L’Italia nel mirino della “tempesta perfetta” del cyber crimine globale
L’Italia si scopre protagonista, suo malgrado, di una nuova e aggressiva stagione del cyber-crimine globale. Le anticipazioni del Rapporto Clusit 2026 delineano un quadro di estrema vulnerabilità: nel corso del 2025, il nostro Paese ha attirato il 9,6% degli incidenti mondiali, registrando un’impennata del 42% rispetto all’anno precedente.
Non si tratta solo di una crescita quantitativa, ma di un mutamento genetico delle minacce, dove il settore Governativo-Militare è diventato il bersaglio prediletto, con un incremento shock del 290%.
Mentre il settore si prepara alla presentazione ufficiale del 17 marzo presso il Security Summit di Milano, i dati già disponibili tracciano una linea di demarcazione netta rispetto al passato.
L’analisi, arricchita dalle rilevazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) e dai dati del SOC di Fastweb + Vodafone, rivela una superficie di attacco in costante espansione: oltre 87 milioni di eventi di sicurezza registrati e un numero di IP unici infetti più che raddoppiato.
In questo scenario, l’Intelligenza Artificiale emerge come l’elemento trasformativo, agendo da moltiplicatore di rischio. Se da un lato l’AI potenzia le difese, dall’altro offre agli attaccanti strumenti per automatizzare il phishing, scalare le scansioni di vulnerabilità e affinare il social engineering.
Questo articolo analizza i pilastri di questa edizione: dall’ascesa dell’Agentic AI alla centralità della Security by Design, fino alle nuove sfide poste dall’attivismo geopolitico, che segna un +145%.
Un viaggio attraverso i dati che conferma come la sicurezza informatica sia ormai il principale fattore di stabilità per il Sistema-Paese, richiedendo una visione che superi le barriere tecnologiche per abbracciare una resilienza culturale e umana.
Il Rapporto Clusit 2026: fotografia dell’evoluzione cibernetica
Il Rapporto Clusit 2026 si conferma come la bussola imprescindibile per comprendere le dinamiche della sicurezza informatica nel nostro Paese e nel panorama globale.
L’edizione di quest’anno apre con un’analisi dettagliata degli incidenti più significativi avvenuti nel 2025, mettendo a confronto i dati storici con le nuove minacce emerse. Grazie alla collaborazione con il SOC di Fastweb + Vodafone, le rilevazioni della Polizia Postale e per la Sicurezza Cibernetica e il contributo di Akamai su DDoS e violazioni API, il rapporto offre una visione a 360° sull’intensità e la sofisticazione delle offensive digitali.
Mentre il settore della sicurezza informatica si prepara alla presentazione ufficiale del Rapporto Clusit 2026 — prevista per il 17 marzo in apertura del Security Summit di Milano — iniziano a circolare le prime, significative anticipazioni sui contenuti di questa edizione che offre già una prima panoramica degli incidenti avvenuti nel 2025 e mettendoli a confronto con lo storico globale e nazionale.
Elenchiamo e riassumiamo i temi che verranno trattati il 17 marzo:
AI e finanza: i nuovi pilastri del rischio
Un’attenzione particolare è riservata al settore Finance, analizzato da IBM e Giancarlo Butti. La riflessione si sposta dall’impatto operativo alla gestione patrimoniale: il rischio cyber non compromette solo la continuità aziendale, ma influenza direttamente le riserve di capitale delle banche, essendo strettamente legato alla sicurezza della supply chain e dei clienti.
Il vero protagonista del 2026 è però l’Intelligenza Artificiale. Il Rapporto dedicherà un intero capitolo all’ascesa dei sistemi autonomi e all’Agentic AI. Attraverso i contributi di leader del settore come CrowdStrike, Palo Alto Networks e Acronis, verranno esplorate le nuove frontiere della AI Detection & Response e i dilemmi sulla fiducia e la resilienza necessari per implementare agenti intelligenti. Non mancheranno approfondimenti tecnici, come l’analisi dei rischi nello sviluppo software e le nuove linee guida dell’OWASP AI Testing Guide per garantire sistemi affidabili.
