Il 2025 conferma un dato ormai innegabile: la sicurezza digitale non è più un tema tecnico, ma una questione sistemica.
L’aggiornamento di ottobre del Rapporto Clusit 2025 sulla cybersecurity in Italia e nel mondo, relativo al primo semestre dell’anno, offre una fotografia allarmante della situazione. L’insicurezza cibernetica è diventata una condizione permanente, una “new normal” che riflette l’interconnessione crescente tra infrastrutture, economia e geopolitica.
Gli incidenti aumentano non solo in numero ma anche in intensità. Gli investimenti nella sicurezza crescono, certo, ma non nella misura necessaria. E, soprattutto, non sempre in modo efficace. Non basta spendere di più: serve spendere meglio.
Questo è forse il messaggio più forte che emerge dal Clusit 2025, un documento che, al di là delle cifre, mette a nudo una verità scomoda per il nostro Paese.
A livello mondiale, i numeri parlano chiaro. Nel primo semestre 2025 si sono registrati 2.755 attacchi gravi, il valore più alto mai documentato. È un +36% rispetto al semestre precedente e quasi il triplo rispetto al 2020. Ma ciò che colpisce davvero è che l’82% degli incidenti ha un impatto alto o critico, a conferma di una crescente professionalizzazione dei gruppi criminali e di una riduzione del margine di errore difensivo.
Nel contesto italiano, la situazione è ancora più delicata. Nel solo primo semestre del 2025 si contano 280 attacchi di particolare gravità, pari al 75% di tutti quelli registrati nell’intero 2024. In termini relativi, l’Italia rappresenta oltre il 10,2% del totale mondiale degli incidenti, una percentuale sproporzionata rispetto al nostro peso economico e demografico.
Questo dato non è solo numerico: è il sintomo di una debolezza strutturale, fatta di infrastrutture obsolete, frammentazione istituzionale e un deficit di cultura della sicurezza diffuso a tutti i livelli.
Mentre nel resto del mondo il cybercrime rappresenta la quasi totalità degli attacchi (87%), in Italia accade qualcosa di anomalo. Da noi, la principale motivazione degli incidenti non è economica, ma politica o ideologica.
L’hacktivism domina la scena, responsabile del 54% degli attacchi noti nel 2025. È un dato impressionante, se si considera che a livello globale questa categoria pesa appena l’8%.
Non si tratta di attivismo digitale “romantico”, ma di campagne coordinate che usano la visibilità per destabilizzare o delegittimare. Il gruppo NoName057(16), legato a interessi filo-russi, è diventato un nome familiare agli addetti ai lavori: negli ultimi mesi ha colpito portali istituzionali, enti pubblici e siti legati al mondo militare, spesso senza provocare danni diretti, ma con un impatto simbolico notevole.
La tecnica prediletta è il DDoS (Distributed Denial of Service): attacchi che puntano a saturare i server per rendere i servizi inaccessibili. A livello mondiale questi episodi sono il 9% del totale; in Italia, oltre la metà.
Un paradosso che racconta bene il nostro punto debole: non sono gli attacchi sofisticati a metterci in ginocchio, ma quelli più “semplici” e rumorosi, che altrove vengono neutralizzati prima ancora di emergere.
Segue il Malware con il 20%, un'incidenza leggermente minore rispetto al dato globale (25%). Nonostante la crescita complessiva degli incidenti, l'utilizzo di questa tecnica mostra un lieve calo rispetto all'anno precedente.
Terzo posto Undisclosed (15%): si riferisce agli eventi per i quali le tecniche utilizzate non sono di pubblico dominio. L'alta percentuale conferma una tendenza rilevata anche a livello globale (dove costituiscono oltre un terzo del totale), malgrado le normative impongano l'obbligo di segnalazione di alcune tipologie di incidenti.
Il settore pubblico e militare è quello che ha pagato il prezzo più alto.
Nel primo semestre del 2025, quasi quattro attacchi su dieci in Italia hanno colpito enti governativi, forze dell’ordine o strutture militari. L’incremento è vertiginoso: +279% rispetto all’anno precedente.
Un segnale chiaro che la nostra infrastruttura pubblica è percepita come vulnerabile e, quindi, appetibile. L’hacktivism, in questo contesto, trova terreno fertile per colpire simboli di autorità e ottenere attenzione mediatica.
