Rapporto Clusit 2026: sintesi dei principali dati sulla cybersecurity in Italia

Il Rapporto Clusit 2026 offre una fotografia dettagliata dello scenario cyber del 2025, confermando un incremento significativo degli attacchi informatici su scala globale e nazionale. Il numero complessivo di incidenti gravi nel mondo registra una crescita del 48,7% rispetto al 2024, l più elevato mai registrato da Clusit.

A contribuire a questa accelerazione è anche la crescente disponibilità di strumenti basati su intelligenza artificiale, che ampliano le capacità operative degli attaccanti, rendendo più semplice automatizzare fasi critiche degli attacchi, generare phishing più credibili e scalare operazioni offensive a ritmi prima impossibili.

All’interno di questo contesto, l’Italia si conferma uno dei Paesi più colpiti, con un andamento che richiede attenzione specifica da parte di imprese, istituzioni e operatori delle infrastrutture critiche, anche attraverso soluzioni evolute di cyber security.

L’Italia all’interno dello scenario globale secondo il Rapporto Clusit 2026

Nel quinquennio 2021–2025 sono stati registrati 1.432 attacchi gravi contro realtà italiane. Di questi, 507 sono avvenuti nel solo 2025, pari al 35% del totale degli ultimi 5 anni. Dopo due anni relativamente stabili, il 2025 segna infatti un nuovo aumento significativo, con un +42% rispetto al 2024.

L’Italia rappresenta circa il 9,6% degli attacchi gravi globali del 2025. Il dato varia negli anni (il picco del peso dell’Italia era stato nel 2023 con l’11,2%), ma conferma il Paese come target particolarmente esposto, sia per la presenza di infrastrutture critiche di rilievo, sia per la natura del tessuto produttivo nazionale, caratterizzato da un’elevata densità di PMI e da una forte spinta alla digitalizzazione non sempre accompagnata da un adeguato livello di protezione, che può invece essere rafforzato con servizi di sicurezza informatica gestita.

Tipologia degli attaccanti

Nel 2025 gli attacchi rivolti all’Italia provengono principalmente da:

• Cybercrime, responsabile di circa il 61% degli incidenti;
• Hacktivism, che raggiunge quasi il 39% degli attacchi e registra una crescita estremamente significativa rispetto all’anno precedente.

L’hacktivism è uno degli elementi più caratteristici del contesto italiano del 2025, con campagne dimostrative e geopolitiche che spesso colpiscono enti pubblici e infrastrutture critiche. Questa tendenza contribuisce anche al forte aumento degli attacchi DDoS registrati nell’anno.

Rapporto Clusit: i settori più colpiti in Italia (Top 10)

L’analisi per settore mostra una forte concentrazione degli incidenti su specifiche categorie, con i primi quattro comparti che rappresentano oltre il 65% del totale degli attacchi registrati in Italia nel 2025.

Ecco la Top 10 dei settori più colpiti:

1. Gov / Mil / LE – 28,4%
2. Manufacturing – 12,6%
3. Multiple Targets – 12,4%
4. Transportation / Storage – 12,0%
5. Wholesale / Retail – 5,1%
6. Professional / Scientific / Technical – 4,3%
7. ICT – 4,1%
8. Hospitability – 3,9%
9. Telco – 2,6%
10. Financial / Insurance – 2,4%

Il dato relativo al Manufacturing è particolarmente significativo: circa il 16% degli attacchi globali verso il manifatturiero ha come vittima un’organizzazione italiana. Questo evidenzia una vulnerabilità strutturale nelle imprese industriali italiane, dove la crescente interconnessione tra sistemi IT e OT, l’adozione di macchinari connessi e l’ampio ricorso a dispositivi IoT introducono nuove superfici di esposizione.

In questo scenario, la Industrial Security e la protezione delle infrastrutture OT diventano un ambito di crescente rilevanza, affrontato da soluzioni come quelle di IoT & OT Security.

