Presentato durante il Security Summit Streaming Edition 2025, il nuovo Rapporto Clusit analizza il panorama delle minacce informatiche nel primo semestre di quest’anno. Gli attacchi informatici continuano a crescere a livello globale (+36% rispetto al semestre precedente), ma il dato più allarmante è un altro: l’82% delle violazioni ha avuto impatti alti o critici, segno che non siamo più di fronte a episodi isolati ma a operazioni pianificate, coordinate e spesso finanziate da strutture statali o criminali complesse.
L’Italia è colpita in modo sproporzionato rispetto alla sua dimensione economica. Il nostro Paese, infatti, si conferma tra i più esposti d’Europa. Nel primo semestre del 2025, oltre il 10% degli attacchi globali ha avuto come bersaglio aziende italiane — pubbliche o private. Un dato enorme se rapportato alle dimensioni della nostra economia: significa che l’Italia subisce un numero di incidenti superiore a quello di nazioni con infrastrutture e volumi digitali molto più ampi, come Germania o Francia. Ma perché accade?
Clusit 2025: Italia, un Paese sotto attacco
Il Rapporto Clusit evidenzia una combinazione di fattori strutturali, culturali e strategici che rendono il nostro sistema più vulnerabile rispetto alla media europea.
In primis, negli ultimi cinque anni la corsa alla digitalizzazione di servizi pubblici e privati — dalla sanità elettronica alla gestione dei trasporti, fino alla pubblica amministrazione online non è stata accompagnata da un adeguato incremento degli investimenti in sicurezza.
Un altro elemento critico è l’elevata frammentazione delle responsabilità in materia di sicurezza informatica. Molte PMI — che costituiscono la spina dorsale del tessuto economico italiano — non dispongono di un Security Operation Center, né di personale dedicato alla gestione del rischio cyber
Un altro aspetto segnalato dal Clusit è la tendenza, ancora diffusa, a confondere la conformità normativa con la sicurezza effettiva.
Molte organizzazioni si limitano a soddisfare requisiti minimi di legge (come GDPR o NIS2), senza evolvere verso un modello di resilienza continua, fatto di monitoraggio costante, test di intrusione periodici e piani di risposta aggiornati. Ma quali sono i settori più colpiti?
I settori più colpiti in Italia nel 2025
Come riporta il Clusit, il 38% degli attacchi in Italia ha colpito enti pubblici o strutture governative, rendendolo il settore pubblico il più bersagliato in assoluto, con una crescita sensazionale rispetto a tutto il 2024: +279%! Gli attacchi sono perlopiù riconducibili a campagne di hacktivismo politico o geopolitico – responsabili del 54% degli attacchi nel nostro Paese – coordinate da gruppi collegati a paesi ostili o a movimenti di disinformazione internazionale; dietro queste violazioni non c’è solo l’obiettivo di arrecare danno economico, ma soprattutto di minare la fiducia dei cittadini nello Stato e nei servizi digitali.
Il settore sanitario continua a destare preoccupazione. Con 337 incidenti nel primo semestre 2025, l’Healthcare realizza il 67% dei 500 incidenti registrati in tutto il 2024, mentre gli attacchi con impatto “critico” sono addirittura raddoppiati rispetto allo scorso anno. A rendere la situazione ancora più delicata è il valore dei dati sanitari nel dark web: secondo le analisi del Clusit, un singolo record medico può valere fino a dieci volte più di un numero di carta di credito. Questo perché contiene informazioni identitarie, anagrafiche e cliniche che permettono di orchestrare frodi assicurative, furti di identità e campagne di estorsione mirate.
Il settore manifatturiero registra una crescita record di incidenti: nel primo semestre 2025 ha già raggiunto il 90% degli attacchi subiti in tutto il 2024, passando dal settimo al quarto posto tra i più colpiti in Italia. La convergenza tra IT e OT (Operational Technology) ha ampliato la superficie d’attacco in modo esponenziale: il Clusit evidenzia che gli incidenti più gravi non mirano solo al furto di dati, ma alla disruption operativa: bloccare una linea di produzione può causare perdite economiche superiori al danno informatico stesso.
