Se pensavate che il problema della sicurezza informatica riguardasse solo le grandi multinazionali o le pubbliche amministrazioni, il Rapporto CLUSIT 2025, nell’aggiornamento di ottobre, è probabilmente la doccia fredda più necessaria degli ultimi anni.
Pubblicato dall’Associazione Italiana per la Sicurezza Informatica, questo rapporto, ormai alla sua tredicesima edizione e scaricato da oltre 80.000 persone nei soli ultimi dodici mesi, è diventato il documento di riferimento per capire come sta evolvendo il panorama delle minacce cyber in Italia e nel mondo. I dati del primo semestre 2025 che emergono da questa edizione sono, in una parola, inquietanti.
I numeri che non si possono ignorare
Partiamo dai fatti. Nel primo semestre del 2025 sono stati registrati 2.755 incidenti informatici gravi a livello mondiale, il numero più alto mai documentato in un singolo semestre dall’inizio di questa attività di monitoraggio, avviata nel 2011.
Non è una semplice crescita lineare: è una escalation. La media mensile di incidenti è passata da 153 nel primo semestre 2020 agli attuali 459. In cinque anni, il numero di eventi malevoli rilevati ogni mese è triplicato.
Non è una semplice crescita lineare: è una escalation. La media mensile di incidenti è passata da 153 nel primo semestre 2020 agli attuali 459. In cinque anni, il numero di eventi malevoli rilevati ogni mese è triplicato.
Ma c’è un dato che colpisce ancora di più della quantità: la gravità. Nel 2024, il 77% degli incidenti andati a segno aveva un impatto classificato come “critico” o “alto”. Nella prima metà del 2025 quella percentuale è salita all’82%.
Il divario tra la capacità offensiva degli attaccanti e quella difensiva delle organizzazioni non si sta riducendo. Si sta allargando.
Il divario tra la capacità offensiva degli attaccanti e quella difensiva delle organizzazioni non si sta riducendo. Si sta allargando.
Negli ultimi cinque anni gli incidenti con impatto critico o alto sono cresciuti del +143% a livello globale.
Eppure, nella maggior parte delle organizzazioni, i budget per la sicurezza informatica continuano a essere calcolati su requisiti minimi di conformità e su dati storici non aggiornati, anziché su una valutazione del rischio reale e attuale.
Eppure, nella maggior parte delle organizzazioni, i budget per la sicurezza informatica continuano a essere calcolati su requisiti minimi di conformità e su dati storici non aggiornati, anziché su una valutazione del rischio reale e attuale.
L’Italia: la maglia nera che non riesce a togliersi
Il capitolo italiano fa particolarmente riflettere.
L’Italia rappresenta il 10,2% di tutti gli incidenti globali del primo semestre 2025. Per contestualizzare: nel 2021 eravamo al 3,4%, nel 2022 al 7,6%, nel 2023 all’11,2%. Non è una coincidenza o un’anomalia statistica.
È una tendenza strutturale che il rapporto definisce apertamente anomala rispetto alle dimensioni della nostra economia e della nostra popolazione.
L’Italia rappresenta il 10,2% di tutti gli incidenti globali del primo semestre 2025. Per contestualizzare: nel 2021 eravamo al 3,4%, nel 2022 al 7,6%, nel 2023 all’11,2%. Non è una coincidenza o un’anomalia statistica.
È una tendenza strutturale che il rapporto definisce apertamente anomala rispetto alle dimensioni della nostra economia e della nostra popolazione.
In altri termini, subiamo attacchi informatici in proporzione molto superiore a quanto ci si aspetterebbe da un Paese del nostro peso economico.
E questo, scrive il CLUSIT, rappresenta un vero svantaggio competitivo per il sistema-Paese.
E questo, scrive il CLUSIT, rappresenta un vero svantaggio competitivo per il sistema-Paese.
Nel primo semestre 2025 sono stati registrati 280 incidenti gravi verso organizzazioni italiane, il 75% di quanti ne erano stati documentati nell’intero 2024.
Se il trend si confermasse, chiuderemmo l’anno con un numero record.
Se il trend si confermasse, chiuderemmo l’anno con un numero record.
Ciò che rende il caso italiano peculiare è la composizione degli attacchi.
