Lo scenario degli attacchi in Italia nel 2026
L'Italia si conferma tra i Paesi europei più presi di mira dai cybercriminali. Secondo il Rapporto Clusit 2025 — la fonte più autorevole in Italia sull'andamento degli attacchi informatici — gli incidenti gravi rilevati nel 2024 sono cresciuti del 23% rispetto all'anno precedente, con oltre 2.400 attacchi gravi documentati a livello globale, di cui circa il 9-10% con obiettivi italiani.
I settori più colpiti in Italia:
- Manifatturiero — 22% degli attacchi: le filiere produttive italiane sono bersagli privilegiati per ransomware e spionaggio industriale
- Pubblica Amministrazione — 15%: spesso vulnerabile per sistemi obsoleti e scarso budget IT
- Sanità — 12%: dati sanitari ad alto valore sul mercato criminale, sistemi critici facili da bloccare per estorsione
- Finanza e Assicurazioni — 11%: BEC (Business Email Compromise) e frodi finanziarie
- Servizi professionali e PMI — 18%: bersaglio per supply chain attack verso clienti enterprise
La motivazione principale è il cybercrime economico (68% degli attacchi): ransomware, BEC, frodi finanziarie. Seguono l'hacktivism (18%, in crescita per ragioni geopolitiche) e lo spionaggio/sabotaggio statale (14%, concentrato su PA, difesa e infrastrutture critiche).
Le minacce principali per le organizzazioni italiane
Ransomware: la minaccia più impattante
Il ransomware rimane la minaccia più devastante per le organizzazioni italiane. Le gang più attive nel 2024-2025 contro target italiani includono LockBit 3.0, BlackCat/ALPHV, Play e Clop. Il modello RaaS (Ransomware as a Service) ha abbassato la barriera d'ingresso: chiunque può affiliarsi a una gang e condurre attacchi senza competenze tecniche avanzate.
Il downtime medio post-ransomware in Italia è di 21 giorni (fonte: Coveware Italia 2025). Il costo totale medio di recupero da un attacco ransomware per una PMI italiana è stimato tra 80.000 e 300.000 €, considerando ripristino sistemi, perdita di produttività, costi legali e notifiche obbligatorie.
BEC e phishing mirato
Il Business Email Compromise è la truffa che genera i maggiori danni economici diretti alle imprese italiane. L'attaccante compromette un account email aziendale o simula il dominio del CEO/CFO per autorizzare bonifici fraudolenti. Secondo FBI IC3 2025, le perdite da BEC a livello globale hanno superato i 3 miliardi di dollari nel 2024.
In Italia, il phishing in italiano è significativamente più convincente di quello in inglese mal tradotto: le campagne localizzate, con loghi di banche italiane (Intesa, UniCredit, Poste) o enti pubblici (INPS, AdE), hanno tassi di click del 25-35%.
Attacchi alla supply chain
L'Italia è particolarmente esposta agli attacchi supply chain per la struttura del tessuto produttivo: molte PMI sono fornitori di grandi aziende o PA, con accesso privilegiato ai sistemi dei clienti tramite VPN, RDP o portali di fornitori. Colpire la PMI è spesso più facile che attaccare direttamente il cliente grande.
Il CERT-AGID — l'organismo italiano che coordina la risposta agli incidenti per la PA e il settore privato — ha gestito nel 2024 oltre 1.800 incidenti classificati, con un aumento del 40% rispetto al 2023. Le campagne malware rilevate in Italia hanno usato principalmente email come vettore iniziale nell'83% dei casi.
Il quadro normativo: NIS2, GDPR e ACN
D.Lgs. 138/2024 — Recepimento NIS2
Il Decreto Legislativo 138/2024 ha recepito in Italia la Direttiva NIS2, ampliando significativamente la platea di organizzazioni obbligate rispetto alla precedente NIS1. Circa 20.000 organizzazioni italiane sono ora soggette agli obblighi, incluse PMI fornitrici di infrastrutture critiche, provider IT, aziende manifatturiere strategiche.
Gli obblighi principali includono: misure di sicurezza proporzionate al rischio (art. 21), notifica degli incidenti significativi all'ACN entro 24 ore (pre-notifica) e 72 ore (notifica completa), responsabilità personale degli organi direttivi per l'adeguatezza delle misure di sicurezza. Le sanzioni raggiungono i 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali.
GDPR e data breach notification
Il GDPR rimane il framework principale per la protezione dei dati personali. In caso di violazione, la notifica al Garante deve avvenire entro 72 ore dalla scoperta (non dal momento dell'attacco). Il Garante italiano ha comminato sanzioni per oltre 100 milioni di euro dal 2018, con un'accelerazione nel 2024-2025. Le aziende senza procedure di incident response documentate rischiano sanzioni proporzionalmente più alte.