Le tecniche di attacco 2025: DDoS al comando, spinta dall’hacktivism
Il Rapporto Clusit 2025 offre un quadro preciso e, per certi versi, sorprendente della distribuzione delle tecniche di attacco in Italia nel primo semestre dell’anno.
Per la prima volta dal 2023, i DDoS (Distributed Denial of Service) tornano al primo posto, rappresentando il 54% di tutti gli incidenti analizzati — una percentuale sei volte superiore alla media globale (9%).
Il dominio dei DDoS deriva dalla crescita esponenziale delle campagne di hacktivismo, che vogliono interrompere l’operatività, attirare l’attenzione mediatica e amplificare il messaggio di protesta. Questa tecnica, infatti, mira a saturare le risorse di rete fino a rendere inaccessibili i servizi online ed è la preferita dai gruppi hacktivist per la sua semplicità e per l’impatto immediato.
Al secondo posto si colloca il malware, responsabile del 20% degli incidenti in Italia nel primo semestre 2025. Pur rimanendo una delle minacce più diffuse, la sua incidenza appare leggermente inferiore rispetto al dato globale (25%) e in calo rispetto agli scorsi anni. Un rallentamento che, secondo il Clusit, non indica una diminuzione del rischio, ma piuttosto una diversificazione delle tecniche di attacco: gli aggressori stanno integrando il malware all’interno di strategie più complesse, spesso multi-vettore, combinando exploit, phishing e attacchi DDoS in campagne coordinate. Il ransomware rimane comunque la variante più redditizia e più usata, grazie al suo ritorno economico immediato e alla capacità di paralizzare completamente i sistemi colpiti.
In terza posizione troviamo gli incidenti “undisclosed”, cioè quelli per i quali non è stato reso pubblico il vettore tecnico utilizzato.
Rappresentano il 15% del totale, una quota significativa che riflette due criticità del panorama italiano:
- la scarsa propensione alla condivisione delle informazioni sugli incidenti, sia nel settore pubblico che in quello privato;
- la persistente mancanza di reporting standardizzato, nonostante le normative — come la Direttiva NIS2 — impongano sempre più obblighi di notifica.
Le campagne di phishing e social engineering rappresentano il 4% degli incidenti totali, un dato stabile ma significativo: l’elemento umano resta infatti la principale porta d’ingresso per i cyberattacchi. Nonostante la diffusione crescente di sistemi di autenticazione forte e MFA, molti attaccanti continuano a puntare sull’inganno, personalizzando i messaggi grazie a strumenti di intelligenza artificiale generativa.
AI agentica: il nuovo fronte della cybersecurity
Una delle sezioni più interessanti del Rapporto Clusit 2025 è dedicata all’intelligenza artificiale agentica, ossia sistemi autonomi capaci di prendere decisioni, apprendere e reagire in tempo reale agli attacchi. Questa tecnologia segna una vera rivoluzione:
- può analizzare volumi enormi di dati in tempo reale;
- rilevare pattern anomali invisibili all’occhio umano;
- rispondere con una velocità impossibile per qualsiasi team SOC tradizionale.
Ma ogni innovazione porta con sé nuovi rischi.
Il Clusit mette in guardia da fenomeni come adversarial learning (manipolazione dei modelli AI da parte degli attaccanti), falsi positivi su larga scala, e nuove superfici d’attacco derivanti proprio dai sistemi autonomi di difesa. L’AI Act europeo classifica le applicazioni di cybersecurity come “high-risk”, imponendo rigidi requisiti di trasparenza, governance e auditing. In parallelo, cresce la necessità di mantenere un bilanciamento tra automazione e controllo umano, per evitare che la fiducia cieca nella macchina diventi essa stessa una vulnerabilità.
Il messaggio del Clusit 2025 è chiaro: la cybersecurity non è più una funzione accessoria, ma una condizione di sopravvivenza digitale. L’incertezza è il nuovo “normal” e la velocità con cui attaccanti e difensori si evolvono determina la capacità di restare competitivi: collaborazione, formazione e innovazione tecnologica diventano gli unici veri moltiplicatori di resilienza.
Come conclude il Rapporto: “Non siamo di fronte a fenomeni passeggeri, ma a una tendenza consolidata e di lungo periodo”. E solo chi saprà interpretarla — non subirla — potrà davvero definirsi sicuro.
