Negli ultimi anni, complice la trasformazione digitale che ha investito l’intera economia europea con il programma Percorso per il decennio digitale1, la cybersicurezza è passata dall’essere una questione riservata a pochi addetti ai lavori a una vera e propria priorità dei diversi attori istituzionali – dai governi alle imprese, fino agli operatori assicurativi. Come sottolinea il Rapporto CLUSIT2, nonostante i budget per la sicurezza informatica siano in crescita, il divario tra la capacità offensiva degli attaccanti e l’efficacia delle contromisure continua ad ampliarsi. Da qui l’aumento sistemico dei rischi e quindi la necessità di spendere le risorse disponibili in modo più efficace e mirato.
In un mondo sempre più interconnesso dalle nuove tecnologie, in cui le relazioni internazionali sono caratterizzate da forme di conflittualità ibrida e da una crescente competizione geopolitica dello spazio digitale, la sicurezza informatica non rappresenta più soltanto una questione tecnologica, ma un fattore di equilibrio economico, che va ad incidere profondamente sulla tenuta stessa della democrazia. Secondo l’ultimo Cyber Readiness Report 2025 di Hiscox Group3 — basato su un campione di oltre 6.000 piccole imprese in sette Paesi internazionali—, più della metà delle PMI (59%) ha subito un attacco informatico nell’ultimo anno. Un terzo delle aziende ha ricevuto sanzioni dopo l’evento e il 27% è stato vittima di ransomware, con l’80% che ha scelto di pagare un riscatto.
La costante crescita delle minacce informatiche rappresenta quindi una sfida per la sicurezza nazionale, mettendo a rischio gli interessi degli Stati e dei cittadini. Stando alle statistiche, nel primo semestre del 2025 è stato raggiunto un record storico con 2.755 incidenti registrati, segnando un aumento del +36% rispetto al semestre precedente. Nello specifico, l’Italia continua a subire una quota sproporzionata degli attacchi, seppur con motivazioni diverse rispetto a quelle riscontrabili in altri Stati del mondo. Il cosiddetto hacktivism, che a livello globale incide solo per l’8%, in Italia rappresenta la motivazione principale, attestandosi al 54% e superando perfino il Cybercrime (46%)4.
A livello globale, la cybersicurezza si inserisce in un contesto di crescente competizione tra Stati. Stati Uniti, Cina e Russia investono massicciamente in capacità offensive e difensive nel cyberspazio, utilizzando operazioni informatiche come strumenti di pressione geopolitica. La NATO ha riconosciuto il dominio cibernetico come “quinto dominio operativo” e sostiene forme di cooperazione bi-multilaterali tra i Paesi membri, come ad esempio il Cyber Defence Centre of Excellence con sede a Tallinn5. Sul piano normativo internazionale, rimane centrale la Convenzione di Budapest sul Cybercrime6, rafforzata nel 2022 con il Secondo Protocollo aggiuntivo, volto a migliorare la cooperazione transfrontaliera nella raccolta delle prove digitali7.
A ciò si aggiungono altre dinamiche che hanno contribuito a rendere problematica la gestione del rischio cyber nella società contemporanea. Difatti, la rapida espansione della digital economy, l’adozione diffusa dello smart working e l’elevata interconnessione delle varie filiere industriali hanno ampliato progressivamente la probabilità di esposizione verso questa tipologia di attacchi. In questo quadro, il rischio informatico incide profondamente sui processi organizzativi delle aziende. I dati derivanti dal Cyber Readiness Report 20258 realizzato da Hiscox attestano come il 39% delle aziende segnali livelli elevati di pressione sul personale coinvolto nella gestione degli attacchi, mente il 32% riporta casi di burnout. Emblematici, ad esempio, i cosiddetti attacchi ransomware – tra le minacce più diffuse e destabilizzanti – che colpiscono indistintamente imprese sia di piccole che di grandi dimensioni.
Nel settore del business, per limitare l’impatto di queste situazioni, le PMI stanno adottando una posizione proattiva e pragmatica per affrontare le minacce crescenti. I dati parlano chiaro: il 94% prevede di aumentare i propri investimenti, nell’ottica di una maggiore resilienza, in sicurezza informatica e protezione dei dati nei prossimi dodici mesi anche grazie all’ausilio dell’intelligenza artificiale9. Quest’ultima, viene vista in maniera ambivalente in termini di sicurezza. Sebbene circa i due terzi dei responsabili della sicurezza (65%) percepisca l’AI più come un asset strategico per il proprio business, gli esperti sono consapevoli dei rischi e delle vulnerabilità emergenti derivanti dall’AI nei prossimi cinque anni. Tra queste rientrano gli attacchi di social engineering (60%), malware e attacchi di phishing (60%) e, non da ultimo, il fatto che l’intelligenza artificiale possa prendere il controllo dei dati aziendali (60%). Di conseguenza, per contrastare gli effetti più perversi dell’AI è necessario assicurarsi che le polizze assicurative, la cui sottoscrizione varia in base alla dimensione dell’azienda, includano i rischi legati all’AI (37%); che le aziende rafforzino il livello di digital literacy dei propri dipendenti sulla consapevolezza delle minacce AI (31%); infine, la necessità di eseguire periodicamente audit sull’uso dell’AI (36%)10.