A livello globale, il cybercrime di tipo economico, con estorsioni, ransomware e furti di dati, è responsabile dell’87% degli incidenti.
In Italia, invece, la categoria più rappresentata nel primo semestre 2025 è l’hacktivism, con il 54% degli eventi. Si tratta di attacchi dimostrativi con motivazioni politiche o geopolitiche, spesso riconducibili a gruppi come NoName057(16), un collettivo filorusso che, come emerge dalle attività investigative della Polizia Postale, opera in realtà come struttura di sabotaggio coordinata da apparati governativi russi.
La tecnica prevalente in Italia è il **DDoS (Distributed Denial of Service)**, utilizzata nel 54% dei casi, un dato che si distacca nettamente dalla media mondiale dove i DDoS rappresentano solo il 9% degli attacchi.
A livello globale, il cybercrime di tipo economico, con estorsioni, ransomware e furti di dati, è responsabile dell’87% degli incidenti.
In Italia, invece, la categoria più rappresentata nel primo semestre 2025 è l’hacktivism, con il 54% degli eventi. Si tratta di attacchi dimostrativi con motivazioni politiche o geopolitiche, spesso riconducibili a gruppi come NoName057(16), un collettivo filorusso che, come emerge dalle attività investigative della Polizia Postale, opera in realtà come struttura di sabotaggio coordinata da apparati governativi russi.
La tecnica prevalente in Italia è il **DDoS (Distributed Denial of Service)**, utilizzata nel 54% dei casi, un dato che si distacca nettamente dalla media mondiale dove i DDoS rappresentano solo il 9% degli attacchi.
I settori più colpiti: nessuno è al sicuro
Guardando alla distribuzione delle vittime nel primo semestre 2025, il quadro è preoccupante in quasi tutti i comparti economici.
In Italia, il settore Governo, Militare e Law Enforcement è in cima alla classifica con il 38% degli incidenti.
Il numero di attacchi subiti equivale al 279% dell’intero anno 2024, con una crescita rispetto allo stesso periodo del 2024 di oltre il 600%. È una cifra che lascia senza parole.
In Italia, il settore Governo, Militare e Law Enforcement è in cima alla classifica con il 38% degli incidenti.
Il numero di attacchi subiti equivale al 279% dell’intero anno 2024, con una crescita rispetto allo stesso periodo del 2024 di oltre il 600%. È una cifra che lascia senza parole.
Al secondo posto si trova il settore Trasporti e Logistica (17% del totale), che in sei mesi ha già superato il totale degli incidenti dell’intero anno precedente. Un dettaglio non banale per chi opera in filiere produttive che dipendono dalla continuità logistica.
Il manifatturiero merita un’analisi a parte.
A livello globale questo settore è salito al quarto posto nella classifica delle vittime, raggiungendo in sei mesi il 90% degli incidenti dell’intero 2024.
In Italia, il manufacturing è storicamente sovrarappresentato, un riflesso della struttura industriale del Paese, e rappresenta il 13% degli incidenti nazionali.
Gli attacchi verso impianti industriali e sistemi OT (Operational Technology) sono cresciuti dell’87% rispetto all’anno precedente secondo il Report Dragos, con il ransomware come principale vettore.
A livello globale questo settore è salito al quarto posto nella classifica delle vittime, raggiungendo in sei mesi il 90% degli incidenti dell’intero 2024.
In Italia, il manufacturing è storicamente sovrarappresentato, un riflesso della struttura industriale del Paese, e rappresenta il 13% degli incidenti nazionali.
Gli attacchi verso impianti industriali e sistemi OT (Operational Technology) sono cresciuti dell’87% rispetto all’anno precedente secondo il Report Dragos, con il ransomware come principale vettore.
Il settore **sanitario** mostra un dato particolarmente allarmante: la quota di incidenti con severità “critica” è raddoppiata nel primo semestre 2025 rispetto al 2024. I dati sanitari sono tra i più ricercati sul dark web, e le strutture ospedaliere sono bersagli prioritari per chi vuole massimizzare il danno e ottenere un riscatto.
Le PMI: il vero tallone d’Achille del sistema
Uno degli approfondimenti più interessanti di questa edizione è la survey condotta dalla Camera di Commercio di Modena in collaborazione con l’Università di Modena e Reggio Emilia e con lo stesso CLUSIT, che ha coinvolto 715 piccole e medie imprese nel 2025.
