Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il reportdi acn

Cyber Index PMI 2025: i 4 livelli di maturità del tessuto imprenditoriale italiano

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Pmi italiane meno immature, ma strada ancora lunga da percorrere per asdottare le misure di protezione adeguate ai rischi cyber. Ecco cosa fotografa il Cyber Index PMI 2025 che misura l’indice di maturità delle Pmi

Pubblicato il 13 mar 2026
Decreto Mimit: la sfida è più cyber security per Pmi e autonomi; Voucher cyber del Mimit: per rafforzare la resilienza digitale del tessuto produttivo nazionale; Cyber Index PMI 2025: i 4 livelli di maturità del tessuto imprenditoriale italiano

IL’indagine dell’Acn, il Cyber Index PMI 2025, giunto alla terza edizione, osserva un aumento della consapevolezza, tuttavia si registra una polarizzazione fra le poche mature e le troppe esposte ai rischi. Infatti non si colma il gap di maturità tra piccole e medie imprese italiane soprattutto per gestire il rischio cyber.

Inoltre si registra un’asimmetria nell’evoluzione. Infatti migliorano governance ed approccio strategico, mentre le Pmi arrancano nell’individuare analiticamente i rischi e nell’implementare contromisure per mitigarli. Del resto, secondo l’anteprimas del Rapporto Clusit, a fronte di un +49% di aumento di cyber attacchi a livello mondiale, l’Italia segna il record del +42%, a testimonianza che il nostro Paese rimane nel mirino dei cyber criminali. 

“Il 2025 ha rappresentato un vero punto di svolta nelle relazioni geopolitiche e nel progresso tecnologico rendendo le minacce cyber ancor più sofisticate e complesse da gestire. Lo scenario rischia di inasprirsi ulteriormente nonostante il livello record che ha già raggiunto: negli ultimi 3 anni quasi una PMI su quattro ha subito una violazione informatica”, ha dichiarato Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.

Ecco qual è lo scenario del tessuto imprenditoriale tricolore.

Cyber Index PMI 2025: l’indice di maturità delle Pmi

Promosso da Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la collaborazione istituzionale dell’Agenzia per la Cybersicurezza Nazionale, lo studio riporta l’indice che misura il livello di consapevolezza e maturità delle Pmi nella gestione dei cyber rischi. 

Il rapporto monitora nel corso del tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano ovvero la “capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati“.

Le raggiungono un punteggio di 55 su 100, pur restando ancora al di sotto della soglia di sufficienza.

Nonostante l’incremento del 3% rispetto al 2024 (e del 4% sul 2023), le piccole e medie imprese italiane non sono ancora riuscite a conseguire il punteggio di 60 su 100 su un campione di oltre 1.500 imprese.

La polarizzazione, inoltre, tra un gruppo contenuto di aziende più mature e un numero enorme di imprese ancora esposte ai rischi cyber misura il divario di maturità tra piccole e medie imprese italiane

“Il grande lavoro che si è compiuto con il Cyber Index PMI (…) al suo terzo anno di rilevazione ci restituisce risultati incoraggianti”, afferma : “Segno che la proficua collaborazione con Generali e Confindustria sta supportando in maniera funzionale le attività delle piccole e medie imprese nel settore della cybersicurezza. Le PMI rappresentano un asse portante dell’economia del Paese, la loro sensibilità ed attenzione verso il rischio cyber, da cui consegue il miglioramento della postura cibernetica italiana, è un segnale importante”, afferma Bruno Frattasi, Direttore Generale Agenzia per la Cybersicurezza Nazionale.

Tre dimensioni dell’analisi

Sono tre gli aspetti del report:

  • approccio strategico;
  • identificazione;
  • attuazione.

L’approccio strategico concerne la possibilità di coinvolgere il management, di definire investimenti ad hoc e di formalizzazre le responsabilità cyber.

L’identificazione rappresenta la capacità di fotografare e capire il fenomeno cyber, individuando le minacce, mappando gli asset e valutando i rischi.

Infine l’attuazione permette di misurare l’introduzione di strumenti, processi e soluzioni per la mitigazione del rischio e risposta agli incidenti.

Più consapevolezza in materia di sicurezza digitale per le PMI anche se i margini di miglioramento restano notevoli.

Presentato il Cyber Index PMI 2025, terza edizione, sulla consapevolezza e la maturità cyber delle piccole e medie imprese (PMI) italiane.

L’obiettivo dello studio è quello di monitorare nel tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano. Postura, da intendersi come “capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati“.

