Nel 2025 la cybersecurity in Italia smette definitivamente di essere un tema da specialisti IT e diventa una questione di continuità operativa per le imprese, affidabilità dei servizi pubblici e, più in generale, di resilienza dell’intero sistema economico. L’ultimo Rapporto Clusit restituisce infatti un quadro in peggioramento, perché gli incidenti aumentano, cambiano i bersagli, si rafforzano le componenti dimostrative e geopolitiche degli attacchi e le tecniche offensive diventano più fluide, automatizzate e accessibili. Allo stesso tempo, però, il dato italiano non racconta soltanto una crescita del rischio, ma suggerisce anche qualcosa di più complesso, perché anche se in alcuni comparti la regolazione sembra produrre effetti positivi, il solo rafforzamento normativo non è sufficiente a costruire una reale capacità di difesa. La compliance può alzare la soglia minima di protezione, ma non può, da sola, trasformarsi in resilienza.

GLI INCIDENTI CYBER IN ITALIA

Il primo elemento da cui partire è la crescita degli incidenti cyber che colpiscono l’Italia. Nel 2025 gli eventi censiti arrivano a 507 e segnano un aumento del 42% rispetto ai 357 del 2024. Il nostro Paese continua quindi a muoversi dentro la stessa dinamica di aggravamento osservata a livello internazionale e non mostra una vera capacità di sottrarsi al trend complessivo. Resta inoltre elevato il peso dell’Italia nel campione globale, dal momento che gli incidenti che colpiscono organizzazioni italiane rappresentano circa il 10% del totale, un valore ancora vicino al picco registrato nel 2023.

Fonte: Rapporto Clusit 2026

A colpire non è soltanto il dato puntuale del 2025, ma la traiettoria degli ultimi anni. Dopo la forte impennata del 2022, il numero di incidenti sembrava essersi assestato nel biennio 2023 e 2024 attorno ai 300 casi annui, ma il 2025 rompe questa apparente stabilizzazione e riapre una fase di accelerazione. Il confronto con il dato globale aiuta a leggere meglio il fenomeno, perché mostra che l’Italia non è un’anomalia quantitativa isolata, ma un tassello particolarmente esposto dentro uno scenario internazionale sempre più bersagliato da attacchi. La crescita, quindi, non ha nulla di episodico e somiglia sempre di più a una condizione strutturale.

Fonte: Rapporto Clusit 2026

DOVE SI CONCENTRANO GLI ATTACCHI?

Il secondo elemento rilevante riguarda la distribuzione delle vittime. Nel 2025 il settore governativo, militare e delle forze dell’ordine torna al primo posto e raccoglie il 28,4% degli incidenti italiani. Seguono il manifatturiero con il 12,6%, gli attacchi a obiettivi multipli con il 12,4% e il comparto trasporti e logistica con il 12%. Le prime quattro categorie concentrano così oltre il 65% del totale degli incidenti censiti nel Paese e questo segnala una polarizzazione crescente, perché gli attaccanti tendono a colpire con maggiore insistenza proprio quei settori che uniscono rilevanza sistemica, visibilità pubblica e, in molti casi, un livello di maturità cyber ancora disomogeneo.

Fonte: Rapporto Clusit 2026

Alcuni andamenti meritano un’attenzione particolare. Il comparto Gov/Mil/LE registra un incremento vicino al 290% rispetto al 2024, passando da 37 a 107 incidenti. I trasporti crescono di oltre il 134%, mentre il manifatturiero continua a confermarsi un settore particolarmente vulnerabile per il caso italiano. Il rapporto sottolinea che il 16% degli incidenti globali diretti contro il manifatturiero riguarda realtà italiane, una quota molto superiore al peso medio del Paese nel campione complessivo. Al contrario, la sanità arretra nella classifica italiana, mentre il settore finanziario rimane relativamente più protetto rispetto al quadro globale. Nel complesso emerge un dato chiaro, perché la pressione degli attacchi non si distribuisce in modo uniforme, ma si addensa dove convivono criticità operative, esposizione infrastrutturale e ritorno reputazionale per gli aggressori.

GLI ATTACCANTI E LE NUOVE TECNICHE DI ATTACCO

Se si guarda agli attaccanti, emerge uno dei tratti più peculiari del caso italiano. Il cybercrime resta la matrice principale degli incidenti e rappresenta il 60,9% del totale, ma il dato italiano si discosta nettamente da quello globale, dove il cybercrime arriva all’89,3%. A colpire è soprattutto il peso dell’hacktivismo, che nel nostro Paese raggiunge il 38,7% degli incidenti e cresce del 145% rispetto al 2024. Nello studio si descrive esplicitamente questa dinamica come una vera e propria anomalia italiana, che dipende sia dalla forte esposizione del Paese agli attacchi dimostrativi e geopolitici, sia dal diverso rilievo che questo tipo di eventi assume nella sfera pubblica e mediatica nazionale.

