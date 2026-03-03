I dati relativi alla prima metà del 2025 delineano un panorama di profonda trasformazione per la sicurezza digitale. Durante il convegno “Cybersecurity: immaginare l’imprevedibile”, organizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, Nicola Ciani, Ricercatore dell’Osservatorio, ha presentato una fotografia allarmante dello scenario attuale. L’analisi si basa sui rilievi effettuati nei primi sei mesi dell’anno, evidenziando come gli incidenti cyber stiano raggiungendo volumi e livelli di complessità mai visti in precedenza.

L’emergenza dei numeri: un 2025 di rottura

Il primo dato che emerge riguarda la frequenza degli attacchi. Secondo quanto esposto da Ciani, il numero di incidenti cyber censiti esclusivamente nei primi sei mesi del 2025 ha eguagliato la somma complessiva di quelli rilevati durante l’intero arco del 2023.

Questo raddoppio della velocità di esecuzione delle minacce si accompagna a un incremento qualitativo della pericolosità. La severity delle azioni malevole è infatti aumentata del 143% rispetto al 2020, segno di un’offensiva che diventa sempre più difficile da intercettare per le strutture di difesa tradizionali.

Ciani sottolinea che ci troviamo di fronte a un «senso di emergenza molto sentito rispetto anche agli anni passati». Questa condizione è alimentata da un divario crescente tra le capacità degli attaccanti e le risposte delle organizzazioni, una distanza che molte realtà globali faticano ancora a colmare. In questo quadro, l’Italia non rappresenta un’eccezione, ma mostra anzi alcune peculiarità che la rendono un bersaglio privilegiato.

Il caso Italia: hacktivismo e vulnerabilità demografica

L’analisi dell’Osservatorio evidenzia una sproporzionalità significativa tra il peso demografico ed economico dell’Italia e il numero di incidenti cyber subiti. Il Paese risulta particolarmente esposto a causa di fenomeni legati alla natura dell’aggressore: l’area geografica italiana è infatti maggiormente colpita da attacchi guidati da matrice attivista.

Per le imprese italiane, lo scenario si conferma estremamente complesso. I dati della rilevazione 2025 indicano che:

Circa un terzo delle grandi organizzazioni italiane ha subito un incidente cyber nel corso dell’anno.

italiane ha subito un incidente cyber nel corso dell’anno. Nel 3% dei casi , l’attacco ha prodotto impatti diretti e tangibili sulla continuità operativa aziendale.

, l’attacco ha prodotto impatti diretti e tangibili sulla aziendale. Oltre un’organizzazione su due ha avviato una revisione completa dei propri piani di Incident Response.

Questa spinta al cambiamento è giustificata non solo dal volume delle minacce, ma anche dalla loro crescente eterogeneità, che costringe i responsabili della sicurezza a ridisegnare i perimetri di protezione.

L’evoluzione del fattore umano e l’efficacia del phishing

Nonostante l’innovazione tecnologica, il fattore umano rimane da oltre un decennio il principale punto di ingresso per gli incidenti cyber. Tuttavia, le dinamiche di manipolazione stanno cambiando radicalmente. Ciani osserva che le tradizionali attività di formazione e awareness non stanno producendo i risultati sperati, poiché devono scontrarsi con strumenti offensivi potenziati dall’intelligenza artificiale.

L’utilizzo dell’AI Generativa ha drasticamente migliorato l’efficacia delle campagne di phishing, rendendole più credibili e difficili da distinguere dalle comunicazioni legittime. A questo si aggiunge la preoccupazione per la creazione di identità sintetiche, un fenomeno che Ciani prevede avrà un risvolto negativo nella futura interazione tra uomo e macchina, specialmente con la diffusione dell’AI Agentica all’interno dei processi organizzativi.

La nuova frontiera: AI Agentica e Human-on-the-loop

L’elemento di maggiore discontinuità per i prossimi mesi è rappresentato dall’ingresso dell’intelligenza artificiale nei processi di orchestrazione degli attacchi.