Trasporti e infrastrutture critiche
Il Rapporto amplierà l’orizzonte verso il settore dei Trasporti, analizzando la cyber resilience nel comparto ferroviario e le nuove frontiere della sicurezza nell’aviazione civile. Questo approccio verticale prosegue nella sezione Focus On, dove vengono esaminati ambiti cruciali per l’economia nazionale:
-
Sanità Digitale: Un settore fragile tra attacchi crescenti e nuovi rischi legati all’IA.
-
Industria e Infrastrutture: Dalla maturità dell’ecosistema IACS alla Security by Design nei Digital Twin idroelettrici.
-
Supply Chain e Costruzioni: La sicurezza della catena di fornitura ICT e il settore edile, dove la cybersecurity diventa un nuovo vantaggio competitivo.
Tendenze 2026: identità e neuro-diversità
Infine, una survey globale condotta da Netwrix su oltre 2.100 professionisti delinea come le organizzazioni stiano evolvendo i propri modelli di difesa. In questo scenario, la sicurezza guidata dall’identità (Cisco) e progetti innovativi come Cyber Rebel — che valorizza la neurodivergenza nel settore — dimostrano che la sfida cibernetica non è più solo tecnologica, ma culturale e umana.
A registrare l’aumento maggiore tra le cause degli incidenti è l’attivismo che segna +145% rispetto al 2024 “con eventi di matrice geopolitica correlati ai conflitti in essere”. “Oltre alla naturale evoluzione delle minacce, l’IA ha certamente agito da moltiplicatore di rischio”, evidenzia l’analisi.
“L’IA ridefinisce la cybersicurezza: i sistemi agentici autonomi potenziano la difesa ma introducono nuove sfide come vulnerabilità manipolabili tramite dati di addestramento alterati o difetti di progettazione, rendendo l’Intelligenza artificiale stessa un’arma potente in mano agli attaccanti dalla creazione di software malevolo a tecniche raffinate di esplorazione delle vulnerabilità. Serve diffondere consapevolezza e adottare strategie oltre le barriere classiche: prevenzione avanzata, monitoraggio costante e progettazione resiliente”, ha commentato Anna Vaccarelli, presidente di Clusit, l’Associazione Italiana per la Sicurezza Informatica che rappresenta oltre 700 organizzazioni appartenenti a tutti i settori del Sistema-Paese e collabora con Ministeri, Authority, Istituzioni e organismi di controllo.
Il panorama in tema di cyber-sicurezza in Italia da ACN
In Italia, in particolare, gli attacchi informatici sono estremamente diffusi. Il nostro Paese, infatti, è stato colpito nel 9,6% dei casi. La crescita percentuale rispetto al 2024 è pari al 42% (quindi più bassa rispetto alla media globale) per un totale di 507 incidenti registrati (nel 2024 erano 357). Ricordiamo che un aumento degli attacchi è stato confermato anche dagli ultimi dati dell’Agenzia per la cybersicurezza nazionale (ACN) sul tema aggiornati a gennaio 2026.
Secondo i dati relativi al mese di gennaio 2026 da ACN, in Italia si è registrato un aumento sensibile del numero di eventi rilevati ma calavano gli incidenti, in confronto con i dati di dicembre 2026. Nel corso di quel mese, infatti, sono stati registrati complessivamente 225 eventi cyber, in aumento del 42% rispetto ai 158 rilevati a dicembre. Da segnalare, però, che il numero degli incidenti si è attestato a 39 casi. Si tratta di un calo del 13% rispetto al mese precedente.
Le minacce principali erano state il brand abuse, categoria che comprende tutte le pratiche fraudolente che mirano a sfruttare la notorietà e la reputazione di marchi di vario tipo con l’obiettivo di portare a segno degli attacchi informatici. Non stupisce, inoltre, che la seconda minaccia più significativa sia rappresentata dal phishing che continua a essere un fattore molto importante per la sicurezza informatica.
Era stato segnalato da ACN anche un sostanziale aumento delle attività di scansione automatizzata di credenziali. Questa pratica è finalizzata all’individuazione di password deboli e account configurati in modo errato per poter entrare in possesso di dati. I più colpiti come settori, sono stati il manifatturiero, l’ecosistema tecnologico e il sistema sanitario.
