Quando ci troviamo ad analizzare i dati relativi alla cybersecurity in Italia e nel mondo, e ci viene chiesto di delineare lo scenario, potremmo in poche parole dire, da anni, sempre la stessa cosa: il fenomeno aumenta di dimensione, la capacità criminale migliora, le normative rallentano ma non fanno arretrare il processo di sviluppo della criminalità tecnologica e l’Italia è al centro del fenomeno.
Andando però al di là del freddo riassunto, dai dati possiamo provare a trarre qualche altra analisi di interesse.
Indice degli argomenti
Il peso dell’Italia negli attacchi gravi
Pur non avendo ancora, come Clusit, i dati finali del fenomeno cyber per l’anno 2025, possiamo dire che il primo semestre dell’anno appena concluso si è evoluto in sostanziale linea con l’anno 2024.
I dati che abbiamo presentato a novembre dicono infatti che nei primi sei mesi dell’anno scorso l’Italia è stata oggetto di circa il 10% degli attacchi gravi andati a buon fine e di pubblico dominio di cui all’analisi che ogni anno il Clusit elabora.
Cybercrime e attivismo: l’anomalia italiana rispetto allo scenario globale
L’Italia vede sostanzialmente solo due categorie di casi gravi riusciti, in termini di motivazione degli attacchi studiati dall’Associazione: il cybercrime puro, cioè i casi di attacchi mirati a fare soldi, che pesa poco meno del 50% dei casi, e l’attivismo, che rappresenta tutti i rimanenti casi (il 54%).
I dati relativi all’Italia rappresentano tuttavia una anomalia statistica se si considera che invece, a livello mondiale, i casi di attacchi per motivi di cybercrime puro (sostanzialmente: ottenere denaro) rappresentano l’87% dei casi.
Solo l’8%, e qui sta la vera deviazione parlando dell’Italia, sono i casi motivati da ragioni di attivismo.
Attivismo e DDoS: perché l’Italia è così esposta nel contesto geopolitico
Il motivo per il quale l’Italia sia così tanto sottoposta a casistiche di attivismo, in larghissima parte riconducibili al conflitto avviato dalla Russia contro l’Ucraina, si può probabilmente ricondurre a una maggiore debolezza intrinseca delle infrastrutture attaccate.
Pur non essendo strategiche per l’erogazione dei servizi essenziali alla popolazione, si tratta nella stragrande maggioranza dei casi di attacchi DDoS con obiettivi dimostrativi e senza la reale volontà di creare danni ingenti alla nazione e alla popolazione.
Queste infrastrutture hanno forse visto nel passato un minor investimento in sicurezza rispetto alle pari risorse di altri Paesi NATO confrontabili.
Cybercrime “puro”: numeri e proporzioni sull’Italia
Tornando ai casi di cybercrime puro, che verso l’Italia sono stati 130, la percentuale rispetto ai casi di cybercrime al mondo analizzati dal Clusit è del 5,5%.
È un dato comunque importante e preoccupante, ma meno drammatico del 10% complessivo.
Spionaggio e sabotaggio: assenza di casi noti e interpretazioni possibili
Interessante anche notare che ormai da tempo l’Italia non è più oggetto di casi di spionaggio e sabotaggio (perlomeno conosciuti…).
Se da un lato questo potrebbe essere visto come un dato positivo, dall’altro si potrebbe interpretare come assenza di un tessuto imprenditoriale che investe in innovazione e quindi in IP e soprattutto in brevetti.
Spesa in cybersecurity e rapporto PIL/incidente: cosa suggerisce l’incrocio dei dati
In questo contesto vi proponiamo l’analisi di cui alla Figura 1 che a nostro avviso è di grande interesse.
Si noti, da un lato, che il PIL italiano è circa un dodicesimo del PIL USA e circa un ottavo di quello europeo, mentre dall’altro abbiamo dal Politecnico di Milano il dato per cui la spesa in cybersecurity in Italia è di circa lo 0,12% del PIL.
Sia a livello europeo che USA la spesa è di circa lo 0,3% del PIL. Si tratta quindi di una spesa pari a circa 2,5 volte (fino al 2023 compreso il dato italiano era dello 0,1% del PIL).
Ebbene, incrociando i dati del Clusit con i dati del Politecnico di Milano si ottiene che il rapporto PIL/Incidente italiano è di 1 a 6,4 miliardi di dollari americani di PIL, mentre a livello europeo questo dato quasi triplica e quadruplica in relazione agli Stati Uniti.
Ovviamente non possiamo da questi dati dedurre in modo certo un rapporto sistematico fra spesa in cyber e attacchi gravi andati a buon fine di pubblico dominio, cioè quelli analizzati dal Clusit, ma sicuramente un elemento di ragionamento va pur fatto.
Anche considerando che ogni anno queste proporzioni ritornano e quindi, in modo composto, l’Italia continua a rimanere gravemente indietro rispetto a Paesi in teoria confrontabili.
NIS2 nel 2025: impatto su aziende e filiere e limiti della compliance “piatta”
Cambiando prospettiva, il 2025 è stato sicuramente l’anno della NIS2.
Un momento normativo di grandissima rilevanza soprattutto per il numero elevatissimo di aziende coinvolte in via diretta (solo in Italia, decine di migliaia), e con quindi una ricaduta sulla filiera che si misurerà in centinaia di migliaia di aziende a livello italiano e a milioni a livello europeo.
