La nuova edizione del Rapporto Clusit 2025 mette in luce una vulnerabilità strutturale che riguarda direttamente aziende, istituzioni e infrastrutture nazionali.
Secondo quanto emerso nella presentazione del rapporto da parte dei membri del Comitato Direttivo Clusit, e in particolare dalle analisi illustrate da Luca Bechelli, l’Italia rappresenta oggi una delle aree più esposte d’Europa agli attacchi informatici.
I dati evidenziano come il nostro Paese concentri circa il 10% degli incidenti gravi rilevati a livello globale, una percentuale che, per Bechelli, risulta «sproporzionata rispetto al peso economico e demografico dell’Italia» .
Indice degli argomenti
Un dato che supera il peso dell’Italia nello scenario globale
La rilevazione più immediata riguarda la distanza tra la posizione dell’Italia nell’economia mondiale e la sua quota di incidenti informatici. Bechelli sintetizza così il divario: «Non realizziamo il 10% del PIL mondiale né rappresentiamo il 10% della popolazione, ma subiamo il 10% degli incidenti».
Un dato che, da solo, misura la fragilità della sicurezza informatica in Italia e la pressione crescente sulle infrastrutture critiche e sul tessuto produttivo nazionale.
L’indicazione quantitativa va interpretata alla luce della metodologia Clusit: il rapporto non contabilizza i tentativi, ma solo gli incidenti andati a buon fine, cioè quelli che hanno causato danni concreti di tipo operativo, economico o reputazionale.
Questo rende il dato particolarmente rilevante, perché rivela una efficacia superiore degli attacchi che colpiscono il nostro Paese.
Una crescita del 13%, dietro una stabilità solo apparente
Nel primo semestre 2025 il numero di incidenti in Italia è aumentato del 13% rispetto al semestre precedente. Una crescita più contenuta rispetto al +30% globale, ma che non indica un miglioramento. Bechelli chiarisce che si tratta di un’illusione statistica: «È un dato solo apparentemente positivo.
La frequenza degli incidenti continua ad aumentare, e quelli che avvengono nel nostro Paese sono spesso più efficaci, perché portano a conseguenze concrete».
Il motivo di fondo è duplice. Da un lato, l’Italia continua a essere un bersaglio attraente per attori criminali e gruppi ideologici; dall’altro, il livello di maturità delle difese cresce più lentamente rispetto all’intensità delle minacce. Ciò porta a un modello in cui meno attacchi, rispetto ad altre aree del mondo, si trasformano comunque in incidenti veri e propri.
L’anomalia italiana: hacktivismo e attacchi DDoS in forte aumento
Un tratto distintivo della sicurezza informatica in Italia nel 2025 riguarda il peso dell’hacktivismo e degli attacchi DDoS. A differenza del quadro globale — dominato dal cyber crime a fini economici — in Italia la composizione delle minacce risulta diversa.
La presenza di gruppi “ibridi”, che uniscono motivazioni ideologiche e capacità operative professionali, ha contribuito a un incremento di campagne mirate soprattutto verso i settori governativo, militare e dei trasporti.
Secondo Bechelli, il comparto della logistica è quello che più di altri ha subito una trasformazione significativa: «Il settore dei trasporti e della logistica ha registrato in soli sei mesi una volta e mezzo gli attacchi dell’intero anno precedente».
Una crescita così repentina è spiegata dalla forte dipendenza delle catene di approvvigionamento da sistemi digitali interconnessi. Bloccare un nodo logistico oggi significa interrompere una filiera industriale completa, rendendo tali settori particolarmente attrattivi per gli attaccanti.
I comparti più vulnerabili: governo, difesa e manifatturiero
Il settore governativo e militare rimane il più colpito, con una quota vicina al 40% degli incidenti nazionali. È un dato che rispecchia il ruolo centrale che le infrastrutture statali ricoprono nella gestione dei servizi essenziali e nell’amministrazione dei processi critici.