I risultati, pur riferiti a un contesto locale, sono significativi e probabilmente rappresentativi della realtà italiana più ampia.
I risultati, pur riferiti a un contesto locale, sono significativi e probabilmente rappresentativi della realtà italiana più ampia.
In più della metà delle aziende fino a 50 dipendenti, nessuno si occupa di IT, nemmeno a tempo parziale.
La presenza di responsabilità formali per la cybersecurity e la privacy è scesa dal 61% al 54% rispetto alla rilevazione precedente.
Il 42% dei rispondenti dichiara di non sapere nulla delle certificazioni in ambito sicurezza informatica.
E la formazione? Anche nelle aziende obbligate dalla normativa NIS2, una su cinque non effettua alcuna attività formativa sui temi della sicurezza.
La presenza di responsabilità formali per la cybersecurity e la privacy è scesa dal 61% al 54% rispetto alla rilevazione precedente.
Il 42% dei rispondenti dichiara di non sapere nulla delle certificazioni in ambito sicurezza informatica.
E la formazione? Anche nelle aziende obbligate dalla normativa NIS2, una su cinque non effettua alcuna attività formativa sui temi della sicurezza.
Questi numeri raccontano una storia che va ben oltre la singola impresa. Le PMI costituiscono il tessuto connettivo dell’economia italiana, e la loro vulnerabilità è la vulnerabilità del sistema produttivo nel suo complesso.
Gli attaccanti lo sanno bene. Come segnalato dalla Polizia Postale, i singoli funzionari, i singoli cittadini e le piccole e medie imprese sono sempre più spesso gli anelli deboli attaccati nelle catene di fornitura.
Gli attaccanti lo sanno bene. Come segnalato dalla Polizia Postale, i singoli funzionari, i singoli cittadini e le piccole e medie imprese sono sempre più spesso gli anelli deboli attaccati nelle catene di fornitura.
L’intelligenza artificiale: una minaccia silenziosa e uno strumento di difesa
Il rapporto dedica ampio spazio al ruolo dell’intelligenza artificiale nell’evoluzione degli attacchi.
L’IA è già uno strumento attivo nelle mani dei criminali informatici: viene utilizzata per costruire immagini e audio deepfake di personaggi pubblici a scopo truffaldino, per automatizzare campagne di phishing e social engineering su scala massiva, per rendere gli attacchi più adattativi rispetto alle difese delle vittime.
L’IA è già uno strumento attivo nelle mani dei criminali informatici: viene utilizzata per costruire immagini e audio deepfake di personaggi pubblici a scopo truffaldino, per automatizzare campagne di phishing e social engineering su scala massiva, per rendere gli attacchi più adattativi rispetto alle difese delle vittime.
Ma l’intelligenza artificiale, in particolare quella agentica, capace di agire in modo autonomo su sistemi complessi, è destinata a ridefinire l’intera superficie del campo di battaglia cyber nei prossimi anni.
Il rapporto sottolinea che l’IA agentica può essere sfruttata sia per rendere gli attacchi più efficaci, sia per automatizzare e scalare le difese. La chiave è capire che non si tratta di una tecnologia neutrale: chi la adotta prima e meglio avrà un vantaggio significativo.
Il rapporto sottolinea che l’IA agentica può essere sfruttata sia per rendere gli attacchi più efficaci, sia per automatizzare e scalare le difese. La chiave è capire che non si tratta di una tecnologia neutrale: chi la adotta prima e meglio avrà un vantaggio significativo.
Sul fronte della compliance normativa, il rapporto evidenzia come gli strumenti di AI generativa possano diventare alleati concreti delle organizzazioni nella gestione del ciclo di vita dei requisiti normativi. La moltiplicazione delle normative europee in materia di sicurezza digitale, da NIS2 a GDPR, da DORA all’AI Act, è reale e impone costi organizzativi crescenti. L’AI, usata con consapevolezza e spirito critico, può aiutare a gestirli.
