Quello che emerge dal nuovo report “Global Cyber Risk and Insurance Survey 2026” di Munich Re è che il rischio cyber si è definitivamente evoluto in una variabile sistemica con implicazioni dirette sulla stabilità economica globale, superando i confini della mera vulnerabilità IT. Si evidenzia inoltre un nesso diretto tra la fragilità strutturale dei mercati locali e l’esplosione del valore economico del cybercrime su scala globale.
In Italia, l’incremento costante degli attacchi negli ultimi due anni non è un evento isolato, ma il risultato critico di una digitalizzazione accelerata che ha stratificato nuovi asset su sistemi legacy privi di presidi adeguati. Questa vulnerabilità domestica alimenta l’ecosistema criminale: la mancata messa in sicurezza dei processi legacy funge da acceleratore per un mercato del cybercrime che, entro il 2028, è proiettato a raggiungere i 14 trilioni di dollari.
Di fatto, le carenze nella resilienza operativa stanno trasformando il rischio cyber nella terza “economia” mondiale dopo Stati Uniti e Cina, spostando la sfida dal piano della sicurezza informatica a quello della sovranità e stabilità economica globale. Per il mercato italiano, ciò implica che il cybercrime diventa un driver economico reale, perché sempre più organizzazioni si trovano a fronteggiare richieste di riscatto o interruzioni operative che superano ampiamente le riserve liquide o le soglie di tolleranza al rischio.
Le principali cause di perdita per le compagnie assicurative restano ransomware, data breach, business e-mail compromise (BEC) e attacchi DDoS. A incidere maggiormente sui rimborsi sono però le conseguenze operative: interruzioni di business, costi di risposta agli incidenti e responsabilità legate alla privacy. Nel contesto italiano, i BEC restano tra i sinistri più frequenti, soprattutto nel settore moda, automotive e distribuzione, spesso legati a compromissioni dei fornitori o della supply chain finanziaria. L’analisi dei sinistri del 2026 evidenzia un paradosso critico: mentre il 62% degli eventi genera danni diretti, impattando immediatamente sulla continuità operativa, il mercato soffre di una profonda incapacità di quantificazione.
Come rilevato dallo studio Kaspersky del 2024, la metà delle aziende non dispone di metriche per tradurre il rischio tecnico in variabili economiche. Questa incapacità impedisce di valutare l’impatto reale di un fermo produttivo e sul valore reputazionale, rendendo le organizzazioni strutturalmente impreparate alla magnitudo della perdita.
Questo deficit di consapevolezza è particolarmente allarmante nel segmento delle PMI e microimprese. Sfatando il mito che vede le multinazionali come target primari, i dati confermano che sono proprio le realtà più piccole a rappresentare oggi l’anello debole della catena. Meno strutturate e tecnicamente più vulnerabili, le PMI subiscono l’impatto più violento deli incidenti informatici, trasformando ogni incidente in una potenziale crisi di solvibilità che si ripercuote sull’intero ecosistema interconnesso.
In un mercato come quello italiano, dove il tessuto produttivo è composto per oltre il 90% da PMI, questa esposizione assume una rilevanza critica. L’incremento degli investimenti in cyber defense a cui assistiamo non è infatti il risultato di una consapevolezza endogena, ma una risposta reattiva a fattori esogeni coercitivi.
La cyber sicurezza diventerà presto un requisito di compliance e di accesso al mercato: saranno i partner internazionali e i grandi player industriali a imporre standard ai propri fornitori per proteggere la propria supply chain. Per la PMI italiana, dunque, la protezione cyber non sarà più un’opzione tecnologica, ma una condizione necessaria per mantenere la propria posizione nelle catene del valore globali e mitigare perdite dirette che potrebbero comprometterne la solvibilità.
Inoltre, accanto agli attacchi malevoli, aumentano gli incidenti non intenzionali causati da errori umani o software difettosi. Il rapporto tra eventi dolosi e non dolosi è oggi di circa 3 a 1, ma questi ultimi sono in crescita e possono generare perdite altrettanto rilevanti.
Geopolitica, supply chain e AI: le nuove frontiere del rischio
Il report Global Cyber Risk and Insurance Survey 2026 individua tre grandi driver di trasformazione del rischio cyber.
Il primo è la geopolitica: il cyberspazio è ormai un terreno di conflitto dove si intrecciano attori governativi, criminali e hacktivisti. Sempre più spesso, le interruzioni causate dagli attacchi ransomware sono il risultato di alleanze che integrano obiettivi geopolitici in ecosistemi criminali a scopo di lucro. In questo contesto, i sistemi di AI diventano intrinsecamente tecnologie a duplice uso, integrandosi in ambito militare con tattiche cibernetiche e cinetiche. Inoltre, uno studio del World Economic Forum (WEF) evidenzia che il 64% delle organizzazioni teme attacchi legati a tensioni internazionali, soprattutto nei settori critici come energia, difesa e telecomunicazioni.
Il secondo riguarda le supply chain digitali diventate essenziali per la sicurezza globale, nazionale e di ogni singola organizzazione. Oltre due terzi delle grandi aziende hanno subito incidenti legati a fornitori terzi nell’ultimo anno e, secondo gli esperti, la prossima generazione di attacchi informatici ricorrerà sempre più spesso all’usurpazione dell’identità di fornitori, operatori logistici e fornitori di servizi digitali, sfruttando la fiducia implicita che intercorre tra le organizzazioni e i loro fornitori. Le nuove tecniche includono la clonazione di piattaforme e l’infiltrazione di software con codice malevolo difficilmente rilevabile.
Il terzo driver è l’intelligenza artificiale. Poiché l’utilizzo dell’AI basata su agenti sta diventando sempre più diffuso, essa è destinata a plasmare la portata, la velocità e la precisione delle misure di sicurezza informatica, sia offensive che difensive. L’agentic AI sarà sempre più in grado di pianificare e adattare operazioni a più fasi, sfruttare le vulnerabilità in modo più efficace, apprendere dalle risposte di rilevamento e operare con un intervento umano minimo. L’AI sta, di fatto, abbassando le barriere d’ingresso al cybercrime e aumentando la sofisticazione degli attacchi: deepfake, identità sintetiche e phishing iper-personalizzato stanno diventando strumenti comuni.
Per il mercato italiano, questo fenomeno si è tradotto in un’impennata dei casi di CEO Fraud, con messaggi vocali deepfake che imitano la voce del titolare o del direttore finanziario.
Un rischio ancora largamente non assicurato: il ruolo delle assicurazioni
Il nostro report evidenzia un cambio di paradigma: l’assicurazione cyber non è più solo uno strumento di compensazione economica, ma un elemento attivo di gestione del rischio. Le polizze coprono oggi un ampio spettro di eventi – da attacchi informatici a errori software – includendo costi di ripristino, interruzione dell’attività, spese legali e reputazionali.
In prospettiva, il settore dovrà evolvere su tre direttrici:
- maggiore capacità di modellare rischi sistemici e interconnessi;
- integrazione con strategie di cybersecurity aziendale;
- aumento della penetrazione assicurativa a livello globale: in Italia, la diffusione delle polizze cyber tra le PMI è ancora inferiore al 15%.
In un’economia sempre più digitale e interdipendente, resilienza e assicurazione diventano fattori chiave non solo per le singole imprese, ma per la stabilità dei sistemi economici nel loro complesso.
di Julia Kozlowska, Cyber, BBB, Crime Underwriter Munich Re Italia
