Nel 2025 il panorama della sicurezza informatica in Italia ha registrato una trasformazione profonda e multidimensionale, che non riguarda soltanto la crescita in frequenza degli attacchi, ma anche la loro qualità, la sofisticazione degli strumenti impiegati e la varietà dei soggetti presi di mira. A fotografare questo scenario convergono tre fonti di rilievo: il Rapporto Clusit 2026, l’Osservatorio Cyber di CRIF 2026 e il terzo Rapporto Cyber Index PMI promosso da Confindustria e Generali.
Letti insieme, i tre studi restituiscono un quadro coerente: gli incidenti crescono, i dati rubati migliorano qualitativamente oltre che quantitativamente, e la capacità difensiva del sistema Paese, pur migliorando, fatica a tenere il passo.
A livello globale, il Rapporto Clusit 2026 registra tra il 2024 e il 2025 un incremento del 48,7% nella frequenza degli incidenti, il più elevato mai rilevato dall’associazione. La gravità media degli eventi è a sua volta cresciuta, con un aumento dei danni inflitti alle singole vittime stimato intorno al 9% rispetto all’anno precedente. In questo scenario globale in forte accelerazione, l’Italia presenta dinamiche proprie, per certi versi più articolate e non riconducibili a una semplice lettura quantitativa.
Indice degli argomenti
Cybersecurity in Italia: attaccanti e bersagli
Sul fronte degli attaccanti attivi nel Paese, secondo Clusit il cybercrime rappresenta il 60,9% degli incidenti registrati nel 2025, in calo rispetto al 78% del 2024, sebbene in valore assoluto gli eventi siano aumentati: si passa da 277 a 309 incidenti. Il dato più significativo riguarda però l’hacktivism, che in Italia registra una crescita del 145% rispetto all’anno precedente, passando da 80 a 196 incidenti.
Si tratta di un fenomeno strettamente correlato alle tensioni geopolitiche internazionali in corso, che in Italia trova un’amplificazione particolare: gli eventi di attivismo digitale nel nostro Paese costituiscono, secondo Clusit, il 64% di quelli censiti a livello mondiale nell’ambito del campione analizzato. Clusit segnala che tale anomalia statistica riflette in parte una maggiore attenzione mediatica verso questi eventi, oltre che la reale esposizione delle organizzazioni.
“Sempre in relazione al dato globale, decresce ancora leggermente l’incidenza degli incidenti subiti da organizzazioni italiane rispetto al totale: nel 2025 il dato italiano rappresenta il 9,6% del campione complessivo degli incidenti individuati in tutto il mondo La percentuale rimane comunque preoccupante e non lontana dal picco registrato nel 2023 (11,2%)”, si legge nel report.
Comparti pubblici, industria e logistica sotto pressione
Sul fronte dei settori più colpiti, dopo due anni in posizioni diverse, nel 2025 torna al primo posto il comparto governativo, militare e delle forze dell’ordine, con oltre il 28% degli incidenti e una crescita in valore assoluto del 290% rispetto al 2024 (da 37 a 107 incidenti). A seguire il manifatturiero, con il 12,6% degli incidenti, i target multipli al 12,4% e il trasporto e la logistica al 12%, quest’ultimo con un aumento del 134,6% anno su anno. Sul fronte positivo, è da segnalare il settore finanziario e assicurativo, che nel confronto internazionale si colloca al decimo posto in Italia contro il sesto nella classifica globale: un risultato che Clusit attribuisce all’efficacia dell’applicazione della normativa europea DORA. Anche il settore sanitario registra per la prima volta una riduzione del numero di incidenti rispetto al 2024, un segnale incoraggiante in un comparto storicamente tra i più esposti.
Il balzo dell’hacktivism e i settori più esposti
Un ulteriore strato di analisi è offerto dall’Osservatorio Cyber di CRIF, che non si occupa di incidenti in senso stretto ma del fenomeno complementare e non meno rilevante: la circolazione di dati personali e credenziali compromesse sul dark web e sull’open web. Nel 2025 le segnalazioni di esposizione di dati sul dark web sono aumentate del 5,8%, superando i 2.200.000 alert, con una crescita della gravità media del 22%.
