Il 17 marzo 2026, al Security Summit di Milano organizzato dal CLUSIT (Associazione Italiana per la Sicurezza Informatica), sono stati presentati i dati del Rapporto CLUSIT 2026 sull’andamento degli attacchi informatici nel 2025. I numeri descrivono quello che i ricercatori del CLUSIT hanno definito il peggior anno nella storia della cybersecurity globale dal 2011, anno in cui è iniziato il monitoraggio sistematico: 5.265 incidenti gravi a livello mondiale, con un incremento del 48,7% rispetto al 2024. La media mensile di attacchi gravi è passata da 171 nel 2021 a 439 nel 2025, un aumento del 256% in cinque anni che illustra bene l’accelerazione strutturale del fenomeno, non una semplice fluttuazione statistica.

L’Italia: numeri che non lasciano spazio a interpretazioni ottimistiche

Per l’Italia i dati sono particolarmente significativi. Nel 2025 sono stati registrati 507 incidenti gravi contro obiettivi italiani, rispetto ai 357 del 2024: un incremento del 42% anno su anno, che porta il paese al 9,6% del totale globale degli incidenti. Questo significa che, su 100 attacchi informatici gravi registrati nel mondo nel 2025, quasi 10 hanno colpito l’Italia. Una proporzione enorme per un paese che rappresenta circa il 2,5% del PIL mondiale e il 13% di quello europeo. Come ha sintetizzato Luca Bechelli del Comitato Direttivo CLUSIT durante la presentazione: l’Italia risulta particolarmente esposta ai fenomeni di cyber-attivismo.

La distribuzione geografica colloca l’Italia al quarto posto mondiale per incidenti subiti e al primo posto in Europa. Davanti all’Italia ci sono gli Stati Uniti (che da soli concentrano il 52% degli attacchi ransomware globali per motivazioni economiche e dimensione del mercato), e due altri paesi con caratteristiche molto diverse dalle nostre. Questa sproporzione — essere così tanto nell’occhio del ciclone globale — ha spiegazioni strutturali che il rapporto analizza: alta densità di infrastrutture industriali manifatturiere con sistemi OT/IT convergenti e spesso obsoleti, pubblica amministrazione frammentata con livelli di sicurezza disomogenei, e una specifica esposizione geopolitica legata al ruolo nel conflitto russo-ucraino che alimenta l’hacktivismo filorusso.

Il fenomeno hacktivism: l’Italia capitale mondiale involontaria

Il dato più sorprendente del Rapporto CLUSIT 2026 riguarda l’hacktivism. Nel 2025, l’Italia ha concentrato il 64% di tutto l’hacktivism mondiale. Sessantaquattro per cento. Su dieci attacchi hacktivisti documentati nel mondo, sei e mezzo hanno colpito obiettivi italiani. L’hacktivism rappresenta il 38,7% di tutti gli attacchi registrati in Italia nel 2025, con un incremento del 145% rispetto al 2024. Queste cifre non hanno precedenti nella storia del monitoraggio CLUSIT e riflettono l’intensità delle campagne di NoName057(16) e dei gruppi affiliati contro infrastrutture e istituzioni italiane, in risposta alla posizione geopolitica dell’Italia nel conflitto russo-ucraino.

La caratteristica specifica dell’hacktivism che lo distingue da altri vettori di minaccia è la sua finalità: non monetizzazione (come il ransomware) né spionaggio (come gli APT statali), ma impatto psicologico e mediatico. Un attacco DDoS che mette offline per 20 minuti il sito del Ministero degli Esteri non causa danni operativi significativi, ma genera titoli di giornale, crea percezione di vulnerabilità istituzionale, e amplifica il messaggio politico del gruppo che lo rivendica. Questa efficacia comunicativa a basso costo operativo spiega perché l’hacktivism sia esploso come vettore: il ritorno sull’investimento (in termini di visibilità) è molto più alto rispetto ai rischi legali che il gruppo si assume.

I vettori d’attacco: cosa è davvero cambiato nel 2025

Sul piano delle tecniche d’attacco, il Rapporto CLUSIT 2026 registra alcune dinamiche rilevanti. Il cybercrime — attacchi motivati da ragioni economiche — ha rappresentato il 90% degli incidenti globali, con una crescita del 55% rispetto al 2024. Le vulnerabilità sfruttate come vettore di ingresso iniziale sono cresciute del 65%, segno che il ritardo nei processi di patch management resta una delle principali vulnerabilità strutturali delle organizzazioni italiane e globali. Il phishing e il social engineering sono cresciuti del 75%, dato che il Rapporto attribuisce esplicitamente all’uso dell’AI generativa per produrre messaggi personalizzati e grammaticalmente corretti su scala industriale.

In Italia, gli attacchi DDoS sono saliti dal 21% al 38,5% del totale degli incidenti, dato coerente con la dominanza dell’hacktivism. Il comparto governativo e militare si conferma il più colpito (oltre il 28% degli incidenti, +290% in valore assoluto rispetto al 2024), seguito dal manifatturiero. La sanità e l’istruzione restano settori ad alta esposizione per via della combinazione di dati sensibili e sistemi tipicamente non aggiornati.

Cosa fare con questi dati

I rapporti come il CLUSIT servono a poco se si limitano a essere letti, commentati sui social da esperti del settore e poi archiviati. Il loro valore reale è come strumento di conversazione con i decisori aziendali. Mostrare a un CdA che l’84% degli incidenti ha impatto critico o alto, che l’Italia è prima in Europa per attacchi subiti, e che il settore manifatturiero — quello in cui probabilmente opera la loro azienda — è il secondo più colpito, è molto più efficace di qualsiasi argomento tecnico sulla necessità di investire in sicurezza informatica.

I numeri del CLUSIT 2026 dicono una cosa semplice: l’Italia è nel mirino, le aziende manifatturiere e le pubbliche amministrazioni sono gli obiettivi preferiti, e la probabilità di essere colpiti nei prossimi 12 mesi non è più un’eventualità remota ma una probabilità concreta da gestire con piani di risposta, non solo con misure preventive. Chi non ha ancora un piano di incident response testato, backup verificati e una procedura di notifica CSIRT pronta, sta operando con un rischio residuo che nel 2026 non è più accettabile.