Quasi un attacco informatico grave su dieci nel mondo colpisce l’Italia. Un Paese che rappresenta il 2% del PIL globale e meno dell’1% della popolazione mondiale, ma che nel 2025 ha ricevuto il 9,6% di tutti gli incidenti cyber seri registrati sul pianeta. Il Rapporto Clusit 2026, presentato il 17 marzo al Security Summit di Milano, consegna numeri che non si possono ignorare — e che dovrebbero imbarazzare chi da anni gestisce questo divario.
Il 2025: anno record, il peggiore dal 2011
Dal 2011, anno in cui Clusit ha avviato le sue rilevazioni sistematiche, il 2025 si conferma il peggior anno mai registrato per la sicurezza informatica mondiale. Gli attacchi informatici gravi censiti a livello globale hanno raggiunto 5.265 incidenti, con una crescita del +49% rispetto al 2024. Per contestualizzare: nel 2021 gli attacchi erano circa 2.049. In quattro anni, sono cresciuti del +157%.
Non è una crescita lineare. È un’accelerazione che si autoalimenta. Il numero di incidenti in un singolo anno ha superato per la prima volta quota cinquemila, il che significa che nel mondo si verificano in media oltre quattordici attacchi gravi ogni giorno. Il +49% del 2025 è inoltre il tasso di crescita annuale più alto mai registrato da Clusit dal 2011.
Sul fronte geografico, come riportato dal rapporto, le Americhe e l’Europa concentrano ancora il 58% degli incidenti, ma la vera sorpresa è l’Asia: +131% rispetto all’anno precedente, con il 19% del totale globale. Gli attacchi che colpiscono simultaneamente più aree geografiche crescono del +61%, confermando la natura sempre più transnazionale delle operazioni criminali.
Nasce la categoria “Extreme”: quando un attacco diventa catastrofe
Una delle novità metodologiche del Rapporto Clusit 2026 è l’introduzione di una nuova categoria di severità: “Extreme”. Comprende 142 incidenti con impatto catastrofico — interruzione totale di servizi critici, compromissione di infrastrutture nazionali, danni sistemici che richiedono interventi governativi di emergenza.
La distribuzione per severità è questa: il 28% degli attacchi è classificato come Critical, il 55% come High (cresciuto del +66%), e circa il 3% rientra nella nuova categoria Extreme. Il dato chiave: 1 attacco su 3 nel mondo è di severità Critical o Extreme. Non stiamo parlando di incidenti fastidiosi ma gestibili, di siti down per qualche ora. Stiamo parlando di eventi che bloccano interi settori produttivi, espongono i dati sensibili di milioni di persone e generano danni economici nell’ordine di centinaia di milioni di euro.
Il caso più emblematico citato nel rapporto è quello di Jaguar Land Rover: a settembre 2025, un attacco informatico ha bloccato la produzione globale del costruttore automotive britannico per settimane, costringendo il governo del Regno Unito a intervenire con un prestito d’emergenza da 1,5 miliardi di sterline. Un singolo incidente cyber che ha richiesto un salvataggio statale. È esattamente questo che significa “Extreme”.
L’Italia: 507 attacchi e un’anomalia strutturale
Con 507 attacchi gravi nel 2025 contro i 357 del 2024, l’Italia registra una crescita del +42%. Il nostro Paese rappresenta il 9,6% di tutti gli attacchi informatici gravi nel mondo. L’anomalia è evidente: l’Italia vale circa il 2% del PIL mondiale e meno dell’1% della popolazione, ma assorbe quasi un decimo degli attacchi globali.
C’è però una nota — parzialmente — positiva: la crescita italiana (+42%) è inferiore a quella globale (+49%) per il secondo anno consecutivo. Un segnale che qualcosa si muove nella direzione giusta, anche se lentamente e in modo insufficiente rispetto alla portata del problema.
I settori più colpiti in Italia raccontano molto del contesto geopolitico attuale:
- Governo, militare e forze dell’ordine: 28,4% degli attacchi (+290% rispetto al 2024) — il settore più bersagliato in assoluto
- Manifatturiero: 12,6% — l’Italia assorbe il 16% di tutti gli attacchi globali al settore manufacturing
- Trasporti e logistica: 12% (+134,6%)
- Healthcare: 1,8% — in calo, inversione di tendenza rispetto agli anni precedenti
Il +290% al settore governativo e militare non si spiega con vulnerabilità tecniche particolari della pubblica amministrazione italiana. Si spiega con il fenomeno che più di ogni altro caratterizza il panorama della cybersecurity italiana nel 2025: l’hacktivism.
L’Italia e l’hacktivism: un primato che nessuno vorrebbe
Il dato più sorprendente dell’intero rapporto, almeno per quanto riguarda l’Italia, è questo: il nostro Paese concentra il 64% di tutto l’hacktivism mondiale. Due attacchi hacktivisti su tre nel pianeta colpiscono obiettivi italiani.