Secondo il ricercatore del Politecnico di Milano, l’AI Agentica diventerà un pilastro sia per l’automazione che per la gestione delle operazioni malevole. Il cambiamento fondamentale risiede nel passaggio al modello “human-on-the-loop”, dove l’essere umano non è più integrato in ogni passaggio del processo, ma si posiziona al di sopra di esso con funzioni di supervisione, lasciando l’esecuzione materiale alle macchine.

Questo paradigma porta con sé due conseguenze dirette:

Un maggiore accesso al cybercrime anche per individui privi di competenze tecniche verticali, che possono sfruttare le capacità dell’AI per condurre attacchi complessi. Un radicale stravolgimento del concetto di attore malevolo, che non sarà più identificabile esclusivamente con l’essere umano o con gruppi criminali organizzati e parastatali, ma includerà entità artificiali autonome.

Infrastrutture critiche e il peso del debito tecnico

Un altro pilastro che alimenta il rischio di incidenti cyber è la gestione dell’infrastruttura IT. In Italia e in Europa persiste un forte debito tecnico dovuto all’obsolescenza e all’eterogeneità dei sistemi. Nel 2025 si è registrata una crescita importante delle vulnerabilità note a livello globale, molte delle quali presentano punteggi di gravità estremamente elevati.

L’onerosità della manutenzione e del patching è destinata ad aumentare, anche perché gli aggressori utilizzano ora motori di AI Generativa estremamente sofisticati per intercettare falle e vulnerabilità nelle infrastrutture. In parallelo, il business spinge verso un’innovazione spesso priva di “guardrail” di sicurezza: l’adozione spontanea di soluzioni di intelligenza artificiale avviene frequentemente senza il coordinamento dei CISO, esponendo processi critici a rischi emergenti.

Un esempio concreto delle implicazioni sistemiche di queste vulnerabilità è rappresentato dal caso Jaguar Land Rover, colpita a settembre 2025 dal gruppo hacker Scattered Lapsus$ Hunters con un cyber attacco che è riuscito affermare le fabbriche da oltre dieci giorni, oltre al sospendere le attività.

L’attacco ha riportato l’attenzione sulla OT Security e sulla necessità di proteggere i dispositivi industriali interconnessi. La mancata convergenza tra il mondo IT e quello OT rimane un punto di debolezza in molte organizzazioni, con impatti che possono estendersi ben oltre i confini aziendali, influenzando parametri macroeconomici come il PIL.

La vulnerabilità della filiera e il ruolo delle terze parti

L’analisi di Ciani si conclude toccando un tema storicamente discusso ma oggi reinterpretato: la sicurezza delle terze parti. Nonostante il richiamo del World Economic Forum nel rapporto 2026 sulla cybersecurity, persiste una scarsa attenzione alla resilienza della filiera. Molte aziende continuano a gestire il rischio dei fornitori attraverso checklist puntuali che diventano rapidamente obsolete in un mercato dinamico.

Esiste una diffusa incapacità di avere visibilità sui subfornitori — le cosiddette quarte, quinte e seste parti — mentre la variabile geopolitica agisce come una “wildcard” imprevedibile. Secondo Ciani, solo i CISO delle organizzazioni più resilienti considerano oggi la catena di fornitura come un elemento critico per la continuità operativa.

Verso un concetto di resilienza sistemica

In un’epoca in cui gli incidenti cyber sono considerati eventi inevitabili, l’obiettivo delle organizzazioni deve spostarsi dalla semplice protezione alla capacità di assorbire l’urto. La rapidità con cui la minaccia evolve richiede alle imprese una capacità di risposta altrettanto veloce. Come affermato da Nicola Ciani in chiusura del suo intervento: «È importante cogliere in maniera più reattiva quelle che possono essere le opportunità tecnologiche, proprio perché la minaccia le sta valorizzando veramente molto velocemente». L’adozione di pratiche di autoprotezione e autorisposta non è più un’opzione, ma una necessità per garantire la sopravvivenza in un ecosistema digitale ostile.