Non c’è dubbio che la leva normativa sarà importantissima, come lo è stata nel passato, ma la domanda da porsi è se non sia venuto il momento di ragionare in chiave normativa in modo diverso.
Oggi, infatti, i costi della compliance collegata alla cyber e alla data protection ricadono sostanzialmente su tutte le imprese in modo piatto.
Supply chain e verifiche: perché servono analisi centralizzate
Prendiamo per esempio gli obblighi relativi alla supply chain e quindi alle attività di analisi della postura cyber e normativa: oggi tutte le imprese devono analizzare tutti i fornitori in perimetro normativo con costi insostenibili.
Considerando l’evoluzione del mercato del cloud computing e, in via generale, delle scelte di esternalizzazione che caratterizzano moltissime imprese e pubbliche amministrazioni.
Se si pensa che a ogni fornitore possono corrispondere diversi subfornitori, appare evidente l’impossibilità assoluta di essere realmente aderenti alle norme per la stragrandissima maggioranza degli operatori economici e delle pubbliche amministrazioni.
È sicuramente giusto porre l’attenzione sui fornitori a livello normativo, ma occorrerebbe procedere con analisi centralizzate da parte di Autorità specifiche o enti di certificazione o associazioni di categoria a cui tutti gli operatori possano accedere a sostanziale parità di condizioni.
Questo vale sicuramente per i grandi fornitori sistemici (se un certo fornitore è valutato positivamente da grandi imprese e il servizio che offre è il medesimo a migliaia di operatori economici, che senso ha che tutti lo valutino per dire tutti la stessa cosa, e cioè che va bene?).
Ma è evidente che potrebbe valere anche per fornitori più piccoli una volta analizzati e valutati positivamente da un soggetto che abbia le competenze adeguate per porre in essere la valutazione stessa.
Insomma, la leva normativa è fondamentale, ma per poter risultare efficace bisogna che vengano razionalizzati gli adempimenti al fine di permettere l’indirizzamento degli investimenti in azioni di reale valore.
Cloud, lock-in e prezzi: come cambia il rischio ICT nel 2025-2026
In questo contesto, appare ancora più delicata l’evoluzione del mercato ICT.
Come risulta dai dati del mercato, il settore del cloud computing cresce double digit ormai da anni e ci si aspetta, in pochissimi anni, che la spesa in cloud applicativo superi la spesa in software on-premise.
Questo dato deriva da due fenomeni: le imprese e le pubbliche amministrazioni tendono a esternalizzare; i fornitori tendono ad abbandonare l’on-premise per il cloud in quanto ottengono maggiori ricavi e maggiore potere contrattuale a causa del lock-in e degli switching cost collegati.
Nel 2025 abbiamo assistito, in questi termini, a due casi emblematici: la politica commerciale di Broadcom che ha sostanzialmente triplicato i prezzi cambiando (e quindi imponendo) un nuovo modello di offerta da cui è difficilissimo quasi per chiunque sottrarsi.
E l’avvio da parte della Commissione Europea di una investigazione contro SAP per abuso di posizione di dominanza con riferimento al mercato della manutenzione del software on-premise.
Vendor e sovranità: perché la strategia ICT rischia di essere “decisa dai fornitori”
Se da una parte Broadcom sta avendo il ruolo di apri-pista nella imposizione di aumenti esorbitanti di prezzi, e ci si attende che prima o poi arrivino le prime sentenze anche in Italia e magari una presa di posizione a livello italiano o europeo delle autorità antitrust, per quanto riguarda SAP il discorso è diverso.
Questa azienda sta di fatto spingendo il mercato verso il modello cloud con possibile, in futuro, abbandono o quasi abbandono dell’on-premise e questa strada è stata imboccata, e verrà imboccata, da molti altri fornitori.
Questo vuol dire che le imprese e le pubbliche amministrazioni non avranno più la possibilità di scegliere: la strategia ICT la faranno i fornitori e i clienti saranno costretti ad accettare.
Con due conseguenze estremamente rilevanti: la prima è che i clienti, salvo interventi delle Autorità preposte, saranno in balia degli aumenti dei vendor.
La seconda è che tutti saranno in balia dell’offerta infrastrutturale dei giga player mondiali e quindi, in questo momento, di Microsoft e AWS.
In altre parole, la dipendenza tecnologica aumenterà enormemente nei prossimi anni con buona pace per la auspicata sovranità digitale.
Geopolitica e cybersecurity: il “cuore” dei sistemi informativi fuori dai confini
Il cuore pulsante delle nostre imprese è e sempre di più sarà su tecnologie controllate da Paesi stranieri e tipicamente dagli Stati Uniti.
Noi useremo, ma non avremo, sistemi informativi a partire dagli ERP.
Si tratta di un tema fortemente di cybersecurity che apre a criticità geopolitiche e a dipendenze di estrema rilevanza.
Se da un lato quindi occorre analizzare il fenomeno e cercare di intervenire su tutti i piani per frenarlo e per cercare di invertire la tendenza, dall’altro la leva normativa non potrà solo essere orientata a caricare di adempimenti e obblighi le imprese e le pubbliche amministrazioni.
Occorre invece anche impostare una politica di contenimento della potenza delle giga imprese anche per evitare il drenaggio di risorse che ben potrebbero essere investite in sicurezza reale.
Senza invece andare a gonfiare sempre di più gli utili, e quindi il valore, di poche grandissime imprese.
