Ogni anno il Rapporto Clusit offre uno spaccato dello stato della sicurezza, ma quello del 2026 ha un tono diverso dal solito. Il 2025 non è stato soltanto un anno complicato. È stato l’anno in cui molti professionisti hanno capito che la curva delle minacce non sta più crescendo: sta esplodendo.
Non è un’esagerazione retorica. È l’effetto di una pressione continua che ha costretto aziende e istituzioni a rivedere priorità, processi e perfino il linguaggio con cui parliamo di cybersecurity.
Il numero di incidenti gravi registrati nel 2025 è impressionante: 5.265 a livello mondiale. Ma non è solo la quantità a far riflettere, quanto il ritmo con cui questi eventi si verificano. Nel 2021 si parlava di una media mensile di 171 incidenti; oggi siamo arrivati a 439, più del doppio in cinque anni.
Un incremento così marcato non può essere spiegato semplicemente con l’aumento della digitalizzazione, soprattutto considerando che la crescita rispetto al 2024 è stata del 49% a livello globale.
È cambiata la qualità delle minacce. Al punto che il Clusit ha dovuto introdurre una nuova categoria di gravità chiamata Extreme, riservata agli incidenti capaci di generare effetti non solo gravi, ma sistemici. Nel 2025 quasi tre quarti degli incidenti nel mondo rientra già nelle fasce High o Critical. È un dato che racconta un ecosistema sotto pressione.
Il motore principale di questa escalation rimane il cybercrime, ormai responsabile di quasi il 90% degli incidenti. Non punta più a colpire settori specifici, ma sfrutta vulnerabilità diffuse con campagne a bersaglio multiplo che fanno leva su debolezze comuni a infrastrutture molto diverse tra loro.
L’Italia continua a essere un Paese molto esposto subendo il 9,8% degli incidenti mondiali. Nel 2025 sono stati censiti 507 incidenti gravi, in confronto ai 357 del 2024, con una crescita annua del 42%. La crescita non è molto distante da quella globale, ma quello che colpisce è la natura delle minacce.
Il comparto governativo e militare è diventato il bersaglio principale con una crescita del 290%. Ed è un comportamento diverso dal resto del mondo. A livello internazionale la tecnica dominante è il malware. Da noi, invece, il fenomeno che sta alterando le statistiche è il DDoS, trainato soprattutto dall’ondata di hacktivismo legata a tensioni geopolitiche.
Il dato che fa riflettere è questo: quasi due terzi di tutti gli attacchi hacktivisti rilevati a livello mondiale nel 2025 sono avvenuti in Italia. Non è un primato che fa piacere. Indica che il nostro sistema Paese ha ancora troppe superfici esposte in ambito pubblico, e che i gruppi ideologici sanno di poter ottenere visibilità colpendo infrastrutture non sempre preparate a reggere questo tipo di pressione.
Molti parlano dell’intelligenza artificiale come se fosse un tema futuristico. In realtà, nel 2025 ha già cambiato tutto. Ha potenziato sia gli aggressori sia i difensori, ma con una velocità che molti non si aspettavano.
Sul lato offensivo l’AI ha abbassato le competenze richieste per avviare campagne complesse. Malware generati automaticamente, scansioni massive di vulnerabilità, deepfake sempre più credibili, phishing personalizzati che sembrano scritti da un collega vero. Non è teoria. Nel 2026 è stato documentato il primo framework malware scritto quasi interamente dall’AI, coordinato da un singolo individuo.
Sul lato difensivo si stanno affermando modelli di Agentic AI capaci di gestire in autonomia triage, correlazioni e risposte rapide. È un’evoluzione naturale del SOC che spinge verso modelli sempre più automatizzati. Ma ogni salto tecnologico porta anche nuovi rischi: prompt injection, avvelenamento dei modelli, shadow AI. La tecnologia accelera, la governance fatica a tenere il passo.
Il settore sanitario resta uno dei più fragili. Nel 2025 ha registrato più di mille attacchi globali, molti dei quali con impatti critici o estremi. I motivi sono noti: telemedicina, dispositivi IoT non aggiornabili, dati sanitari di alto valore sul dark web.
Il manifatturiero continua a essere una vittima storica, soprattutto in Italia, dove l’esposizione del comparto produttivo rimane molto alta, come analizzato anche dal nostro Osservatorio Cyberoo 2026. Il ritmo di digitalizzazione delle imprese non è stato accompagnato da un pari livello di sicurezza.
Anche il mondo delle costruzioni, tradizionalmente considerato lontano dai rischi cyber, è diventato un bersaglio interessante. Droni, BIM e sensori hanno aumentato l’efficienza, ma anche la superficie di attacco. Un cantiere fermo per un incidente informatico può significare penali milionarie.
Nel settore finanziario si notano segnali di maturità, spinti anche dagli obblighi regolamentari. Tuttavia, cresce un fenomeno difficile da controllare: la manipolazione del pagatore. Qui non fallisce la tecnologia, ma la fiducia e la capacità di riconoscere un inganno.
Non esiste più un perimetro aziendale tradizionale. Oggi tutto ruota attorno all’identità, che si tratti di un utente o di una macchina. Gli attaccanti preferiscono rubare credenziali e accedere in modo legittimo piuttosto che forzare un sistema. È una strategia semplice ed efficace.
A complicare il quadro c’è un rapporto impressionante: per ogni identità umana ce ne sono ormai oltre ottanta di macchina. Token, secret, chiavi temporanee. Tutto deve essere gestito, ruotato, monitorato.
Da qui la spinta verso architetture Zero Trust e verso strumenti capaci di rilevare anomalie nell’uso delle identità, anche quando la password inserita è formalmente corretta.
La cybersecurity non può più essere considerata un problema tecnico. È un tema di governance. Le normative come NIS2, AI Act e Cyber Resilience Act stanno diventando la base minima su cui costruire processi solidi.
Il punto critico resta la supply chain. È sufficiente un singolo componente vulnerabile o un fornitore compromesso per bloccare intere filiere. La diffusione della SBOM (Software Bill of Materials) e di pratiche di verifica più mature può mitigare il rischio, ma richiede investimenti e competenze che non tutti hanno già messo in campo.
All’orizzonte si avvicina un’altra sfida: la crittografia post quantistica. Gli attaccanti hanno già iniziato ad accumulare dati cifrati per decifrarli in futuro. Le organizzazioni devono prepararsi ora, perché la transizione sarà lunga e complessa.
Il vero messaggio del Rapporto Clusit 2026 è semplice: la velocità delle minacce ha superato quella della reazione umana. Non possiamo più aspettarci di prevenire tutto. Possiamo però costruire organizzazioni capaci di assorbire gli shock, rispondere in modo efficace e ripristinare rapidamente le attività.
La cyber sicurezza del futuro non sarà fatta di muri impenetrabili. Sarà fatta di consapevolezza diffusa, di sistemi intelligenti che lavorano accanto alle persone e di identità gestite come asset critici. È un percorso che riguarda tutti, non solo i tecnici.