È in questo contesto che emerge con chiarezza la funzione regolatoria del diritto. L’intensificarsi delle minacce ha infatti spinto il legislatore a rafforzare il quadro normativo. Sul fronte nazionale, la Legge n. 90/202411 rappresenta senza dubbio un pilastro fondamentale, introducendo disposizioni volte a rafforzare la resilienza cibernetica su tutto il territorio e aggiornando il quadro penalistico in materia cyber. Nello specifico, la legge estende i principali obblighi in termini di cybersicurezza e di notifica degli incidenti al Computer Security Incident Response Team (CSIRT) Italia a nuove realtà amministrative e operative. Tra queste rientrano Regioni, Città metropolitane, Comuni con oltre 100.000 abitanti e Aziende sanitarie locali. Inoltre, se da un lato la normativa potenzia i requisiti di cybersicurezza nel procurement pubblico, istituendo il Centro nazionale di crittografia presso l’ACN (Agenzia per la Cybersicurezza Nazionale), dall’altro la stessa va a disciplinare i rapporti tra l’Agenzia, la Polizia Giudiziaria e l’Autorità Giudiziaria per bilanciare le esigenze investigative con quelle di resilienza operativa.
Parallelamente, il Decreto Legislativo n. 138/202412, recependo la Direttiva (UE) 2022/2555 (NIS2)13, si pone l’obiettivo di garantire un livello uniforme di cybersicurezza all’interno dell’Unione, estendendo l’ambito di applicazione a 18 settori (compresa una porzione significativa della PA) e introducendo requisiti minimi di sicurezza più stringenti e sanzioni in linea con le normative del GDPR. In aggiunta a ciò, a completamento del quadro per la digitalizzazione sicura della pubblicazione amministrazione, il cosiddetto Regolamento cloud14, che ha razionalizzato le normative esistenti, stabilendo che le Amministrazioni debbano classificare i dati e i servizi digitali in strategici, critici e ordinari.
Sul fronte comunitario, l’impulso normativo si è concretizzato con l’approvazione del Cyber Resilience Act (CRA)15 (applicabile a partire dall’11 dicembre 2027), che armonizza i requisiti di cybersicurezza per i prodotti con elementi digitali immessi sul mercato. Questo provvedimento si inserisce nel solco sia del Regolamento eIDAS216, che istituisce il portafoglio europeo di identità digitale (EUDI Wallet), sia dell’AI Act17, che enumera regole armonizzate per l’Intelligenza Artificiale basate sulla classificazione del rischio. Da segnalare, inoltre, l’adozione del Cyber Solidarity Act (CSoA)18, finalizzato a rafforzare la capacità dell’UE di rilevare e rispondere in modo coordinato a minacce e incidenti informatici su vasta scala.
In sostanza, emerge come il livello nazionale dialoghi in sinergia con le normative europee, con l’obiettivo di definire una architettura legislativa comune che aumenti la protezione della superficie digitale dell’intera Unione Europea. La cybersicurezza non costituisce più un tema puramente tecnico, ma un elemento strategico finalizzato sia al rafforzamento della sicurezza nazionale che della competitività economica. L’impegno dei prossimi anni consisterà quindi nel trasformare il quadro normativo in pratiche operative effettivamente implementabili, investendo sulla cooperazione tra istituzioni pubbliche e imprese private e sulla diffusione di una maggiore cultura della sicurezza digitale.
A cura di Sauro Mostarda, CEO di Lokky
Note
2 https://clusit.it/rapporto–clusit/
3 https://www.hiscoxgroup.com/hiscox–cyber–readiness–report–2025
4 ibidem
6 https://eur–lex.europa.eu/IT/legal–content/summary/convention–on–cybercrime.html
7 https://www.aisdue.eu/wp–content/uploads/2023/01/Post–Marco–Buccarella.pdf
8https://www.hiscox.ie/sites/ireland–new/files/2025–09/Hiscox%20Cyber%20Readiness%20Report%202025df
9 ibidem
10 ibidem
11 https://www.acn.gov.it/portale/linee–guida–rafforzamento–resilienza
13https://eur–lex.europa.eu/IT/legal–content/summary/cybersecurity–of–network–and–information–systems.html
14 https://www.acn.gov.it/portale/cloud/regolamento–cloud–per–la–pa
15 https://digital–strategy.ec.europa.eu/en/policies/cyber–resilience–act
16 https://digital–strategy.ec.europa.eu/it/policies/eidas–regulation
17 https://eur–lex.europa.eu/legal–content/IT/TXT/PDF/?uri=OJ:L_202401689
18 https://digital–strategy.ec.europa.eu/en/policies/cyber–solidarity
