La fotografia che emerge dall’ultimo Rapporto Clusit non racconta soltanto la crescita degli attacchi informatici. Sempre più spesso gli incidenti incidono sulla continuità operativa e mettono sotto pressione organizzazioni, servizi e catene di fornitura. In questo quadro, l’Italia mostra un profilo diverso rispetto al resto d’Europa. L’esposizione resta elevata, ma cambia la natura delle minacce che colpiscono il nostro Paese.
Il campione analizzato dal Clusit considera incidenti cyber noti, andati a buon fine e con impatti significativi sulle vittime. Se si guarda al medio periodo il quadro diventa ancora più evidente: negli ultimi cinque anni gli incidenti cyber censiti dal rapporto sono cresciuti complessivamente del 157%.
Nel 2025 il dato globale segna una crescita del 49% con 5.265 attacchi gravi censiti. Anche l’Italia segue la stessa traiettoria: gli incidenti aumentano del 42% rispetto all’anno precedente, passando da 357 nel 2024 a 507 nel 2025. Il dato italiano è inferiore alla media mondiale ma rappresenta comunque il 9,6% degli incidenti osservati a livello globale, una quota elevata rispetto al peso economico e demografico nazionale.
Le Americhe restano l’area più colpita con circa il 33,2% degli incidenti, mentre l’Europa cresce del 21% rispetto al 2024. L’Asia registra l’incremento più rapido con il 19,1% e una crescita del 131% anno su anno. Africa (0,9%) e Oceania (3,1%) restano su livelli più contenuti, anche per una minore visibilità pubblica degli incidenti e, nel caso africano, per un livello di digitalizzazione ancora basso.
Indice degli argomenti
In Italia cresce il peso dell’attivismo digitale
Nel quadro complessivo, l’Europa (25,1%) pesa per circa un quarto degli incidenti globali. Dentro questo scenario l’Italia continua a distinguersi per una sovraesposizione con quasi un incidente su dieci.
A livello globale il fenomeno dominante resta il cybercrime, che rappresenta circa l’89% degli attacchi, con una crescita del 55% rispetto all’anno precedente.
In Italia, la distribuzione appare più articolata. I cybercriminali restano i principali attori con il 60,9% di incidenza, mentre cresce in modo significativo la componente di attivismo digitale (hacktivism), pari al 38,7% degli attacchi e in aumento del 145% rispetto al 2024.
Questa peculiarità modifica sia la distribuzione delle tecniche usate sia il profilo medio degli incidenti. In Italia, il peso degli attacchi legati all’attivismo, contribuisce ad alzare il numero complessivo degli eventi ma non sempre produce impatti comparabili a quelli del cybercrime più strutturato.
Attacchi sempre più pesanti
Negli ultimi anni gli analisti del Clusit hanno osservato uno spostamento progressivo verso attacchi con conseguenze più rilevanti. Gli incidenti a “alto impatto” rappresentano il 55% del totale, con una crescita del 66% rispetto al 2024. La somma degli incidenti classificati come critici o estremi costituisce circa un terzo degli eventi analizzati.
Per distinguere meglio gli episodi con conseguenze più estese, il rapporto ha introdotto una nuova classificazione che identifica gli attacchi con impatti particolarmente gravi.
Come ha spiegato Sofia Scozzari, del Comitato Scientifico Clusit, la gravità di un incidente non dipende soltanto dalla natura dell’organizzazione colpita ma anche dalle conseguenze operative che genera. Interruzioni prolungate, blocchi della produzione, effetti a catena sulle filiere e impatti economici che superano il perimetro IT diventano fattori determinanti per valutare la gravità di un attacco.
La nuova categoria definita “Extreme” punta proprio a distinguere questi scenari sempre più complessi. Un segnale netto del cambio di fase in cui l’attenzione sulla cybersecurity si sposta sempre più verso le ricadute operative e di business.
