Il 2025 segna un nuovo record storico per la criminalità informatica: nel mondo gli attacchi cyber gravi sono cresciuti del 49% rispetto all’anno precedente, arrivando a quota 5.265, che rappresenta il maggior numero registrato fino ad oggi in termini assoluti. L’Italia si conferma un bersaglio del cyber crimine, attraente di là della sua dimensione economica: nel nostro Paese si è verificato infatti nel 2025 il 9,6% degli incidenti rispetto al resto del mondo, con un aumento del 42% rispetto al 2024. In numeri assoluti, sono stati rilevati 507 incidenti in confronto ai 357 del 2024. I dati emergono dal Rapporto Clusit 2026, presentato questa mattina in anteprima alla stampa dai ricercatori di Clusit, Associazione Italiana per la Sicurezza Informatica, che si basa sull’analisi di cyber attacchi noti, andati a buon fine nel 2025 e di particolare gravità, che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali sulle vittime e che rappresentano quindi solo una quota del totale degli incidenti globali.
Il perimetro, pur circoscritto, ha evidenziato un cambiamento radicale nello scenario globale della cyber-insicurezza negli ultimi cinque anni, caratterizzati da un‘impennata degli incidenti cyber del 157%. Oltre alla naturale evoluzione delle minacce, l’Intelligenza Artificiale ha certamente agito da moltiplicatore di rischio, come emerso nel corso della presentazione.
Per evidenziare in modo chiaro le tendenze emergenti, il Rapporto Clusit 2026 si concentra come sempre su cinque variabili chiave: le categorie di vittime, i profili degli aggressori e le tecniche impiegate, la distribuzione geografica degli incidenti e il loro impatto.
“L’Intelligenza Artificiale ridefinisce la cybersicurezza: i sistemi agentici autonomi potenziano la difesa, ma introducono nuove sfide, quali vulnerabilità manipolabili – tramite dati di addestramento alterati o difetti di progettazione – rendendo l’IA stessa un’arma potente in mano agli attaccanti, dalla creazione di software malevolo, a tecniche raffinate di esplorazione delle vulnerabilità. Serve dunque diffondere consapevolezza e adottare strategie oltre le barriere classiche: prevenzione avanzata, monitoraggio costante e progettazione resiliente”, ha commentato Anna Vaccarelli, presidente di Clusit.
Gli aggressori
Il Cybercrime, con l’obiettivo di estorcere denaro, si conferma come negli anni precedenti la motivazione di quasi 9 incidenti su 10 (89% del totale), in crescita del 55% rispetto al numero di incidenti dell’anno precedente.
Questo andamento, secondo gli esperti di Clusit, conferma la commistione, quando non l’integrazione, tra criminalità “tradizionale” e criminalità “digitale” che porta a reinvestire in questo business i proventi delle attività precedenti per aumentare le risorse a disposizione di chi attacca, a fronte di ricavi sempre maggiori.
Ha continuato a crescere, nell’anno, il fenomeno dell’Attivismo (+10%), mentre sono rimaste sostanzialmente costanti le distribuzioni di Spionaggio/ Sabotaggio e Guerra dell’Informazione.
In Italia sono apparse principalmente attive due tipologie di attaccanti nel 2025: i cybercriminali – 61% – e gli attivisti (39%). È stata inoltre rilevata una minima percentuale di incidenti nella categoria Spionaggio / Sabotaggio (0,4%, contro il 3% del dato globale).
A registrare la crescita maggiore tra le cause degli incidenti è stato l’attivismo, che è cresciuto nel 2025 del 145% rispetto al 2024, con eventi di matrice geopolitica correlati ai conflitti in essere.
