Secondo il nuovo Rapporto Clusit l’AI rischia di allargare ulteriormente il divario. Pesano le tensioni geopolitiche che alimentano il cyber-attivismo
Cambiano i numeri, meno la sostanza. Bastano un paio di dati del Rapporto 2026 del Clusit per fotografare la situazione. Gli attacchi informatici in Italia crescono del 42% anno su anno, mentre la spesa per la sicurezza informatica – secondo le stime dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano – si ferma a 2,77 miliardi di euro, pari a +12% rispetto all’anno precedente. Non una cifra trascurabile ma che in rapporto al Pil nazionale vale poco più dello 0,1%, mentre Paesi come Francia o Germania superano lo 0,3%. Un’asimmetria che anno dopo anno scava un solco sempre più profondo.
Secondo il Rapporto — che sarà presentato il 17 marzo in apertura del Security Summit di Milano — sono 5.265 gli attacchi informatici andati a buon fine registrati a livello mondiale, in crescita del 49% rispetto al 2024 e del 157% nell’arco degli ultimi cinque anni.
Due fattori emergono con forza rispetto alle passate edizioni del rapporto. Il primo è il ruolo crescente dell’AI come moltiplicatore della minaccia. Il secondo è il peso della situazione geopolitica internazionale. Due estesi conflitti in corso che alimentano una nuova stagione di cyber-attivismo e operazioni di disturbo digitale.
Da anni il malware è il protagonista della scena. Un attacco su quattro passa da lì. Ma rispetto allo scorso anno crescono del 65% quelli basati sullo sfruttamento di vulnerabilità, anche note da tempo. Non si arresta neppure la crescita di phishing e social engineering (+75%) tecniche potenziate dall’impiego di strumenti basati sull’AI.
L’Italia, un bersaglio troppo facile
Nel 2025 gli incidenti gravi registrati nel Paese sono stati 507, con una crescita del 42%. Ma il dato più sorprendente è che in Italia si concentra quasi il 10% degli attacchi censiti nel mondo. Un’enormità, se rapportata al peso economico del Paese. Tra i settori più colpiti la PA e il comparto militare con il 28,4% degli incidenti, in crescita del 290% rispetto al 2024. Seguono il manifatturiero con il 12,6% che calamita il 16% degli attacchi su scala globali al settore, i trasporti e la logistica con il 12% degli episodi censiti. Quest’ultima con un aumento del 134,6% anno su anno. In regressione invece – ed è una delle poche note positive – il dato relativo agli attacchi nel settore sanitario, che oggi in Italia rappresenta l’1,8% del totale.
Una delle peculiarità italiane è l’esplosione dell’hacktivism cioè degli attacchi motivati da ragioni politiche, che rappresentano quasi il 39% degli incidenti totali, con un balzo del 145% rispetto al 2024, e concentrano addirittura il 64% degli attacchi con questa matrice rilevati a livello globale. Fenomeno questo strettamente collegato alla tensione internazionale degli ultimi anni.
A differenza di quanto avviene in molti altri Paesi, il DDoS, cioè il sovraccarico dei server tramite un’enorme quantità di richieste simultanee, è la tecnica d’attacco più diffusa. Nel 2025 ha rappresentato il 38,5% degli incidenti, in forte crescita rispetto al 21% del 2024, confermandosi lo strumento più utilizzato nelle campagne di hacktivism. Seguono il malware, che pur restando rilevante con il 22,7% dei casi, registra una flessione del 14%. Crescono invece sensibilmente (+ 66%) phishing e social engineering, arrivando al 12,4% del totale, un segnale evidente di come la manipolazione dell’utente finale continui a rappresentare una porta d’ingresso efficace e difficile da chiudere, resa ancora più insidiosa dall’impiego dell’Ai capace di generare email, messaggi e perfino voci sintetiche sempre più credibili.
Sul piano della gravità degli incidenti, il quadro italiano presenta alcune differenze rispetto a quello globale. Oltre la metà degli attacchi (52,5%) rientra nella fascia di severità classificata da Clusit come medio-bassa, un dato legato soprattutto all’elevata incidenza delle campagne DDoS, spesso orientate più alla visibilità e al danno reputazionale che alla compromissione dei sistemi. Gli episodi classificati come critici o estremi si fermano all’8,3%, un dato inferiore alla media mondiale. Un dato che a voler essere ottimisti potrebbe indicare una maturazione delle capacità di risposta agli incidenti da parte di molte organizzazioni italiane, anche grazie alla crescente pressione normativa europea.
Completano il quadro i dati raccolti dalla rete Fastweb Vodafone monitorando oltre 7 milioni di indirizzi IP pubblici dai quali emerge che nel 2025 in Italia sono stati rilevati più di 87 milioni di eventi di sicurezza, con una crescita del 26% rispetto all’anno precedente. 6000 circa gli attacchi DDoS rilevati, in aumento del 26%, indirizzati soprattutto contro la pubblica amministrazione, bersaglio del 36% degli attacchi registrati.