Le tecniche di attacco: cosa raccontano i dati
A livello globale, i malware rappresentano circa un quarto degli incidenti con il ransomware che continua a essere la minaccia più efficace per i gruppi criminali.
Seguono lo sfruttamento delle vulnerabilità, 16,5% dei casi, in crescita del 65%, e gli attacchi di cui non si conosce con precisione la tecnica (undisclosed). Oltre un terzo degli incidenti globali rientra in questa categoria, segno che una parte rilevante degli attacchi è ancora opaca per ragioni investigative o per difficoltà a rendere pubblici i dettagli tecnici.
Intanto phishing e social engineering crescono del 75%, fenomeno in parte favorito dall’uso dell’intelligenza artificiale per creare messaggi sempre più credibili.
In Italia, invece, il quadro cambia. La tecnica più frequente è il DDoS (Distributed Denial of Service), attacchi che sovraccaricano siti e servizi online fino a renderli temporaneamente indisponibili e che rappresentano il 38,5% degli incidenti. Seguono malware per il 23% e phishing o ingegneria social per il 12,4% e il 66% di crescita su base annua.
Questo assetto racconta due cose. La prima è che il nostro Paese continua a essere bersaglio di campagne ad alta visibilità, orientate più all’interruzione dei servizi. La seconda è che gli attaccanti continuano a sfruttare tecniche consolidate ma ancora molto efficaci.
I settori più colpiti
Nel mondo gli attacchi colpiscono soprattutto obiettivi multipli, quasi un incidente su cinque. Seguono governo e forze dell’ordine, sanità e manifatturiero.
In Italia il settore più colpito resta quello governativo, militare e delle forze dell’ordine, con oltre il 28% degli incidenti e una crescita del 290% rispetto al 2024.
Seguono il manifatturiero, con il 12,6% e il settore trasporti e logistica, che rappresenta il 12% degli incidenti ma cresce del 134,6% su base annua.
A seguire, il retail si conferma tra i più esposti, mentre l’ICT registra una crescita che richiama il tema della supply chain. Colpire un fornitore tecnologico significa ampliare la superficie di impatto. Il comparto finance continua a essere un obiettivo naturale per gli attaccanti, ma mostra segnali di maggiore resilienza, anche grazie all’evoluzione del quadro regolatorio europeo, in particolare del regolamento DORA.
La severity italiana è più bassa?
Il dato italiano si distingue per una quota relativamente più alta di incidenti a gravità bassa o medio-bassa rispetto al quadro internazionale. Ma non significa che l’Italia sia meno esposta al rischio serio. Significa piuttosto che la composizione delle minacce è diversa.
Il peso maggiore di hacktivism e DDoS tende ad aumentare il numero di incidenti con effetti limitati o temporanei, spesso circoscritti all’interruzione di servizi recuperabili in tempi brevi.
Allo stesso tempo, però, anche nel contesto italiano compaiono tre episodi classificati come “Extreme”, a conferma che il Paese non è affatto fuori dalla traiettoria di aggravamento degli impatti. La differenza, semmai, è che nel nostro contesto convivono due dinamiche: da un lato una forte esposizione a campagne ad alta visibilità ma impatto spesso contenuto; dall’altro una crescente capacità di contenere gli effetti degli incidenti più gravi, segno di una maturità che si sta consolidando, pur lentamente.
Un rischio sempre più legato al business
L’evoluzione descritta dal Rapporto Clusit conferma che gli attacchi più gravi sono ormai in grado di interrompere attività produttive, rallentare servizi e generare effetti a catena lungo le filiere. La gestione del rischio cyber entra quindi sempre più nelle strategie di imprese e organizzazioni.
A concludere, come ha osservato Anna Vaccarelli, presidente del Clusit, l’intelligenza artificiale sta ridefinendo il panorama della cybersicurezza: può rafforzare le capacità di difesa, ma introduce anche nuove vulnerabilità e strumenti che gli attaccanti possono sfruttare per rendere le loro operazioni sempre più rapide e sofisticate.