“L’Italia risulta particolarmente esposta ai fenomeni di cyber-attivismo: pur con finalità spesso solo dimostrative e impatti sostanziali limitati, questi attacchi colpiscono nel segno, attirando enorme attenzione mediatica. L’effetto reputazionale ne esce amplificato da due fattori principali: da un lato, la scarsa preparazione delle nostre organizzazioni, che le rende vulnerabili anche ad attacchi non mirati a danni gravi; dall’altro, una comunicazione ancora immatura – da parte di media, cittadini e vittime stesse – che tende a ingigantire la percezione del rischio anziché contestualizzarlo adeguatamente”, ha spiegato Luca Bechelli, del Comitato Direttivo Clusit.
Chi viene attaccato
L’analisi delle vittime evidenzia che nel 2025 quasi un incidente su cinque a livello globale è avvenuto a danno di obiettivi multipli: si tratta di campagne di attacco destinate a colpire indiscriminatamente organizzazioni differenti per settore o dimensione; quindi, non basate su peculiarità delle stesse, con una crescita del 96% rispetto all’anno precedente. Si tratta di un segnale preoccupante secondo gli esperti Clusit, dovuto alla capacità dei soggetti malevoli di massimizzare su scala le proprie operazioni, e, soprattutto, alla fragilità intrinseca delle infrastrutture tecnologiche delle vittime.
Seguono il settore Governativo, Militare e delle Forze dell’Ordine, colpito dal 12% degli attacchi, e la Sanità, dall’11%, in cui si sono registrati incidenti in crescita del 19% rispetto al 2024.
Il comparto manifatturiero, colpito nel 2025 dal’8% degli attacchi globali, ha visto una crescita del 79% anno su anno.
Il settore dei servizi ICT, nel 2025 ha subìto il 46% di incidenti in più rispetto al 2024: si tratta di una particolare debolezza del settore, considerato che una maggiore concentrazione di competenze e di budget dedicato alle tecnologie dovrebbero favorire una maggiore capacità di resistenza alle minacce crescenti.
Segue il settore Finanziario/Assicurativo, in cui si è verificato il 6,3% degli incidenti mondiali, con un incremento del 27%.
“L’analisi dei settori maggiormente colpiti ci mostra che per i cyber criminali è ancora possibile ottenere risultati cospicui colpendo la tecnologia di base – quella comunemente a disposizione nelle aziende – oppure impiegando tecniche di attacco standard. L’uso crescente e sempre più sofisticato dell’Intelligenza Artificiale ha certamente consolidato l’automazione di tipologie di attacco che fino a qualche anno fa erano solo manuali“, ha affermato Sofia Scozzari, del Comitato Direttivo Clusit.
Nel nostro Paese, il settore Governativo, Militare, Forze dell’Ordine è stato il più attaccato nel 2025, con oltre il 28% degli incidenti, in crescita in valore assoluto del 290% rispetto al 2024;
Seguono il comparto Manifatturiero, con il 12,6% degli incidenti del campione; i ricercatori di Clusit hanno inoltre evidenziato che il 16% degli eventi verificatisi nel 2025 livello mondiale nel settore Manifatturiero ha riguardato realtà italiane.
La categoria Multiple Targets ha subìto il 12,4% degli incidenti; quella dei Trasporti e Logistica il 12%, ma ha visto un’impennata del 134,6% anno su anno.
Nel settore del commercio – che include sia dettaglio che ingrosso – il numero degli attacchi è quasi raddoppiato rispetto al 2024.
Il settore sanitario nel nostro Paese ha invece visto nel 2025 una riduzione dell’incidenza degli attacchi sul totale rispetto all’anno precedente, registrando l’1,8% degli incidenti.
In generale, nel nostro Paese è emersa nel 2025 un’inversione di tendenza rispetto al passato, con una maggiore concentrazione degli eventi su un numero più limitato di settori verso i quali gli attaccanti hanno ottenuto risultati più rilevanti: potrebbero essere effettivamente settori più bersagliati di altri, oppure intrinsecamente meno capaci di difendersi e mitigare gli effetti degli incidenti che hanno successo rispetto a tutti gli altri, secondo gli esperti di Clusit.