NIS2 e il nuovo quadro normativo: un’opportunità da non sprecare
La direttiva europea NIS2, recepita in Italia con il D.Lgs. 138/2024 entrato in vigore il 16 ottobre 2024, è uno dei temi cardine di questa edizione. Il CLUSIT la descrive come una regolamentazione “pervasiva nel tessuto produttivo”, che non impatta solo le aziende direttamente soggette, ma si propaga lungo tutta la supply chain.
Questo è il punto che molti imprenditori ancora sottovalutano. Anche se la vostra azienda non rientra formalmente nel perimetro NIS2, i vostri clienti o committenti potrebbero richiedere requisiti di sicurezza specifici come condizione per lavorare insieme. La NIS2 diventa così un prerequisito commerciale, prima ancora che regolatorio.
La survey modenese rivela che 136 delle 715 aziende intervistate sono già soggetti NIS2.
Tra queste, molte hanno team IT composti da meno di tre persone e una formazione sulla sicurezza definita come “solo occasionale”.
È evidente che il recepimento formale della norma è solo il punto di partenza. La vera sfida è costruire una cultura e una capacità operativa all’altezza.
Tra queste, molte hanno team IT composti da meno di tre persone e una formazione sulla sicurezza definita come “solo occasionale”.
È evidente che il recepimento formale della norma è solo il punto di partenza. La vera sfida è costruire una cultura e una capacità operativa all’altezza.
Quattro cose da fare oggi, se si guida un’organizzazione
Il CLUSIT non si limita a fotografare il problema. Indica anche le direzioni di risposta, e vale la pena riportarle in modo diretto.
La prima è rivedere le valutazioni del rischio.
La maggior parte delle aziende continua ad allocare risorse sulla base di requisiti minimi di conformità e dati storici. In un contesto in cui gli attacchi con impatto critico sono cresciuti del 143% in cinque anni, questo approccio è strutturalmente inadeguato.
Serve una valutazione del rischio basata su dati aggiornati e specifici al proprio settore.
La maggior parte delle aziende continua ad allocare risorse sulla base di requisiti minimi di conformità e dati storici. In un contesto in cui gli attacchi con impatto critico sono cresciuti del 143% in cinque anni, questo approccio è strutturalmente inadeguato.
Serve una valutazione del rischio basata su dati aggiornati e specifici al proprio settore.
La seconda è capire che la cybersecurity non è un problema solo dell’IT.
Il rapporto è esplicito su questo punto: la percezione del pericolo deve partire dal vertice dell’organizzazione. “Un danno informatico grave può mettere in ginocchio un’azienda con costi molto maggiori della prevenzione”, scrive la presidente del CLUSIT, Anna Vaccarelli.
La sicurezza informatica è un asset strategico, non una voce di costo da minimizzare.
Il rapporto è esplicito su questo punto: la percezione del pericolo deve partire dal vertice dell’organizzazione. “Un danno informatico grave può mettere in ginocchio un’azienda con costi molto maggiori della prevenzione”, scrive la presidente del CLUSIT, Anna Vaccarelli.
La sicurezza informatica è un asset strategico, non una voce di costo da minimizzare.
La terza riguarda la supply chain.
Se siete fornitori di aziende soggette a NIS2 o di grandi gruppi industriali, aspettatevi che vi venga chiesto di dimostrare il vostro livello di sicurezza informatica. Anticipare questa richiesta è un vantaggio competitivo, non un adempimento burocratico.
Se siete fornitori di aziende soggette a NIS2 o di grandi gruppi industriali, aspettatevi che vi venga chiesto di dimostrare il vostro livello di sicurezza informatica. Anticipare questa richiesta è un vantaggio competitivo, non un adempimento burocratico.
La quarta è la formazione. Il phishing e il social engineering rimangono tra le tecniche di attacco più diffuse perché continuano a funzionare.
L’essere umano è, e resta, l’anello più vulnerabile della catena.
Investire in formazione continua per tutti i dipendenti non è un optional.
L’essere umano è, e resta, l’anello più vulnerabile della catena.
Investire in formazione continua per tutti i dipendenti non è un optional.
Il tempo medio di scoperta: 194 giorni
C’è un dato spesso trascurato, ma di enorme rilevanza pratica. Secondo le stime più accreditate, il tempo medio necessario per scoprire una violazione di sicurezza è di 194 giorni.