Questi settori registrano una particolare esposizione agli attacchi ransomware, una minaccia da tenere sempre in considerazione. Tra i dati forniti da ACN si segnala quello relativo ai fenomeni di hacktivism, che hanno rappresentato circa il 4% del totale dei casi rilevati.
L’agenzia ha sottolineato anche che il CSIRT Italia (organo che si occupa di monitoraggio preventivo e risposta agli incidenti informatici) ha inviato circa 1.010 comunicazioni di allertamento a pubbliche amministrazioni e imprese appartenenti alla constituency. Con 1.409 servizi potenzialmente a rischio.
E la crescita, fino a 3.909, delle comunicazioni relative a potenziali compromissioni o fattori di rischio ad amministrazioni e imprese italiane inviate sempre dal CSIRT Italia.
Alcuni dei dati del Clusit 2026
Tornando ai dati Clusit 2026, complessivamente, il 58% degli attacchi informatici è avvenuto in territorio americano o europeo, con una crescita, rispettivamente, del 41% e del 21%. Il grafico mostra la distribuzione geografica.
Secondo il rapporto, in Italia in numeri assoluti sono stati rilevati 507 incidenti in confronto ai 357 del 2024. Sono apparse principalmente attive due tipologie di attaccanti nel 2025: i cybercriminali (61%) e gli attivisti (39%). È stata inoltre rilevata una minima percentuale di incidenti nella categoria spionaggio-sabotagio (0,4%, contro il 3% del dato globale).
L’obiettivo dei cybercriminali continua a essere quello di estorcere denaro. Questa motivazione, infatti, è stata rilevata nell’89% degli attacchi registrati, con una crescita del 55% rispetto all’anno precedente.
Secondo Clusit, in particolare, esiste un legame tra criminalità tradizionale e criminalità digitale, con i proventi della criminalità tradizionale che spesso vengono “reinvestiti” nel mondo digitale, con l’obiettivo di moltiplicare i guadagni di attività illecite.
Da segnalare una sostanziale crescita anche del fenomeno dell’Attivismo, che registra un incremento del 10% mentre restano stabili Spionaggio/Sabotaggio e Guerra dell’Informazione.
Quali sono le modalità di attacco più diffuse? Aumentano i “grandi eventi”
Per quanto riguarda le modalità di attacco, invece, un incidente su quattro ha visto come protagonista un malware. Questo tipo di tecnica si conferma la più efficace.
Da segnalare, però, che per un terzo degli attacchi non è stato possibile determinare la tecnica utilizzata (in gergo si parla di attacchi “undisclosed“, cioè quelli la cui natura specifica non è resa pubblica).
In Italia, invece, gli attacchi sono avvenuti principalmente in incidenti DDoS (per il 38,5% dei casi, erano il 21% nel 2024) mentre l’attacco malware è sceso al 23% dei casi (con una perdita di 14 punti su base annua).
Da segnalare anche che le vulnerabilità vengono sfruttate nel 16,5% dei casi, con una crescita esponenziale del 65%, mentre gli attacchi sferrati con le tecniche di phishing e Social Engineering aumentano del 75%, con il contributo sostanziale dell’IA, che amplifica il fenomeno e ne modifica profondamente la capacità e le tempistiche.
I dati che analizzano invece la gravità degli incidenti, invece, si registra un trend davvero preoccupante. Il numero di incidenti “ad alto impatto” nel 2025 è cresciuto del 66% rispetto al 2024, attestandosi al 55% del totale. Gli incidenti a media/bassa gravità costituiscono meno del 15% del totale.
Gli incidenti “critici” o di gravità “estrema” invece sono cresciuti del 60%. E questo ha fatto scattare il campanello di allarme per aziende della sicurezza cyber e per le Istituzioni.
Chi sono gli obiettivi degli attacchi?
Analizzando le vittime degli attacchi, invece, si nota che quasi un quinto degli attacchi a livello globale è avvenuto a danno di obiettivi multipli, con l’obiettivo di colpire indiscriminatamente organizzazioni di differenti settori e dimensioni.
Da segnalare, invece, che il 12% degli attacchi è riservato al settore governativo, militare e delle Forze dell’ordine, mentre l’11% alla sanità. Segue il comparto manifatturiero con l’8% degli attacchi globali (ma con una crescita del 79%).