L’iniziativa è di Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la collaborazione istituzionale dell’Agenzia per la Cybersicurezza Nazionale.

Il terzo anno di rilevazione

il Cyber Index PMI è elaborato sulla base di tre dimensioni:

  • approccio strategico, che riguarda il coinvolgimento del management, la definizione di investimenti dedicati e la formalizzazione delle responsabilità in materia di sicurezza digitale.
  • Identificazione, ovvero la capacità di comprendere il fenomeno cyber, individuare le minacce, mappare gli asset e valutare i rischi in modo strutturato.
  • Attuazione, che misura l’introduzione di strumenti, processi e soluzioni operative per mitigare il rischio e rispondere agli incidenti.

Nel terzo anno di rilevazione, le piccole e medie imprese italiane raggiungono un livello di consapevolezza in materia di sicurezza digitale pari a 55 punti su 100. Questo punteggio equivale ad un incremento di 3 punti rispetto al 2024 e di 4 punti rispetto al 2023, su un campione di oltre 1.500 imprese.

Pur non raggiungendo la soglia di sufficienza fissata a 60 su 100, tale maturazione evidenzia una marcata polarizzazione tra un nucleo ristretto di imprese più mature e una vasta platea ancora esposta ai rischi.

I progressi

Nel Report, l’approccio strategico consegue la piena sufficienza. Il merito va a un’attenzione superiore alla governance del rischio e alla capacità di pianificare gli investimenti. In questo campo, infatti, le Pmi italiane raggiungono un punteggio medio di 62 su 100 (+6 punti percentuali rispetto al 2024).

Alcune criticità si presentano nelle fasi seguenti del percorso. Cresce la consapevolezza del rischio, tuttavia, numerose Pmi non riescono a declinare la strategia in priorità operativa. Soffrono l’assenza di attività di identificazione. Infatti raggiungono un punteggio medio di 47 su 100 (+2 punti rispetto al 2024, ma ancora sotto la sufficienza).

La dimensione dell’attuazione infine ammonta a 57 punti su 100, senza progressi rispetto all’anno precedente. Dunque l’introduzione di misure di protezione va più lentamente rispetto alla definizione delle strategie. 

I 4 livelli di maturità Cyber Index PMI 2025

Le Pmi presentano quattro livelli di maturità:

  • il 14% è a livello principiante con scarsa consapevolezza dei rischi cyber e implementazione delle misure di protezione;
  • il 16% è invece matura con un approccio strategico alla materia, è consapevole appieno dei rischi e adotta misure di attuazione concernenti persone, processi e tecnologie;
  • il 32% si definisce consapevole, per capire gli effetti dei rischi cyber, ma la capacità operativa è ridotta;
  • il 38% risulta informato. Non è del tiutto consapevole dei rischi e degli strumenti da mettere in campo e il suo approccio è “artigianale“.

“Il 2025 ha rappresentato un vero punto di svolta nelle relazioni geopolitiche e nel progresso tecnologico rendendo le minacce cyber ancor più sofisticate e complesse da gestire”, commenta Alessandro Piva.

“Lo scenario rischia di inasprirsi ulteriormente nonostante il livello record che ha già raggiunto: negli ultimi tre anni quasi una PMI su quattro ha subito una violazione informatica. Il livello di consapevolezza e preparazione delle imprese migliora, ma ancora non ha raggiunto i risultati sperati. È importante reagire come sistema Italia e Europa per garantire un livello comune di preparazione sufficiente ad affrontare un rischio che diventa sempre più operativo”, conclude Piva.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • World backup day 2025: la lezione per le aziende

  • conservazione dati

    World backup day 2025: ogni giorno bisogna adottare piani proattivi per la cyber recovery

    28 Mar 2025

    di Mirella Castigli

    Condividi
  • Whistleblowing come leva per la voice e la loyalty organizzativa; Luci e ombre nel whistleblowing europeo sull’AI Act: cosa cambia dal 2 agosto 2026

  • il parere Garante privacy

    Luci e ombre nel whistleblowing per le violazioni dell’AI Act: le 4 questioni aperte

    01 Dic 2025

    di Pasquale Mancino

    Condividi
  • Tecnologie e metodi per aumentare la sicurezza delle infrastrutture di rete aperte al Cloud

  • sicurezza aziendale

    Il networking e il Cloud: aspetti cruciali per la sicurezza

    04 Lug 2025

    di Giuditta Mosca

    Condividi
0
Lascia un commento, la tua opinione conta.x