La distribuzione delle vittime per area geografica
Nel 2025 il 58% degli incidenti di cyber sicurezza è avvenuto sui territori americano ed europeo, con un incremento pari al 41% in America e al 21% in Europa.
Sono però cresciuti a tre cifre gli incidenti nel continente asiatico (+131%), che è stato colpito dal 19% degli attacchi, mentre il trend in Oceania appare in leggera decrescita (-1%).
Sono aumentati, inoltre, anche gli incidenti verso località multiple (+61%), con attacchi sferrati senza un preciso obiettivo geografico.
La lettura dei dati della distribuzione geografica delle vittime costituisce indirettamente – come illustrato dagli esperti di Clusit – una fotografia di come stiano variando la digitalizzazione e la normazione sui temi legati alla cybersecurity nel mondo: si nota, infatti, che le normative che impongono la denuncia da parte delle vittime di incidenti incidono con effetti che si manifestano progressivamente nel corso degli anni.
Le tecniche di attacco
Nel 2025 un incidente su quattro nel mondo è stato causato da Malware: questa tecnica si conferma la più efficace tra quelle note, in aumento del 18% rispetto al 2024.
Tuttavia, per oltre un terzo degli incidenti registrati nel 2025 (+8 punti percentuali) non è stato possibile determinare la tecnica utilizzata, nonostante il rafforzamento delle normative e degli obblighi di denuncia: si parla quindi di tecniche “undisclosed”.
Gli autori del Rapporto Clusit evidenziano che troppo spesso le comunicazioni ufficiali si limitano agli elementi strettamente richiesti dalla legge. Auspicano quindi una maggiore trasparenza tecnica che, gestita in modo strutturato e responsabile, potrebbe favorire una collaborazione più efficace tra i difensori, analogamente a quanto avviene da tempo nel mondo cybercriminale, contribuendo a ridurre l’attuale squilibrio che caratterizza lo scenario cyber e rafforzando la resilienza collettiva dell’ecosistema digitale.
Le Vulnerabilità vengono sfruttate nel 16.5% dei casi, con una crescita del 65%, mentre gli attacchi sferrati con tecniche di Phishing e Social Engineering subiscono un incremento del 75%, con il contributo sostanziale dell’IA.
Rilevato in crescita del 58% rispetto al 2024 il ricorso a Tecniche Multiple, tipicamente utilizzate in operazioni particolarmente complesse da parte di attori state-sponsored; Gli Attacchi Web, analogamente, sono cresciuti del 62%.
Nel nostro Paese, nel 2025 sono avvenuti principalmente incidenti DDoS (38,5% dei casi, erano il 21% nel 2024). Il Malware è invece sceso al 23%, di 14 punti percentuali rispetto al 2024.
Si tratta, secondo i ricercatori di Clusit, di una situazione coerente con l’aumento degli incidenti subìti dalla pubblica amministrazione e con l’impennata di incidenti di tipologia attivista: sebbene non sia automatico che tutti i DDoS siano legati all’attivismo, né che viceversa questo si basi sempre sulla tecnica DDoS, spesso esiste tuttavia una correlazione tra i due fenomeni. Per la sua semplicità e per l’impatto mediatico che può generare, il DDoS è infatti uno degli strumenti favoriti e più utilizzati negli attacchi dimostrativi.
Phishing /Ingegneria Sociale nel nostro Paese sono invece stati la causa del 12,4% degli incidenti, in aumento del 66% rispetto allo scorso anno, probabilmente grazie all’uso ormai massivo dell’AI, che permette di creare, in maniera estremamente semplice e alla portata di tutti, email e messaggi, sia testuali che vocali, sempre più realistici e verosimili.
La gravità degli incidenti
Il numero degli incidenti “ad alto impatto” nel 2025 è cresciuto del 66% rispetto all’anno precedente, attestandosi al 55% del totale.
Gli incidenti a media/bassa gravità costituiscono meno del 15% del totale si sono ridotti del 7% in valore assoluto.