Il ruolo dell'ACN
L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità di riferimento per la cybersicurezza in Italia. Pubblica alert, IOC e report periodici sulle minacce attive, gestisce il CSIRT Italia, coordina la risposta agli incidenti critici e supervisiona l'attuazione della NIS2. Iscriversi agli alert del CERT-AGID è gratuito e fornisce intelligence aggiornata sulle campagne attive in Italia.
Il mercato della cybersecurity in Italia
Secondo il Rapporto del Politecnico di Milano — Osservatorio Cybersecurity & Data Protection 2025, il mercato italiano della cybersecurity ha raggiunto i 2,5 miliardi di euro nel 2024, con una crescita del 16% rispetto al 2023. È la prima volta che supera i 2 miliardi, segnalando una maturità crescente del settore.
La ripartizione della spesa:
- Endpoint Security: 22% — la voce di spesa più alta, trainata dalla migrazione a EDR/XDR
- Network Security: 18% — firewall di nuova generazione, zero trust
- Managed Services (MSSP/MDR): 21% — in forte crescita, +28% anno su anno
- Identity & Access Management: 15% — MFA, PAM, zero trust identity
- Cloud Security: 14% — sicurezza di ambienti Microsoft 365, Azure, AWS
Il segmento dei managed services (MSSP/MDR) è il più dinamico: le organizzazioni italiane, in particolare le PMI, preferiscono esternalizzare la sicurezza piuttosto che costruire competenze interne difficili da trovare e mantenere.
Il gap di sicurezza nelle PMI italiane
Nonostante la crescita del mercato, il gap tra grandi organizzazioni e PMI rimane enorme. Secondo una ricerca Confindustria-Accenture 2025:
- Solo il 38% delle PMI italiane ha un piano di incident response documentato
- Il 52% non effettua backup regolari verificati
- Il 71% non utilizza l'autenticazione multi-fattore su tutti gli accessi critici
- Il 63% non ha mai effettuato un penetration test
- Solo il 24% ha un contratto MDR o MSSP attivo
Questo gap spiega perché le PMI italiane sono bersagli così attraenti: difese ridotte, dati preziosi (spesso come fornitori di aziende più grandi), propensione a pagare riscatti per tornare operativi rapidamente.
Se la tua PMI è fornitrice di una grande azienda o della PA, potresti essere già soggetta a requisiti di sicurezza informatica imposti contrattualmente dal tuo cliente principale, indipendentemente dagli obblighi NIS2. Verifica i contratti di fornitura prima di assumere di non avere obblighi.
Cosa devono fare le PMI italiane nel 2026
Il percorso minimo realistico per una PMI italiana che vuole adeguarsi al contesto attuale:
- Verifica l'obbligo NIS2 — registrati sul portale ACN per capire se sei nella platea obbligata. La registrazione è partita nel 2025 e le sanzioni sono attive.
- Attiva MFA su tutti gli accessi critici — email, VPN, Active Directory. Costa poco e riduce del 99,9% il rischio di account takeover.
- Implementa backup 3-2-1 verificato — tre copie, due media, uno offsite. Testa il ripristino almeno ogni trimestre.
- Installa EDR su tutti gli endpoint — sostituisce l'antivirus tradizionale con detection comportamentale che blocca ransomware anche senza signature note.
- Attiva un servizio MDR/SOC — il monitoring 24/7 è la differenza tra rilevare un attacco in 7 minuti o dopo 197 giorni.
- Forma i dipendenti sul phishing — una campagna di simulazione annuale riduce il tasso di click dal 30% al 5-8%.
Domande frequenti
Qual è la situazione della cybersecurity in Italia nel 2026?
L'Italia è tra i Paesi europei più colpiti: gli attacchi gravi sono cresciuti del 23% nell'ultimo anno (Clusit 2025). I settori più colpiti sono manifatturiero, PA e sanità. Il 68% degli attacchi ha motivazione economica (ransomware, BEC), il 18% è hacktivism con motivazioni geopolitiche.
Quante aziende italiane sono obbligate dalla NIS2?
Circa 20.000 organizzazioni, incluse PMI fornitrici di infrastrutture critiche, provider IT e aziende manifatturiere strategiche. Il D.Lgs. 138/2024 prevede sanzioni fino a 10 milioni di euro o il 2% del fatturato per chi non è conforme.
Qual è la minaccia informatica più diffusa in Italia?
Il ransomware è responsabile del 34% degli attacchi gravi (Clusit 2025), con downtime medio di 21 giorni post-attacco. Il phishing è il principale vettore d'ingresso, usato nell'83% degli attacchi. In crescita gli attacchi supply chain verso PMI fornitrici.