Quasi sei mesi. In molti casi, un attaccante può essere presente nei sistemi di un’organizzazione per mesi prima che qualcuno se ne accorga, e spesso ci si accorge solo quando decide di agire in modo eclatante.
Quasi sei mesi. In molti casi, un attaccante può essere presente nei sistemi di un’organizzazione per mesi prima che qualcuno se ne accorga, e spesso ci si accorge solo quando decide di agire in modo eclatante.
Questo significa che la domanda non è più solo “come evito di essere attaccato”, ma soprattutto “quanto velocemente riesco a rilevare e contenere un attacco che è già in corso”.
La resilienza, intesa come capacità di rispondere, contenere e ripristinare, è diventata una componente essenziale della strategia di sicurezza di qualsiasi organizzazione.
La resilienza, intesa come capacità di rispondere, contenere e ripristinare, è diventata una componente essenziale della strategia di sicurezza di qualsiasi organizzazione.
La truffa online cresce: 109 milioni di euro sottratti in sei mesi
La Polizia Postale, che collabora attivamente con il CLUSIT nella redazione del rapporto, documenta dati altrettanto preoccupanti sul versante delle frodi digitali.
Nel primo semestre 2025 le somme sottratte attraverso truffe online hanno raggiunto i 109 milioni di euro, in aumento dell’88% rispetto allo stesso periodo di due anni fa.
I casi trattati sono stati oltre 9.000, con quasi 2.000 persone indagate.
Nel primo semestre 2025 le somme sottratte attraverso truffe online hanno raggiunto i 109 milioni di euro, in aumento dell’88% rispetto allo stesso periodo di due anni fa.
I casi trattati sono stati oltre 9.000, con quasi 2.000 persone indagate.
Le tecniche spaziano dal phishing classico alle varianti più sofisticate, come lo spoofing (impersonificazione di numeri di telefono o mittenti fidati), le truffe romantiche e le frodi d’investimento potenziate da deepfake di personaggi noti.
Persiste poi il Business Email Compromise, una delle minacce più insidiose per le imprese: email apparentemente legittime che reindirizzano bonifici verso conti fraudolenti, spesso senza che ci si accorga di nulla finché il danno è già fatto.
Persiste poi il Business Email Compromise, una delle minacce più insidiose per le imprese: email apparentemente legittime che reindirizzano bonifici verso conti fraudolenti, spesso senza che ci si accorga di nulla finché il danno è già fatto.
Il costo dell’inerzia
Il CLUSIT pone una domanda scomoda ma necessaria: ci stiamo avvicinando a una soglia critica in cui la velocità, il volume e la complessità delle minacce cyber superano la capacità delle organizzazioni e dei governi di gestirle efficacemente?
I dati sembrano indicare di sì. E il punto non è se le minacce cibernetiche rappresentino un rischio primario per le imprese e per il Paese, perché i numeri lo confermano in modo inequivocabile.
Il punto è se i modelli di risposta attuali riusciranno a evolversi abbastanza velocemente da evitare che il divario tra attacco e difesa diventi irreversibile.
Il punto è se i modelli di risposta attuali riusciranno a evolversi abbastanza velocemente da evitare che il divario tra attacco e difesa diventi irreversibile.
Per chi guida un’azienda o uno studio professionale, il messaggio è chiaro.
L’incertezza è la nuova normalità, ma l’inerzia è la scelta più pericolosa di tutte. Valutare la propria postura di sicurezza, investire in formazione, adeguarsi alle normative e costruire relazioni con fornitori affidabili non sono opzioni da rimandare.
Sono requisiti di sopravvivenza in un mercato sempre più digitale e sempre più esposto.
L’incertezza è la nuova normalità, ma l’inerzia è la scelta più pericolosa di tutte. Valutare la propria postura di sicurezza, investire in formazione, adeguarsi alle normative e costruire relazioni con fornitori affidabili non sono opzioni da rimandare.
Sono requisiti di sopravvivenza in un mercato sempre più digitale e sempre più esposto.
Fonte: Rapporto CLUSIT sulla Cybersecurity in Italia e nel mondo — Aggiornamento ottobre 2025. Tutti i dati citati sono tratti direttamente dal documento ufficiale disponibile sul sito clusit.it.
CLICCA QUI e scarica IL RAPPORTO CLUSIT 2025