Quest’ultimo dato è particolarmente significativo: non si tratta solo di un aumento quantitativo, ma di un affinamento qualitativo dei dataset in circolazione, che sempre più frequentemente associano indirizzi e-mail a password, username e riferimenti precisi agli account compromessi. La combinazione numero di carta di credito più nome e cognome è presente nel 94,2% dei casi, e-mail più password nel 91,5%, username più password nell’85,2%. Non si vendono più singoli frammenti di dati: circolano identità digitali complete, pronte per essere sfruttate in attacchi mirati.
Credenziali compromesse e identità digitali complete
L’Italia occupa il sesto posto nella classifica globale per indirizzi e-mail compromessi sul dark web, con il 51,8% degli utenti che nel 2025 ha ricevuto almeno un alert di esposizione. Si tratta di un dato che riflette sia la vivacità digitale del Paese sia la necessità di rafforzare ulteriormente le pratiche di gestione delle credenziali da parte di cittadini e organizzazioni.
L’86% degli alert riguarda esposizioni rilevate sul dark web, il restante 14% sul web pubblico. Tra i dati più diffusi in quest’ultimo ambiente si trovano l’indirizzo e-mail (48,6%) e il codice fiscale (42,2%), un identificativo particolarmente sensibile perché facilita furti d’identità e frodi con impatto economico diretto. Sul dark web, invece, le credenziali e-mail guidano la classifica, seguite dal numero di telefono e dal codice fiscale stesso.
Cybersecurity in Italia tra dati esposti e dark web
Un ulteriore elemento di attenzione riguarda la crescita degli account business compromessi, aumentati del 12,7% e ormai prossimi al 10% del totale. Questo dato, letto insieme a quelli di Clusit, suggerisce che le imprese italiane stanno diventando un obiettivo sempre più specifico e remunerativo per i cybercriminali. Credenziali professionali sottratte e social engineering potenziato dall’AI aprono scenari preoccupanti: ogni account compromesso può diventare un punto d’ingresso nei sistemi dell’intera organizzazione.
L’AI come moltiplicatore delle frodi
Proprio l’intelligenza artificiale emerge come il moltiplicatore trasversale di queste minacce. L’AI consente di generare campagne di phishing impeccabili, deepfake audio-video convincenti e strategie di omni-phishing che combinano più canali per aumentare la credibilità delle frodi. L’approccio non è più monocanale: si agisce su e-mail, SMS e messaggistica in modo coordinato, sfruttando le informazioni già disponibili sui target per rendere ogni tentativo difficilmente distinguibile da comunicazioni autentiche.
Sicurezza informatica in Italia e maturità delle PMI
In questo contesto, il Cyber Index PMI realizzato da Confindustria e Generali con il contributo scientifico del Politecnico di Milano misura lo stato di maturità delle piccole e medie imprese italiane. Il punteggio medio per il 2025 si attesta a 55 su 100, in crescita di 3 punti rispetto al 2024 e di 4 rispetto al 2023, ma ancora al di sotto della soglia di sufficienza fissata a 60. La dimensione dell’approccio strategico ha raggiunto la piena sufficienza con 62 punti, a testimonianza di una crescente consapevolezza del tema a livello direzionale. Più indietro restano l’identificazione dei rischi (47 su 100) e l’attuazione delle misure concrete (57 su 100): la governance cresce, ma la capacità operativa di risposta fatica a seguire. Negli ultimi tre anni, quasi una PMI su quattro ha subito una violazione informatica.
Governance in crescita, attuazione ancora debole
Il quadro complessivo non è quello di un sistema fermo, ma di uno in evoluzione: le imprese e le istituzioni italiane stanno investendo in sicurezza, la normativa europea, dalla Direttiva NIS2 al Regolamento DORA, sta producendo effetti tangibili in molti settori, e la consapevolezza dei rischi cresce. La sfida è fare in modo che questa maturazione avvenga a una velocità sufficiente a stare al passo con minacce che si evolvono più rapidamente. La risposta richiede un approccio sistemico, che combini tecnologia, formazione, governance e collaborazione strutturata tra pubblico e privato: gli strumenti normativi ci sono, la direzione di marcia è tracciata, e il percorso di rafforzamento, per quanto impegnativo, è già avviato con concretezza.
