Il 13° Rapporto di Clusitevidenzia una crescita degli incidenti IT nel mondo e in Italia nel primo semestre 2025 fornendo un’analisi delle nuove minacce. La tendenza globale del periodo infatti mostra un +36% rispetto al secondo semestre 2024, mentre in Italia, l’aumento si assesta al 13%, con 280 incidenti noti di particolare gravità, che costituiscono da soli il 75% degli eventi rilevati nel 2024.
Quest’anno gli incidenti IT registrano un record storico
Il totale degli incidenti registrati a livello globale nel primo semestre del 2025 segna un record storico dall’inizio della pubblicazione del Rapporto Clusit, nel 2011. In particolare, negli ultimi 5 anni e mezzo si è assistito a una netta escalation delle attività ostili, con una crescente intensità e frequenza degli eventi. Complessivamente, nel periodo che va dal 2020 al primo semestre 2025 sono stati registrati 15.717 incidenti, una cifra pari al 61% di quelli verificatisi a partire dal 2011
In crescita anche la gravità
L’impatto medio stimato degli incidenti a livello globale è stato ‘critico’ o ‘elevato’ nell’82% dei casi, contro il 77% del totale nel 2024, dato che nel 2020 si assestava al 50%.
Nel nostro Paese la quota di incidenti con gravità ‘critica’ o ‘elevata’ è stata invece significativamente più bassa che nel resto del mondo. Con rispettivamente il 7% in Italia, contro 29% nel mondo e il 33% in Italia verso 53% a livello globale.
Gli incidenti di gravità ‘media’, al contrario, hanno avuto un’incidenza molto più alta in Italia arrivando a rappresentare il 60% degli incidenti, contro il 18% a livello globale. Ovvero, nel nostro Paese gli attacchi sembrano danneggiare meno che nel resto del mondo: gli incidenti con impatto medio sono molto più numerosi, ma i loro danni risultano circoscritti.
Clusit analizza la tendenza di lungo periodo
Anna Vaccarelli, presidente di Clusit Le analisi dei dati da parte di Clusit, a livello nazionale e globale, mettono in evidenza un marcato squilibrio tra la crescente capacità offensiva degli attaccanti e l’efficacia delle contromisure. Purtroppo sempre più a vantaggio degli attaccanti. La difficoltà crescente nel difendersi porta a un aumento significativo dei rischi. Se questa tendenza dovesse consolidarsi, il problema rischia di espandersi coinvolgendo tutto il sistema organizzativo, industriale e sociale. Questo, insieme all’incremento delle minacce e della loro gravità, ha portato i ricercatori a ribadire che ci troviamo di fronte a una tendenza consolidata e di lungo periodo.
Il rapporto tra Stati e incidenti IT
Oltre all’allarmante aumento delle attività di matrice criminale, le operazioni condotte dagli Stati, direttamente o tramite gruppi sponsorizzati, sembrano ormai diventate la norma, e vengono implementate in modo sistematico. Questo grazie ad un sofisticato arsenale di strumenti offensivi, con diverse finalità ed intensità.
Anna Vaccarelli Questo approccio dei cybercriminali si aggiunge alle tradizionali attività di spionaggio e si concentra su infrastrutture e piattaforme governative, civili e industriali. A ciò si accompagna una persistente attività di disinformazione verso la popolazione, che genera disorientamento e incertezza come mai in passato.
Il primato ‘negativo’ del panorama nazionale
Il nostro Paese si colloca tra quelli che più risultano incapaci di contenere gli attacchi. Nel primo semestre dell’anno, il 10,2% degli incidenti a livello mondiale si è infatti verificato in Italia, contro il 9,9% del 2024. Confermando un’escalation dal 3,4% del 2021 e dal 7,6% del 2022. I ricercatori hanno inoltre evidenziato che nel 2025 l’Italia – rispetto alla media globale – è stata molto più colpita da incidenti di tipo DDoS.
Incidenti realizzati da gruppi di sedicenti attivisti che, in realtà, sono molto probabilmente sabotatori coordinati da strutture governative russe. Pur trattandosi di incidenti con impatti di livello medio-basso, la loro frequenza rende necessarie azioni di mitigazione specifiche.
Incidenti IT in Italia: finalità e settori merceologici più colpiti
Tra gli incidenti avvenuti in Italia nei primi 6 mesi del 2025, la maggioranza si riferisce alla categoria Hacktivism (54%), superando a livello nazionale il peso percentuale del Cybercrime. Le organizzazioni italiane risultano particolarmente vulnerabili a iniziative con finalità dimostrativa, di matrice politica o sociale. Il dato riferito ai primi sei mesi del 2025 rappresenta più di una volta e mezza il totale degli incidenti del 2024. Il Cybercrime è stato invece nel nostro Paese la causa del 46% del totale degli incidenti.
I dati
In questa categoria, si è tuttavia verificato un numero superiore di eventi rispetto a quelli rilevati nello stesso periodo dello scorso anno (130 nel primo semestre 2025 vs 89 nel primo semestre 2024). Il maggior numero di incidenti cyber in Italia avviene in ambito Governativo/Militare/Forze dell’Ordine. Seguono Trasporti/Logistica, Manifatturiero, Commercio al DettaglioIngrosso. In diminuizione invece gli incidenti nel settore Sanità.
Quali le tecniche di attacco preferite
La tecnica prevalente causa degli incidenti in Italia è stata quella dei DDoS, (54%). Con un peso significativamente maggiore rispetto a quello occupato a livello globale, dove costituiscono solo il 9% del totale. I ricercatori Clusit hanno evidenziato in questo caso la correlazione con gli incidenti causati da campagne di Hacktivism. Molto spesso la tecnica di attacco utilizzata dagli hacktivist è proprio il DDoS.
Questo perché si punta a interrompere l’operatività di servizio dell’organizzazione o istituzione individuata come vittima. Obiettivo quello di attenzionare la causa supportata. Quindi l’interruzione di servizi basati su internet può essere un mezzo efficace per rendere evidente al pubblico il proprio messaggio di denuncia o protesta. Seguono, nel nostro Paese, le tecniche basate su Malware, con il 20% degli eventi, su Vulnerabilità (5%), Phishing Social Engineering (4%).
