Secondo Clusit, l’Italia è tra i Paesi più esposti dai cyberattacchi. Andrea Stecconi, CEO di Execus , si interroga sulla capacità di conoscere processi e tempi di ripristino per l’operatività aziendale anche in condizioni di crisi.
Il 9,6% degli incidenti cyber registrati a livello globale nel 2025 ha avuto come bersaglio aziende e infrastrutture italiane. In termini assoluti, 507 attacchi gravi secondo il Rapporto Clusit 2026 contro i 357 dell’anno precedente. Una crescita che colloca il Paese tra le economie avanzate più esposte alla minaccia IT. I dati operativi dell’Agenzia per la Cybersicurezza Nazionale confermano la tendenza. A gennaio 2026 il CSIRT Italia ha rilevato 225 eventi cyber, il 42% in più rispetto ai 158 di dicembre 2025, con 39 incidenti a impatto confermato. Tra i settori più colpiti il manifatturiero (19%), il tecnologico (16%) e la sanità (12%).
Crescono gli investimenti per contrastare i cyberattacchi
Di fronte a questo scenario, la risposta del sistema produttivo è misurabile, con le aziende che stanno aumentando sempre più gli investimenti in sicurezza informatica. Secondo Gartner, la spesa globale per la cybersecurity ha raggiunto 213 miliardi di dollari nel 2025, con una crescita superiore al 12% su base annua. E potrebbe arrivare quest’anno a circa 240 miliardi. In Italia, secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, il mercato nazionale ha raggiunto 2,78 miliardi di euro nel 2025, +12% sull’anno precedente, con 7 grandi aziende su 10 che prevedono un ulteriore incremento del budget nel 2026.
Manca un modello di cyber-resilience esteso a tutta l’azienda
Tuttavia, l’aumento degli investimenti in cybersecurity non si traduce automaticamente in una reale capacità di sicurezza. I dati ci dicono che solo il 2% delle aziende ha implementato un modello di cyber-resilience esteso a tutta l’organizzazione, mentre la maggior parte continua a operare con sistemi di sicurezza frammentati. Tra le PMI italiane, il Cyber Index PMI promosso dall’Agenzia per la Cybersicurezza Nazionale, rileva che solo il 15% delle PMI italiane adotta un approccio strutturato alla cybersecurity, mentre il 56% mostra livelli di consapevolezza ancora bassi o molto limitati. Il paradosso è che molte organizzazioni dispongono già di firewall, sistemi di protezione e soluzioni di backup, ma non hanno una visione completa del proprio livello di resilienza.
Quanto tempo è necessario alle aziende per ripartire dopo i cyberattacchi?
Secondo il World Economic Forum, il 54% delle grandi organizzazioni considera proprio la complessità delle infrastrutture digitali e delle supply chain uno dei principali ostacoli alla cyber-resilience. Mentre il 90% non ha ancora un livello di maturità sufficiente per contrastare le minacce più avanzate Pertanto, più un’azienda è interconnessa, più è esposta, e più fatica a proteggersi in modo coerente. Ma questa complessità non incide solo sulla prevenzione degli attacchi, influisce soprattutto sulla capacità di ripartire quando un incidente si verifica.
La domanda allora diventa inevitabile: quanto tempo serve davvero alle aziende per ripartire dopo un attacco IT? Secondo Statista, il downtime medio delle aziende USA dopo un attacco ransomware è di 24 giorni e il costo medio supera 1,8 milioni di dollari, considerando fermo operativo, perdita di produttività e attività di recovery. Per le violazioni di dati in senso più ampio, il costo medio globale sale oltre i 4 milioni di dollari.
Cosa insegna il caso CrowdStrike
Il caso CrowdStrike del luglio 2024 offre un esempio concreto di questi ordini di grandezza. Un aggiornamento software difettoso ha bloccato circa 8,5 milioni di sistemi Windows, colpendo compagnie aeree, banche e ospedali in tutto il mondo. La causa tecnica è stata identificata rapidamente, ma il ripristino completo ha richiesto giorni e le perdite dirette per le aziende Fortune 500 sono state stimate a 5,4 miliardi di dollari. Con una copertura assicurativa cyber largamente insufficiente rispetto all’esposizione reale. Ciò dimostra quanto la cybersecurity non dipenda solamente dalla presenza di firewall o sistemi di backup per la prevenzione degli attacchi. Ma anche, e soprattutto, dalla capacità di conoscere e testare in anticipo i propri processi di ripristino per garantire continuità operativa anche in condizioni di crisi. In altre parole, dalla maturità della propria cyber-resilience.
La maturità della cybersecurity aziendale
Normative europee come NIS2 e DORA stanno andando in questa direzione ampliando le responsabilità del management, chiedendo alle aziende non solo di proteggere i sistemi ma di dimostrare resilienza operativa e capacità di gestione degli incidenti. Tuttavia, in uno scenario in cui gli attacchi informatici sono sempre più frequenti, la vera differenza non è tra chi viene colpito e chi no, ma tra chi riesce a ripartire rapidamente e chi rimane fermo per giorni o settimane. È proprio nella capacità di conoscere, misurare e testare i tempi di ripartenza – e quindi ridurre drasticamente il tempo necessario per tornare operativi – che si misura oggi la maturità della cybersecurity aziendale.
