di Vulnerabilità (16.5% degli attacchi), in crescita del 65%, mentre gli attacchi con tecniche di Phishing e Social Engineering aumentano del 75%, con il contributo sostanziale dell’IA.
In crescita del 58% rispetto al 2024 il ricorso a Tecniche Multiple, tipicamente utilizzate in operazioni particolarmente complesse da parte di attori state-sponsored. Gli Attacchi Web invece sono cresciuti del 62%.
In Italia invece la tecnica più usata nel 2025 è stata il DDoS (38,5% dei casi, erano il 21% nel 2024). Il Malware è invece sceso al 23%, di 14 punti percentuali rispetto al 2024.
Si tratta, secondo i ricercatori Clusit, di una situazione coerente con l’aumento degli incidenti subìti dalla pubblica amministrazione e di matrice attivista. Per la sua semplicità e per l’impatto mediatico che può generare, il DDoS è infatti uno degli strumenti più utilizzati negli attacchi dimostrativi.
Phishing e Ingegneria Sociale nel nostro Paese sono invece stati la causa del 12,4% degli incidenti, in aumento del 66% rispetto allo scorso anno, probabilmente grazie all’uso ormai massivo dell’AI, che permette di creare, in maniera semplice e alla portata di tutti, email e messaggi, sia testuali che vocali, sempre più realistici e verosimili.
La “severity” media degli incidenti è aumentata, tanto che Clusit ha introdotto una nuova categoria “extreme” accanto a critical, high, medium e low.
Un esempio di gravità estrema citato da Alessio Pennasilico del Clusit è il caso Jaguar/Land Rover, in cui il governo britannico è dovuto intervenire per garantire la situazione di un’azienda ormai sull’orlo del fallimento per il blocco della produzione di settimane provocato appunto da un cyberattacco, con rischio di altri fallimenti nella supply chain. “Un caso che dimostra come la cybersecurity vada considerata ormai un rischio di business, e non più un rischio tecnologico”.
Il numero degli incidenti “ad alto impatto” (high) nel mondo è cresciuto del 66% nel 2025, attestandosi al 55% del totale. Gli incidenti a media/bassa gravità costituiscono meno del 15% del totale, e si sono ridotti del 7% in valore assoluto.
La crescita degli incidenti “critici” si è attestata al 46% anno su anno, che diventa il 60% includendo il numero degli incidenti di gravità estrema.
Insieme, gli incidenti di gravità critica ed estrema sono un terzo di quelli analizzati da Clusit nel mondo. Il settore più colpito da incidenti di gravità Critica ed Estrema è stato quello sanitario, con il 64% degli eventi.
In Italia la situazione è più positiva, confermando un trend di vari anni. Gli impatti di gravità estrema e critica sono infatti nettamente inferiori rispetto al dato globale – circa l’8% – mentre gli incidenti con gravità alta sono il 39% contro il 55% mondiale, e quelliu con gravità medio/bassa invece si assestano al 52%, raddoppiando rispetto al 2024.