La crescita degli incidenti “critici” si è attestata al 46% anno su anno, che diventa il 60% includendo il numero degli incidenti di gravità “Estrema”.
La somma degli incidenti di gravità “Critica” ed “Estrema” ha costituito un terzo del numero di eventi nel campione mondiale analizzato dagli esperti Clusit.
Gli incidenti che hanno avuto come obiettivi lo Spionaggio e la Guerra dell’Informazione sono stati per 70% di gravità “Critica” ed “Estrema”; il settore maggiormente colpito da incidenti di gravità “Critica” ed “Estrema” è stato quello sanitario, con il 64% degli eventi.
Come rilevato già negli scorsi anni, il dato italiano si discosta invece parzialmente da quello internazionale.
Gli impatti elevati sono infatti notevolmente inferiori rispetto al dato globale – poco più del
39% – mentre gli incidenti con gravità medio/bassa si assestano al 52%, raddoppiando rispetto al 2024, con una variazione percentuale in crescita del 97%.
Analisi Fastweb + Vodafone della situazione italiana in materia di cyber-crime: cyber attacchi più mirati ed evoluti, phishing sempre più sofisticato e crescita degli attacchi «zero day»
Anche per l’anno 2025 Fastweb + Vodafone ha contribuito a fotografare la situazione del cyber crime in Italia sulla base dei dati del proprio Security Operations Center (SOC), attivo 24 ore su 24 e dai propri centri di competenza di sicurezza informatica.
Dall’analisi effettuata sull’infrastruttura di rete di Fastweb, costituita da oltre 7 milioni di indirizzi IP pubblici, su ognuno dei quali possono comunicare centinaia di dispositivi e server, sono stati registrati nel 2025 oltre 87 milioni di eventi di sicurezza – ovvero attività sospette o potenzialmente malevole rilevate sulla rete – in aumento del 26% rispetto al 2024.
I settori più colpiti vedono al primo posto la Pubblica amministrazione (36% del totale) e al secondo posto quello dei servizi (oltre il 14% del totale).
Un elemento particolarmente rilevante è il forte aumento dei dispositivi compromessi: il numero di indirizzi IP unici infetti è più che raddoppiato rispetto al 2024, indicando che la superficie di attacco continua ad ampliarsi.
Allo stesso tempo si osserva un cambiamento nelle strategie dei cyber criminali. Il numero di varianti di malware identificate è leggermente diminuito (da 160 a 154), segno che gli attaccanti tendono a concentrarsi su un numero più ristretto di strumenti, ma più efficaci, spesso supportati anche da tecniche di automazione e intelligenza artificiale.
In crescita anche gli attacchi DDoS, utilizzati per sovraccaricare siti e servizi online fino a renderli inutilizzabili: nel 2025 ne sono stati registrati quasi 6.000, con un aumento del 26% rispetto all’anno precedente.
Le analisi dei sistemi di sicurezza di 7Layers, società di cybersecurity del gruppo Fastweb + Vodafone, indicano che le modalità di attacco restano nel complesso simili a quelle osservate negli anni precedenti. Nella maggior parte dei casi gli attacchi vengono intercettati nella fase di “execution”, cioè nel momento in cui il software malevolo tenta di avviarsi all’interno dei sistemi compromessi: questa tipologia rappresenta circa il 38% delle attività malevole rilevate.
Si osserva inoltre una crescente sofisticazione delle campagne di phishing, utilizzate per indurre utenti e dipendenti a fornire credenziali o ad aprire contenuti malevoli, e un aumento degli attacchi che sfruttano vulnerabilità informatiche appena scoperte e non ancora corrette dai produttori dei software (cosiddette “zero-day”). In questi casi i cyber criminali riescono a colpire sistemi e organizzazioni prima che siano disponibili aggiornamenti o contromisure di sicurezza, aumentando così l’efficacia degli attacchi.