L’hacktivism — attacchi informatici a motivazione ideologica o politica, non finanziaria — rappresenta il 38,7% degli attacchi italiani, cresciuto del +145% in un anno. A livello globale, invece, il cybercrime a scopo economico copre l’89% degli incidenti. La distribuzione italiana è radicalmente diversa:
- Cybercrime: 60,9% — in maggioranza, ma ben sotto la media mondiale dell’89%
- Hacktivism: 38,7% (+145%) — fenomeno prevalentemente italiano
- Espionage/Sabotage: 0,4% — marginale nei numeri, non nella gravità potenziale
La ragione di questo primato negativo è geopolitica. Le posizioni italiane sui conflitti internazionali in corso hanno reso il Paese un bersaglio privilegiato per gruppi hacktivisti, che utilizzano principalmente attacchi DDoS — Distributed Denial of Service — contro istituzioni pubbliche, ministeri, infrastrutture critiche. In Italia, secondo Clusit, il DDoS rappresenta il 38,5% di tutti gli attacchi (era il 21% nel 2024), contro una media globale del 6,4%. Quasi quattro attacchi su dieci in Italia sono DDoS.
L’intelligenza artificiale come moltiplicatore di minacce
Il Rapporto Clusit 2026 dedica ampio spazio al ruolo dell’IA come fattore moltiplicatore degli attacchi. La conclusione è netta: l’intelligenza artificiale non ha inventato nuove tipologie di minaccia, ma ha potenziato drammaticamente quelle esistenti.
I numeri lo confermano: il phishing e il social engineering crescono del +75% a livello globale, in buona parte grazie all’IA generativa che produce email e messaggi grammaticalmente perfetti, personalizzati sul target, quasi indistinguibili da comunicazioni legittime. Lo sfruttamento delle vulnerabilità cresce del +65%. Gli attacchi web del +62%.
Sul fronte dell’automazione offensiva, operazioni che richiedevano giorni di lavoro manuale — ricognizione, scansione delle vulnerabilità, creazione dei payload — vengono ora completate in ore. I deepfake audio e video vengono usati per impersonare dirigenti e autorizzare trasferimenti bancari o accessi non autorizzati. L’IA viene usata per generare varianti di malware che eludono i sistemi di rilevamento tradizionali.
Un dato lascia perplessi: il 33% degli attacchi globali usa tecniche classificate come “unknown” — non identificate o non rese pubbliche. Un terzo degli incidenti, cioè, avviene con modalità che non riusciamo a classificare. Questo rende ancora più difficile costruire difese efficaci.
Il gap degli investimenti: la radice del problema
Se c’è un dato che spiega — almeno in parte — il primato negativo italiano, è questo: l’Italia destina alla cybersecurity lo 0,13-0,14% del PIL, contro una media dei Paesi G7 di circa 0,3%. Meno della metà dei suoi partner più avanzati.
La correlazione è evidente e brutale: chi investe poco in sicurezza subisce più attacchi. L’Italia, con investimenti pari alla metà della media G7, subisce una quota di attacchi cinque volte superiore al suo peso economico. Non è una coincidenza — è la conseguenza diretta di anni di sottoinvestimento strutturale in un settore che richiede risorse costanti, non interventi emergenziali.
Le raccomandazioni di Clusit sono chiare: portare gli investimenti in cybersecurity almeno allo 0,3% del PIL; adottare un approccio di “security by design” che integri la sicurezza fin dalla progettazione dei sistemi; accelerare la conformità alla Direttiva NIS2; investire nell’information sharing tra organizzazioni e settori, uno degli aspetti in cui l’Italia è storicamente più indietro.
La mia lettura
Il Rapporto Clusit non è una lettura piacevole. Ogni anno i numeri peggiorano, ogni anno le conclusioni sono le stesse — investire di più, fare meglio — e ogni anno ci troviamo a commentare un nuovo record negativo. C’è qualcosa di sistematicamente disfunzionale in questo schema.
Il dato che trovo più significativo non è il +49% globale né il +42% italiano. È il 64% dell’hacktivism mondiale che si concentra sul nostro Paese. Quel numero dice qualcosa di preciso: l’Italia è percepita come un bersaglio accessibile e visibile. Accessibile perché i sistemi pubblici italiani restano spesso vulnerabili, mal aggiornati, sottofinanziati. Visibile perché il contesto geopolitico la mette in primo piano.
Il caso Jaguar Land Rover merita una riflessione separata. Un attacco che blocca la produzione di un costruttore globale e richiede un intervento statale da 1,5 miliardi di sterline è un segnale che il cybercrime ha smesso da tempo di essere un problema “IT”. È un problema industriale, economico, di sicurezza nazionale. In Italia, dove il manifatturiero assorbe il 16% degli attacchi globali al settore, la posta in gioco non potrebbe essere più alta.
La domanda che mi pongo ogni volta che leggo questi dati è: quanto deve essere alto il costo — economico, reputazionale, industriale — prima che gli investimenti in cybersecurity diventino una priorità reale e non una voce di budget residuale? La risposta, temo, la stiamo già vivendo.