Anche i settori trasporti e logistica mostrano una crescita preoccupante, con un’incidenza del 17% degli attacchi totali. È un fenomeno tipicamente italiano, perché queste filiere — spesso gestite da consorzi o aziende medie — combinano sistemi IT e OT (Operational Technology) non sempre aggiornati. Colpirle significa rallentare la mobilità, interrompere forniture e mettere in crisi intere catene di approvvigionamento.
Il manifatturiero, infine, si conferma bersaglio costante del cybercrime, a dimostrazione di quanto la digitalizzazione industriale, se non accompagnata da sicurezza, sia una lama a doppio taglio.
Le evidenze relative alla severità degli incidenti tracciano un quadro di profonda preoccupazione.
In Italia, solo il 7% degli attacchi è classificato come “critico”, contro il 29% globale. A prima vista, potrebbe sembrare una buona notizia. In realtà, è l’opposto.
Il fatto che la maggior parte degli incidenti venga classificata come “media gravità” non significa che sia meno pericolosa: indica piuttosto che molti attacchi di media intensità arrivano a segno, laddove in altri Paesi verrebbero neutralizzati in fase preventiva.
Il Rapporto Clusit lo dice chiaramente: in Italia mancano capacità di prevenzione e mitigazione diffuse. Non si tratta solo di strumenti, ma di organizzazione e cultura.
Le PMI italiane, che costituiscono il 92% del tessuto economico nazionale, mostrano carenze sistemiche. Una recente indagine della Camera di Commercio di Modena su oltre 700 imprese lo conferma: solo metà delle aziende soggette alla Direttiva NIS2 dispone di una procedura formale di gestione degli incidenti.
In molte realtà, gli utenti hanno ancora credenziali amministrative e la formazione sulla sicurezza è sporadica, quasi un esercizio di stile più che una pratica consolidata.
È un problema culturale, prima ancora che tecnologico. La sicurezza viene percepita come un costo, non come un investimento strategico. E questa mentalità continua a esporci a rischi enormi.
Tra le novità più interessanti (e allo stesso tempo più preoccupanti) del Rapporto Clusit 2025 c’è il capitolo dedicato all’intelligenza artificiale agentica, ovvero sistemi autonomi in grado di prendere decisioni e agire senza supervisione umana.
Questi strumenti rappresentano una svolta per la cybersecurity, ma anche una potenziale minaccia.
Da un lato, l’IA può potenziare enormemente le difese, migliorando il rilevamento di minacce, la risposta automatica e la capacità di correlare eventi in tempo reale.
Dall’altro, se usata dagli attaccanti, può generare malware adattivo, capace di eludere i controlli e di sfruttare le vulnerabilità in modo intelligente. L’OWASP ha già catalogato oltre quindici nuovi vettori di rischio legati agli agenti autonomi, dal memory poisoning alla manipolazione degli strumenti (tool misuse).
La sfida, per l’Italia, sarà governare questa transizione senza subirla. Siamo ancora concentrati a risolvere problemi “di base”, ma il fronte tecnologico si sta spostando rapidamente su un piano nuovo, dove l’automazione e la decisione autonoma diventeranno fattori determinanti anche nella difesa.
In questo contesto, l’attuazione della Direttiva NIS2 (Decreto Legislativo 138/2024) rappresenta una delle poche note di speranza.
Per la prima volta, la normativa impone un cambio di passo concreto: non si parla più solo di sicurezza IT, ma di resilienza operativa.
Le organizzazioni, specialmente nei settori essenziali e importanti, dovranno garantire continuità di servizio e integrare la sicurezza nei processi produttivi e decisionali.
La vera sfida, però, sarà culturale. La NIS2 non potrà essere efficace se verrà interpretata come un semplice obbligo burocratico.
Senza una governance consapevole, una formazione diffusa e un management realmente coinvolto, anche le migliori leggi resteranno lettera morta.
Questi dati riflettono come uno specchio la fragilità cyber del nostro sistema Paese.
L’Italia subisce troppi attacchi e li gestisce male. Non per mancanza di capacità, ma per mancanza di visione. Continuiamo a rincorrere le emergenze invece di costruire una strategia di lungo periodo.
La vera resilienza non si acquisisce con la tecnologia, ma si costruisce giorno dopo giorno, con competenze, processi e cultura.
E come ricorda il Rapporto, la sicurezza cibernetica non è un prodotto che si acquista, ma un processo continuo di adattamento.
Nel mondo digitale, per restare fermi, bisogna correre sempre più velocemente.