Fonte: Rapporto Clusit 2026

Questo aspetto è importante perché modifica anche la qualità del rischio. L’hacktivismo, preso isolatamente, produce spesso impatti meno gravi del cybercrime tradizionale, ma nel caso italiano amplifica visibilità, pressione reputazionale e percezione di vulnerabilità. Non tutti questi attacchi sono i più distruttivi in termini tecnici, però sono spesso quelli che colpiscono con maggiore efficacia la fiducia verso istituzioni e organizzazioni. Per un Paese che già soffre di una postura di sicurezza disomogenea, il combinarsi di danno operativo e danno reputazionale finisce così per diventare un ulteriore moltiplicatore di fragilità.

Anche la distribuzione delle tecniche di attacco conferma che il quadro è cambiato. Nel 2025 il DDoS diventa in Italia la prima tecnica con il 38,5% dei casi e supera il malware, che scende al 22,7%. Seguono le tecniche non disclose, pari al 21,9%, e il phishing con il social engineering, che arriva al 12,4%. Questo dato è coerente sia con la crescita degli attacchi al settore pubblico sia con l’esplosione dell’hacktivismo, perché il DDoS resta uno strumento relativamente semplice, altamente visibile e perfettamente adatto a campagne dimostrative o di pressione simbolica.

Fonte: Rapporto Clusit 2026

Ma il dato forse più significativo, guardando ai prossimi anni, è quello sul phishing. In Italia gli incidenti di phishing e social engineering crescono di circa il 66% rispetto al 2024, mentre a livello globale la crescita arriva al 75%. Il Rapporto collega esplicitamente questa dinamica all’uso crescente dell’intelligenza artificiale, che rende molto più facile produrre e-mail, messaggi e contenuti vocali credibili, ben scritti e personalizzati. Un’altra analisi contenuta nel Rapporto conferma questa tendenza e mostra che nel 2025 quasi tre messaggi malevoli su quattro risultano individuali e mirati, proprio grazie all’uso intensivo dell’AI da parte dei cybercriminali. Questo significa che la tecnologia non sta solo aumentando il volume degli attacchi, ma ne sta abbassando il costo di produzione e alzando l’efficacia, soprattutto contro utenti e organizzazioni non adeguatamente preparati.

IL RUOLO DELLA REGOLAMENTAZIONE

Ciò che risulta chiaro è che le norme stanno aiutando a rafforzare la sicurezza, soprattutto nei settori più regolati. Un esempio è il comparto finanziario, che in Italia risulta meno colpito rispetto al quadro globale. Secondo il Clusit, anche regole europee come DORA hanno contribuito a migliorare la capacità di difesa di questo settore. Più in generale, norme come NIS2, AI Act e CRA possono essere utili perché spingono imprese e amministrazioni a prendere sul serio la cybersecurity. Questo è particolarmente importante in un Paese come l’Italia, dove molte organizzazioni, soprattutto le più piccole, tendono ancora a considerarla una priorità secondaria.

Tuttavia, lo stesso ente avverte che affidare interamente alle norme l’agenda della sicurezza rischia di produrre investimenti burocratici, non sempre centrati sui rischi effettivi delle singole organizzazioni. La compliance, quindi, è necessaria ma non sufficiente. Servono governance, capacità di risk management, controllo della supply chain, qualità dell’outsourcing, responsabilizzazione del vertice aziendale e un investimento molto più serio sulla consapevolezza delle persone. In questo senso, il dato sul phishing è forse il più eloquente, perché nessun adempimento formale può compensare da solo una cultura della sicurezza debole.

CONCLUSIONE

Il 2025 consegna dunque un messaggio chiaro. L’Italia continua a essere un bersaglio importante nel panorama cyber internazionale, gli incidenti crescono, i settori più esposti si concentrano in aree ad alto valore sistemico, l’hacktivismo assume nel nostro Paese un peso anomalo e le tecniche di attacco evolvono rapidamente, anche grazie all’intelligenza artificiale. In questo contesto, la regolazione europea e nazionale rappresenta un passo avanti importante e in alcuni casi i suoi effetti iniziano già a vedersi. Ma sarebbe un errore confondere il rafforzamento normativo con la costruzione di una vera resilienza. Le regole possono alzare il pavimento della sicurezza, ma non possono sostituire la qualità della governance, la capacità di investimento, la maturità organizzativa e la diffusione di una cultura del rischio cyber. È su questo terreno, molto più che sulla sola compliance, che si giocherà la capacità del sistema Paese di reggere la pressione dei prossimi anni.

Gabriele VEROLINI
Researcher presso l’Istituto per la Competitività (I-Com). Nato a Roma il 15 settembre 2000, ha conseguito la laurea triennale in Economia nel 2023 e la laurea magistrale in Economia dell’ambiente, lavoro e sviluppo sostenibile, con specializzazione in Global Development, nel 2026 presso l’Università degli Studi Roma Tre. Ha discusso una tesi in International Trade and Migration dal titolo Immigration and Native Employment across European Regions: A Comparative Analysis of Mediterranean and Continental Labor Markets.

RELATED ARTICLESMORE FROM AUTHOR