Tecniche di attacco: cosa colpisce l’Italia

Nel 2025, le tecniche di attacco più diffuse in Italia sono le seguenti:

• DDoS – 38,5%
• Malware – 22,7%
• Undisclosed – 21,9%
• Phishing / Social Engineering – 12,4%
• Vulnerabilities – 2,8%
• Multiple Techniques – 1,8%

La forte prevalenza di attacchi DDoS è strettamente collegata alle campagne di hacktivism ed è amplificata dall’uso massiccio di botnet composte da dispositivi IoT compromessi. È uno dei segnali più chiari di come l’espansione dell’ecosistema IoT stia aumentando la superficie d’attacco: molti dispositivi connessi non sono progettati con criteri di sicurezza adeguati, e la mancanza di security by design nella loro catena di produzione e distribuzione favorisce la compromissione su larga scala.

Gli attacchi basati su vulnerabilità mostrano un calo del 79% rispetto al 2024, dato riferito alla numerosità degli incidenti (non alla minore pericolosità). Il Rapporto evidenzia che questa riduzione è in parte dovuta al venir meno, nel 2025, di alcune campagne di attacco massivo al settore Media che nel 2024 avevano influito in modo significativo sulla statistica italiana.

Il Phishing / Social Engineering cresce sensibilmente e riflette l’aumento dell’utilizzo di IA generativa da parte degli attaccanti, che produce messaggi più efficaci, personalizzati e difficili da rilevare.

Severity degli attacchi in Italia

Il Rapporto introduce per il 2025 una nuova categoria di severità, “Extreme”, per classificare gli incidenti con impatti particolarmente profondi e sistemici.

La distribuzione degli incidenti in Italia è la seguente:

• Extreme: 0,6%
• Critical: 7,7%
• High: 39,3%
• Medium/Low: 52,5%

Le categorie si possono sintetizzare così:

• Extreme: eventi eccezionali, con effetti sistemici molto gravi;
• Critical: compromissione profonda di processi, asset e infrastrutture;
• High: impatti significativi su continuità operativa, dati, servizi essenziali;
• Medium/Low: impatti circoscritti, ma non trascurabili.

Il fatto che oltre la metà degli incidenti rientri nella categoria Medium/Low non indica una minore pericolosità del contesto italiano, ma una maggiore frequenza di attacchi “non sofisticati” che riescono comunque a produrre conseguenze rilevanti.

Cyber e mondo fisico: l’interdipendenza cresce

Uno degli aspetti più importanti che emergono dal Rapporto è l’intreccio sempre più stretto tra attacchi digitali e impatto sul mondo fisico. Questo riguarda in particolare:

• Infrastrutture critiche (trasporti, energia, sanità, logistica),
• impianti industriali e
• sistemi OT e IoT altamente connessi.

La compromissione di un sistema IT o di un dispositivo IoT può avere conseguenze dirette sulla continuità di un servizio fisico. Questo rende centrale l’adozione di un approccio di security by design, sia nella progettazione di nuove infrastrutture digitali sia nell’evoluzione degli impianti industriali esistenti.

Trend 2026 secondo il Rapporto Clusit

Il Rapporto evidenzia alcuni trend chiave che caratterizzeranno il 2026:

• • Normative come driver: AI Act, NIS2, DORA, Cyber Resilience Act e Direttiva CER porteranno a una crescente maturità e strutturazione dei processi di governance;
  • Baseline di sicurezza diffusa: maggiore attenzione alle misure di cyber hygiene fondamentali (patching, MFA, segmentazione, backup);
  • Supply chain ICT e OT: la sicurezza dei fornitori e dei servizi esterni diventa un elemento strategico;
  • Formazione e cultura della sicurezza: la diffusione del phishing rende essenziale intervenire sui comportamenti degli utenti;
  • Automazione e AI nella difesa: i modelli di risposta dovranno evolvere per contrastare attacchi sempre più veloci e automatizzati. Va in questa direzione la tendenza a dotarsi sempre più di servizi di cyber security gestiti da Managed Security Service Provider.

Questo articolo ha raccolto in modo strutturato i principali elementi del Rapporto Clusit 2026 riferiti all’Italia, con un’attenzione particolare al mondo industriale, all’ecosistema IoT e all’interdipendenza crescente tra dominio digitale e infrastrutture fisiche. Una sintesi pensata per offrire alle organizzazioni una visione chiara delle dinamiche in atto e delle priorità emergenti nella gestione del rischio cyber.