Accanto alla Pubblica Amministrazione, l’altro grande bersaglio è il settore manifatturiero, che da anni rappresenta uno dei punti deboli della sicurezza informatica in Italia.
Il Paese, ricorda Bechelli, è «un Paese manifatturiero e industriale per struttura economica», e proprio questa vocazione lo espone a rischi più elevati. Le imprese del comparto utilizzano spesso tecnologie OT integrate con sistemi IT complessi, ma non sempre aggiornabili in modo rapido o semplice.
In molti casi le infrastrutture industriali adottano software proprietari, datati o difficili da portare a livelli adeguati di sicurezza, e questo genera un insieme di vulnerabilità persistenti.
Il risultato è una superficie d’attacco ampia e difficile da gestire, che trasforma ogni incidente in un potenziale rallentamento o blocco delle catene produttive.
Malware e zero-day: le tecniche che continuano a funzionare
Il Rapporto Clusit conferma che malware e ransomware restano tra le tecniche più usate per colpire il sistema produttivo italiano. Alla loro diffusione si aggiunge lo sfruttamento delle vulnerabilità zero-day, particolarmente rischiose perché non ancora coperte da patch.
Bechelli osserva che «gli attaccanti continuano a usare le tecniche che risultano più efficaci. Il malware è una modalità consolidata e redditizia, e il fatto che continui a funzionare dimostra che le difese non sono ancora sufficienti».
L’industrializzazione del cybercrime si basa proprio su strumenti standardizzati, facilmente automatizzabili e accessibili sui mercati illegali. Questo rende possibile colpire sia grandi aziende sia realtà più piccole, spesso sprovviste di misure adeguate.
La gestione delle vulnerabilità rimane un nodo centrale. L’aumento del numero e della complessità dei software, unito all’interconnessione fra sistemi, continua a creare finestre di esposizione che gli attaccanti sfruttano con rapidità crescente.
Una severity più bassa, ma più ampia diffusione
Rispetto al panorama internazionale, l’Italia registra una severity media leggermente inferiore. Questo avviene soprattutto per la maggiore incidenza di attacchi DDoS, che tendono a essere più vistosi ma meno distruttivi rispetto a malware e intrusioni mirate. Tuttavia, Bechelli invita alla prudenza nell’interpretare questo dato come un segnale positivo: potrebbe trattarsi di una fluttuazione temporanea e andrà verificata su base annuale.
Da non sottovalutare, però, l’ipotesi che alcune organizzazioni stiano iniziando a rafforzare le proprie capacità di risposta. Le normative europee – come NIS2, DORA e il Cyber Resilience Act – potrebbero rappresentare, nel medio periodo, uno stimolo per migliorare la resilienza complessiva del Paese.
Ma la superficie d’attacco rimane ampia e la frammentazione delle competenze continua a rappresentare una criticità strutturale.
Un divario che pesa sulla competitività del Paese
La fotografia tracciata dal Rapporto Clusit restituisce un Paese sotto pressione. Gli incidenti aumentano, i settori critici sono esposti a rischi elevati e l’economia nazionale, fortemente basata sulla manifattura e sulle PMI, fatica ad adattarsi alla velocità delle minacce.
Bechelli sottolinea che la sicurezza informatica in Italia non può essere considerata un tema esclusivamente tecnico: è un fattore strategico che influisce sulla continuità operativa, sulla fiducia dei cittadini e sulla competitività internazionale delle imprese.
Ogni attacco produce effetti che si propagano oltre l’infrastruttura colpita: rallentamenti nelle catene produttive, interruzioni nei servizi essenziali, perdite economiche e danni reputazionali che possono durare nel tempo.
Il divario tra l’Italia e i principali Paesi europei, evidenziato dai dati del Clusit, indica che il consolidamento della cultura digitale e della resilienza cyber rappresenta una delle sfide più urgenti per il sistema Paese.