I numeri si invertono in Italia dove il settore Governativo, Militare e delle Forze dell’Ordine è stato il più colpito, risultando la vittima di attacchi nel 28% dei casi, con una crescita del 290% su base annua. Seguono il manifatturiero (12,6%) e la categoria “Multiple Targets” (12,4%).
Un’ulteriore analisi del rischio: le rilevazioni del SOC Fastweb + Vodafone
A integrare ulteriormente questi dati e dare conferma sull’incerto panorama attuale in tema di sicurezza digitale è importante segnalare anche le rilevazioni del Security Operations Center (SOC) di Fastweb + Vodafone, che ha registrato nel corso del 2025 oltre 87 milioni di eventi di sicurezza nel nostro Paese, segnando un aumento del 26% rispetto all’anno precedente.
Questa crescita esponenziale delle attività sospette si accompagna a un dato critico: il numero di indirizzi IP unici infetti è più che raddoppiato rispetto al 2024.
Di conseguenza, la superficie di attacco continua ad ampliarsi, rendendo i perimetri aziendali sempre più vulnerabili. Se da un lato si osserva una riduzione nel numero di varianti di malware identificate — segno che gli attaccanti si stanno concentrando sulle soluzioni più efficaci e “professionali” — dall’altro esplodono gli attacchi DDoS, con quasi 6.000 eventi registrati (+26%).
Non è più un gioco per esperti: il dovere della consapevolezza in un Paese vulnerabile
l mosaico di dati offerto dal Rapporto Clusit 2026, integrato dalle analisi di ACN e dei partner tecnologici, ci restituisce l’immagine di un ecosistema digitale in stato di allerta permanente. La riflessione che emerge non riguarda più “se” un’organizzazione verrà colpita, ma con quale frequenza e gravità dovrà gestire l’impatto. Il dato più preoccupante riguarda infatti la severità degli incidenti: la cyber-security ha smesso di essere un problema tecnico per diventare una questione di sopravvivenza operativa e finanziaria.
La crescita esponenziale dell’attivismo evidenzia come il cyberspazio sia diventato il principale campo di battaglia non convenzionale. I conflitti in essere si riflettono direttamente sulla sicurezza nazionale, colpendo le istituzioni e le infrastrutture critiche con attacchi DDoS che, in Italia, rappresentano ormai il grosso delle modalità di attacco.
Questa “militarizzazione” del web richiede alle aziende e alle PA una consapevolezza nuova: non si è più bersagli solo per profitto, ma anche come simboli di un sistema politico o economico.
L’introduzione dei sistemi agentici e dell’AI generativa ha abbassato la barriera d’ingresso per gli attaccanti. Come sottolineato da Anna Vaccarelli, l’IA permette di creare software malevolo e individuare vulnerabilità con una velocità che il monitoraggio umano non può più contrastare da solo. Tuttavia, la sfida reale è la trustworthiness: cioè la capacità di progettare sistemi AI che siano resistenti a manipolazioni del set di addestramento e a difetti di progettazione.
La direzione indicata dal Clusit e dall’OWASP AI Testing Guide è chiara: la difesa deve diventare altrettanto autonoma e “intelligente” della minaccia.
Le rilevazioni del SOC Fastweb + Vodafone sul raddoppio degli IP infetti e sulle scansioni automatizzate delle credenziali ci dicono che il vecchio concetto di “perimetro aziendale” è definitivamente tramontato. Nel 2026, la sicurezza è guidata dall’identità. Proteggere l’account del singolo operatore o la chiave di accesso di un’API è più importante che fortificare un firewall.
In conclusione, il panorama globale descritto in questo rapporto ci ammonisce sulla necessità di una solidità integrata di sistema. La cybersecurity deve diventare un vantaggio competitivo, come accade nel settore delle costruzioni o nell’industria 4.0, e deve saper valorizzare ogni risorsa, inclusa la neuro-divergenza (come proposto dal progetto Cyber Rebel).
Solo la cooperazione stretta tra istituzioni come l’ACN, soccorritori tecnologici e organizzazioni private, l’Italia potrà sperare di mitigare un rischio che, sebbene invisibile tra i bit, ha effetti sempre più tangibili e devastanti sulla realtà fisica e sociale del Paese.
