Secondo il rapporto presentato da Clusit, con un +49% di attacchi rispetto al 2024, il 2025 ha rappresentato un anno record per l’impatto della criminalità informatica su diversi settori. L’indagine si basa sull’analisi di cyber attacchi noti, andati a buon fine nel 2025 e di particolare gravità, che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali sulle vittime e che rappresentano quindi solo una quota del totale degli incidenti globali.
Il ruolo sempre maggiore dell’AI nella criminalità informatica
L’Italia si conferma tra i bersagli privilegiati dal cyber crimine, attraente di là della sua dimensione economica. Nel nostro Paese infatti si è verificato nel 2025 il 9,6% degli incidenti rispetto al resto del mondo, +42% rispetto al 2024. In numeri assoluti, sono stati rilevati 507 incidenti in confronto ai 357 del 2024. Il perimetro, pur circoscritto, ha evidenziato un cambiamento radicale nello scenario globale della cyber insicurezza negli ultimi 5 anni, caratterizzati da un‘impennata degli incidenti cyber del 157%. Oltre alla naturale evoluzione delle minacce, l’AI ha certamente agito da moltiplicatore di rischio, come emerso nel corso della presentazione.
Le cinque variabili chiave e la criminalità informatica
Per evidenziare le tendenze emergenti, il Rapporto Clusit 2026 si concentra come sempre su 5 variabili chiave: categorie di vittime, profili degli aggressori, tecniche impiegate, distribuzione geografica degli incidenti, loro impatto.
Anna Vaccarelli, presidente di Clusit L’AI ridefinisce la cybersicurezza. Infatti i sistemi agentici autonomi potenziano la difesa, ma introducono nuove sfide, quali vulnerabilità manipolabili – tramite dati di addestramento alterati o difetti di progettazione. Rendendo così l’AI stessa un’arma potente in mano agli attaccanti, dalla creazione di software malevolo, a tecniche raffinate di esplorazione delle vulnerabilità. Serve dunque diffondere consapevolezza e adottare strategie oltre le barriere classiche: prevenzione avanzata, monitoraggio costante e progettazione resiliente.
Il cybercrime, con l’obiettivo di estorcere denaro, si conferma come negli anni precedenti la motivazione di quasi 9 incidenti su 10 (89% del totale), +55% rispetto al numero di incidenti dell’anno precedente. Questo andamento, secondo Clusit, conferma la commistione, quando non l’integrazione, tra criminalità ‘tradizionale’ e criminalità ‘digitale’. Questa porta a reinvestire in questo business i proventi delle attività precedenti per aumentare le risorse a disposizione di chi attacca, a fronte di ricavi sempre maggiori.
In crescita anche l’Attivismo (10%), mentre sono rimaste sostanzialmente costanti le distribuzioni di Spionaggio/ Sabotaggio e Guerra dell’Informazione. In Italia attive in particolare due tipologie di attaccanti: i cybercriminali (61%) e gli attivisti (39%). Una minima percentuale di incidenti nella categoria Spionaggio/Sabotaggio (0,4%, vs 3% del dato globale). Crescita maggiore per l’attivismo, +145% rispetto al 2024, con eventi di matrice geopolitica correlati ai conflitti in essere.
Quali sono i bersagli della criminalità informatica
L’analisi delle vittime evidenzia che nel 2025 quasi un incidente su 5 a livello globale è avvenuto a danno di obiettivi multipli. Si tratta di campagne di attacco destinate a colpire indiscriminatamente organizzazioni differenti per settore o dimensione; quindi, non basate su peculiarità delle stesse, +96% rispetto all’anno precedente. Si tratta di un segnale preoccupante secondo, dovuto alla capacità dei soggetti malevoli di massimizzare su scala le proprie operazioni, e, soprattutto, alla fragilità intrinseca delle infrastrutture tecnologiche delle vittime.
Seguono il settore Governativo, Militare e Forze dell’Ordine, colpito dal 12% degli attacchi, e la Sanità, dall’11.Il comparto manifatturiero, colpito nel 2025 dal’8% degli attacchi globali, ha visto una crescita del 79% anno su anno. Il settore dei servizi ICT, nel 2025 ha subìto il 46% di incidenti in più rispetto al 2024, mentre nel settore Finanziario/Assicurativo si è verificato il 6,3% degli incidenti mondiali, +27%.
La situazione nel nostro Paese: ecco i comparti nel mirino
Nel nostro Paese, il settore Governativo, Militare, Forze dell’Ordine è stato il più attaccato nel 2025, con oltre il 28% degli incidenti, in crescita in valore assoluto del 290% rispetto al 2024. Seguono il comparto Manifatturiero, con il 12,6% degli incidenti del campione. La categoria Multiple Targets ha subìto il 12,4% degli incidenti; quella dei Trasporti e Logistica il 12%, ma ha visto un’impennata del 134,6% anno su anno.
Nel settore del commercio – che include sia dettaglio che ingrosso – il numero degli attacchi è quasi raddoppiato rispetto al 2024. Il settore sanitario ha invece visto nel 2025 una riduzione dell’incidenza degli attacchi sul totale rispetto all’anno precedente. In generale, nel nostro Paese è emersa nel 2025 un’inversione di tendenza rispetto al passato, con una maggiore concentrazione degli eventi su un numero più limitato di settori verso i quali gli attaccanti hanno ottenuto risultati più rilevanti.
