Il rapporto sulla sicurezza informatica in Italia Clusit 2025 offre informazioni aggiornate per interpretare l’andamento degli incidenti informatici relativi al primo semestre dell’anno.
Nel 2023 l’Italia ha registrato l’11,2% di tutti gli incidenti globali (dal 3,4% del 2021 e dal 7,6% del 2022) confermando il preoccupante primato di “maglia nera della cybersecurity” tra le principali economie mondiali.
Nel 2024 l’Italia è rimasta vittima del 9,9% degli incidenti a livello mondiale, e del 10,2% nel primo semestre 2025 (gli attacchi del primo semestre 2025 hanno già raggiunto quelli dell’intero 2024).
In proporzione al dato globale, la percentuale di incidenti realizzati contro l’Italia risulta anomala, sia rispetto alla popolazione che al PIL nazionale, il che rappresenta uno svantaggio competitivo per il Paese. Inoltre, le organizzazioni italiane risultano particolarmente vulnerabili ad iniziative con finalità dimostrativa, di matrice politica o sociale.
I dati della prima parte dell’anno mostrano che l’Italia, rispetto alla media globale, è stata molto più colpita da incidenti di tipo DDoS realizzati da gruppi di sedicenti attivisti, (per esempio NoName057, sabotatori coordinati da strutture governative russe). Pur trattandosi di incidenti con impatti di livello tipicamente medio-basso, la loro frequenza rende necessarie azioni di mitigazione specifiche.
Anche il settore Manufacturing (13%) - vista la peculiarità del tessuto economico nazionale - registra una quota più significativa di incidenti rispetto al resto del mondo (a livello globale si ferma all’8%).
Il divario tra la capacità offensiva degli attaccanti e l’efficacia delle contromisure continua ad ampliarsi, con conseguente aumento dei rischi, sia per le singole vittime, sia a livello sistemico.
Come ribadito dagli esperti nel Security Summit del 15 ottobre a Verona, il primo passo per attivare la difesa è la percezione di essere in pericolo, da cui deriva la consapevolezza dei rischi che si corrono che porta ad attivare forme di prevenzione e di difesa.
Si legge nel Report: “In un contesto di generale peggioramento della situazione, per alcuni settori gli impatti crescono più velocemente della media, anche se subiscono un numero di incidenti relativamente inferiore, il che può indurre a sottostimare i rischi.
Nella realtà i diversi settori sono attaccati per ragioni diverse, con tecniche diverse e conseguenze molto diverse (anche a parità di tecniche), e questo fenomeno va compreso tramite un’analisi granulare delle motivazioni degli attaccanti, dei loro comportamenti e delle conseguenze dei fallimenti difensivi nei diversi scenari.
Ciò nonostante, la maggior parte delle organizzazioni continuano ad allocare risorse per la cyber security basandosi su requisiti (minimi) di conformità e su dati storici (non più attuali) piuttosto che su valutazioni del rischio basate su dati aggiornati, specifici e puntuali”.
Sintesi dei dati
Nel primo semestre 2025, secondo una tendenza ormai consolidata da anni, non è aumentata solo la frequenza degli incidenti, ma anche la loro gravità media.
Nel 2024, gli incidenti con impatto “Critico” o “Alto” erano il 77% del totale (rispetto al 50% del 2020). Nella prima metà del 2025, l’impatto medio stimato a livello globale è cresciuto ulteriormente rispetto al 2024 (82% di incidenti con gravità critica o alta).
Nel primo semestre 2025, il maggior numero di incidenti cyber in Italia ha avuto come principali obiettivi.
- Governativo / Militare / Law Enforcement 38% del totale (con una crescita rispetto allo stesso periodo dello scorso anno pari a oltre il 600%)
- Transportation / Storage 17% del totale (in 6 mesi registrati oltre una volta e mezzo il numero degli incidenti di tutto l’anno precedente)
- Il settore Healthcare, apparentemente in discesa di un punto percentuale rispetto all’anno precedente, con 337 incidenti nel primo semestre 2025 realizza il 67% dei 500 incidenti registrati in tutto il 2024.
- Cresce la percentuale sul totale degli incidenti verso il settore Manufacturing (dal 6% del 2024 all’8% nel primo semestre 2025) che passa dal settimo al quarto posto in classifica: in questo caso il settore in un solo semestre raggiunge il 90% degli incidenti registrati in tutto il 2024.
- Perde una posizione in classifica Financial / Insurance (7%), con una quota di eventi del primo semestre 2025 sul 2024 di poco superiore al 60%, così come il settore ICT.
- I settori Professional / Scientific / Technical e Transportation / Storage risalgono di numerose posizioni la triste classifica, poiché raggiungono, se non superano, in soli sei mesi il numero di incidenti di tutto l’anno precedente: il 94% per Professional / Scientific / Technical e addirittura il 110% per Transportation / Storage.
- Il settore Education è fortunatamente in controtendenza rispetto ai precedenti: non solo perde 2 punti percentuali sul totale, ma realizza meno del 50% degli eventi di tutto l’anno precedente.
- Wholesale/Retail ha realizzato oltre il 65% del numero di incidenti dell’anno precedente in soli sei mesi.
- News/Multimedia, che a seguito di una campagna mirata nel 2024 aveva raggiunto l’8° posto tra i settori colpiti, è tornato ora al 14° posto. Questo episodio dimostra come, periodicamente, alcuni settori siano vittime di campagne mirate che sfruttano la loro dipendenza da alcune particolari soluzioni tecnologiche o da specifici soggetti nella loro supply chain.
Principali tecniche utilizzate
Gli incidenti DDoS si attestano al 54%, con un peso significativamente maggiore rispetto a quello occupato a livello globale (solo il 9% del totale). Ancora una volta, si evidenzia la correlazione con gli incidenti causati da campagne di Hacktivism.
Seguono le tecniche basate su malware, con il 20% degli eventi, un’incidenza leggermente minore rispetto a quanto rilevato a livello globale (25% del campione).
Al terzo posto (15%) si trovano gli eventi per i quali le tecniche utilizzate non sono di pubblico dominio.
Seguono gli incidenti che fanno leva su Vulnerabilità (5%), in valore assoluto in diminuzione (19% del totale degli incidenti dello stesso tipo rispetto a tutto il 2024), e quelli che si basano su tecniche di Phishing - Social Engineering (4%).
Nel settore della cybersecurity l’Intelligenza Artificiale è particolarmente insidiosa e, per certi versi non immediatamente evidente come accade, per esempio, con un nuovo malware che è istantaneamente riconoscibile. La conoscenza delle nuove frontiere poste dall’intelligenza Artificiale nella realizzazione degli attacchi dovrebbe stimolare a adottare contromisure all’altezza della sfida.
Conclusioni
Un danno informatico grave può mettere in ginocchio un’azienda con costi molto maggiori della prevenzione.
I vertici aziendali sono chiamati a considerare la sicurezza informatica uno degli asset da coltivare e far crescere all’interno delle organizzazioni.
Gli esperti raccomandano di agire seguendo queste linee guida:
- prevenzione del malware distribuito via email
- segmentazione efficace delle reti interne
- aggiornamento tempestivo dei sistemi
- governance unificata tra IT e OT per affrontare l’espansione della superficie d’attacco dovuta all’Internet of Things e alle tecnologie di Industria 4.0.
Solo una visione integrata - che unisca competenze tecniche, formazione e responsabilità strategica - può ridurre il divario tra innovazione digitale e sicurezza industriale salvaguardando il manufacturing, indispensabile per il nostro sistema Paese.
Fonte: Clusit 2025 (Aggiornamento I semestre)