La distribuzione geografica delle vittime della criminalità informatica
Nel 2025 il 58% degli incidenti di cyber sicurezza è avvenuto sui territori americano ed europeo, con un incremento pari al 41% in America e al 21% in Europa. Sono però cresciuti a tre cifre gli incidenti nel continente asiatico (+131%), che è stato colpito dal 19% degli attacchi, mentre il trend in Oceania appare in leggera decrescita (-1%). Sono aumentati, inoltre, anche gli incidenti verso località multiple (+61%), con attacchi sferrati senza un preciso obiettivo geografico. La lettura dei dati della distribuzione geografica delle vittime costituisce indirettamente – come illustrato dagli esperti di Clusit – una fotografia di come stiano variando la digitalizzazione e la normazione sui temi legati alla cybersecurity nel mondo. Si nota, infatti, che le normative che impongono la denuncia da parte delle vittime di incidenti incidono con effetti che si manifestano progressivamente nel corso degli anni.
Clusit spiega le tecniche di attacco
Nel 2025 un incidente su 4 nel mondo è stato causato da Malware: questa tecnica si conferma la più efficace tra quelle note, in aumento del 18% rispetto al 2024. Tuttavia, per oltre un terzo degli incidenti registrati nel 2025 (+8%) non è stato possibile determinare la tecnica utilizzata, nonostante il rafforzamento delle normative e degli obblighi di denuncia: si parla quindi di tecniche ‘undisclosed’. Il Rapporto Clusit evidenzia che troppo spesso le comunicazioni ufficiali si limitano agli elementi strettamente richiesti dalla legge.
Le Vulnerabilità
Auspicano quindi una maggiore trasparenza tecnica che, gestita in modo strutturato e responsabile, potrebbe favorire una collaborazione più efficace tra i difensori, analogamente a quanto avviene da tempo nel mondo cybercriminale. Contribuendo a ridurre l’attuale squilibrio che caratterizza lo scenario cyber e rafforzando la resilienza collettiva dell’ecosistema digitale. Le Vulnerabilità vengono sfruttate nel 16.5% dei casi, +65%, mentre gli attacchi sferrati con tecniche di Phishing e Social Engineering subiscono un +75%, con il contributo dell’AI. In crescita del 58% vs 2024 il ricorso a Tecniche Multiple.
In Italia aumentano gli attacchi della criminalità informatica alla PA
Nel nostro Paese, nel 2025 sono avvenuti principalmente incidenti DDoS (38,5% dei casi, erano il 21% nel 2024). Il Malware è invece sceso al 23%, di 14 punti percentuali rispetto al 2024. Si tratta, secondo i ricercatori di Clusit, di una situazione coerente con l’aumento degli incidenti subìti dalla pubblica amministrazione e con l’impennata di incidenti di tipologia attivista. Sebbene non sia automatico che tutti i DDoS siano legati all’attivismo, né che viceversa questo si basi sempre sulla tecnica DDoS, spesso esiste tuttavia una correlazione tra i due fenomeni.
Per la sua semplicità e per l’impatto mediatico che può generare, il DDoS è infatti uno degli strumenti favoriti e più utilizzati negli attacchi dimostrativi. Phishing /Ingegneria Sociale sono invece stati la causa del 12,4% degli incidenti, +66% vs 2024. Probabilmente grazie all’uso ormai massivo dell’AI, che permette di creare, in maniera estremamente semplice e alla portata di tutti, email e messaggi, sia testuali che vocali, sempre più realistici e verosimili.
Sempre più grave l’impatto degli incidenti
Il numero degli incidenti ‘ad alto impatto’ nel 2025 è cresciuto del 66% rispetto all’anno precedente, attestandosi al 55% del totale. Gli incidenti a media/bassa gravità costituiscono meno del 15% del totale si sono ridotti del 7% in valore assoluto. La crescita degli incidenti ‘critici’ si è attestata al 46% anno su anno, che diventa il 60% includendo il numero degli incidenti di gravità ‘Estrema’. La somma degli incidenti di gravità ‘Critica’ ed ‘Estrema’ ha costituito un terzo del numero di eventi nel campione mondiale analizzato dagli esperti Clusit.
Lo Spionaggio e la Guerra dell’Informazione
Gli incidenti che hanno avuto come obiettivi lo Spionaggio e la Guerra dell’Informazione sono stati per 70% di gravità ‘Critica’ ed ‘Estrema’; il settore maggiormente colpito da incidenti di gravità ‘Critica’ ed ‘Estrema’ è stato quello sanitario, con il 64% degli eventi. Come rilevato già negli scorsi anni, il dato italiano si discosta invece parzialmente da quello internazionale. Gli impatti elevati sono infatti notevolmente inferiori rispetto al dato globale – poco più del 39% –. Mentre gli incidenti con gravità medio/bassa si assestano al 52%, raddoppiando rispetto al 2024, con una variazione percentuale in crescita del 97%.
