Per la cybersecurity, ogni anno sembra peggiore del precedente. Secondo il Rapporto Clusit 2025, pubblicato in occasione del Security Summit Streaming Edition, sono stati registrati nei primi sei mesi dell’anno 2.755 attacchi informatici gravi a livello mondiale, in aumento del 36% rispetto al secondo semestre del 2024. È il numero più alto mai registrato dal 2011 da quando l’Associazione Italiana per la Sicurezza Informatica iniziò a monitorare sistematicamente gli incidenti cyber di pubblico dominio.
La frequenza degli attacchi è ormai impressionante: oltre 15 incidenti al giorno, contro i 9 dell’ultimo semestre 2024. Ma a preoccupare non è solo la quantità ma anche la qualità con l’82% degli episodi che ha avuto un impatto “critico” o “elevato”, rispetto al 77% del 2024 e al 50% del 20202.
“Le analisi dei dati mettono in evidenza un marcato squilibrio tra la crescente capacità offensiva degli attaccanti e l’efficacia delle contromisure, purtroppo sempre più a vantaggio degli attaccanti”, ha dichiarato Anna Vaccarelli, presidente di Clusit. “Se questa tendenza dovesse consolidarsi, il problema rischia di espandersi coinvolgendo tutto il sistema organizzativo, industriale e sociale”.
Negli ultimi cinque anni e mezzo, il Clusit ha censito 15.717 attacchi gravi, pari al 61% di tutti quelli registrati dal 2011. Un’escalation che dimostra come la guerra digitale sia ormai parte integrante degli equilibri geopolitici e industriali del pianeta. E l’Italia, con il 10,2% degli attacchi globali, si conferma uno dei bersagli principali al mondo.
Dalla rapina digitale alla guerra d’informazione
La principale motivazione criminale resta il cybercrime, responsabile del 76% degli attacchi globali (2.401 episodi nel primo semestre). Si tratta di un business consolidato, che spazia da furti di dati e frodi finanziarie fino al ransomware, la forma di estorsione digitale più redditizia.
In calo, invece, lo spionaggio informatico e le operazioni di information warfare, che rappresentano un incidente su dieci. Ma c’è un fronte in piena espansione: l’hacktivism, cioè gli attacchi dimostrativi a sfondo politico o sociale. Nei primi sei mesi del 2025, gli episodi classificabili in questa categoria hanno già raggiunto il 59% del totale del 2024, sospinti dalle tensioni geopolitiche e dai conflitti ibridi che ormai attraversano la rete globale.
La geografia degli attacchi riflette un mondo in tensione: l’Europa assorbe un quarto degli incidenti globali (in calo di 5 punti rispetto al 2024), mentre l’Asia registra un incremento del +7%, toccando il massimo storico. Il continente americano resta il più colpito in valore assoluto.
Italia: il 10,2% degli attacchi mondiali
A livello globale di minacce informatiche, ormai l’Italia si conferma tra i Paesi più colpiti. Nei primi sei mesi del 2025 si sono registrati 280 incidenti di particolare gravità, pari al 10,2% del totale mondiale, in aumento rispetto al 9,9% del 2024. È una crescita costante, dal 3,4% del 2021 al 7,6% del 2022, fino alla doppia cifra di quest’anno.
Secondo Clusit, il nostro Paese è stato colpito in modo sproporzionato da attacchi di tipo DDoS – quelli che paralizzano server e servizi saturando la banda di rete – condotti da gruppi di sedicenti attivisti, “molto probabilmente sabotatori coordinati da strutture governative russe”. Tali incursioni hanno un impatto economico medio-basso, ma un effetto dirompente in termini di immagine e continuità operativa.
“In proporzione al dato globale la percentuale di incidenti verso l’Italia risulta anomala, sia rispetto alla dimensione della popolazione che a quella del PIL nazionale. È uno svantaggio competitivo per il Paese”, osserva Luca Bechelli, del Comitato Direttivo Clusit.
Hacktivism batte cybercrime: la prima volta in Italia
Per la prima volta, nel 2025 l’hacktivism supera il cybercrime nel nostro Paese: 54% contro 46%. Un sorpasso storico che segna una svolta nel panorama delle minacce informatiche. Gli attacchi a sfondo politico o sociale, spesso legati a movimenti ideologici o tensioni geopolitiche, hanno già superato di una volta e mezza l’intero bilancio del 2024.
Ad essere colpite maggiormente sono le istituzioni. Il 38% degli attacchi ha colpito siti governativi, militari e delle forze dell’ordine, con una crescita del 600% in un solo anno. Al secondo posto si colloca il settore trasporti e logistica (17%), sempre più vulnerabile a campagne coordinate. “Gli attaccanti cercano di mettere in crisi interi comparti colpendo più segmenti di mercato contemporaneamente e limitando la capacità di garantire approvvigionamento e distribuzione”, spiega Bechelli.
Segue il manifatturiero, bersaglio del 13% degli incidenti, quota superiore alla media globale (8%) e coerente con la struttura produttiva italiana, caratterizzata da un tessuto di Pmi industriali spesso prive di difese adeguate. In aumento anche gli attacchi al commercio al dettaglio, mentre si riducono quelli alla sanità.
Nonostante l’intensità della minaccia, in Italia gli attacchi risultano meno devastanti rispetto alla media mondiale: solo il 7% ha avuto gravità “critica”, contro il 29% globale, mentre gli episodi a gravità “media” rappresentano il 60% del totale nazionale. Una differenza che, però, non deve ingannare perché, la frequenza elevata degli attacchi genera, comunque, un rischio sistemico crescente, tra saturazione delle risorse, danni reputazionali, aumento dei costi di difesa e perdita di fiducia.
“Gli Stati e i gruppi sponsorizzati operano ormai con continuità e metodo”, la Vaccarelli, “accanto alle incursioni tecniche si affianca una persistente attività di disinformazione, che genera disorientamento e incertezza come mai in passato”.
DDoS, malware e phishing: le tecniche più usate
Sul fronte tecnico, gli attacchi DDoS (Distributed Denial of Service) si confermano la modalità più diffusa in Italia, responsabili del 54% degli incidenti, contro appena il 9% a livello globale. Il legame tra DDoS e hacktivism è diretto: l’obiettivo non è rubare dati o denaro, ma interrompere. Bloccare servizi online, oscurare portali istituzionali, paralizzare infrastrutture critiche e catene logistiche. Dopo i DDos, seguono i malware (20%), lo sfruttamento di vulnerabilità (5%) e le tecniche di phishing e social engineering (4%).
A livello mondiale, invece, la situazione è ribaltata: i malware, in particolare i ransomware, restano la minaccia più frequente, responsabili di circa un quarto di tutti gli attacchi. Le tecniche basate su vulnerabilità, DDoS e web attack sono cresciute rapidamente, arrivando a rappresentare già in sei mesi l’83% del volume del 2024.
Un problema industriale e nazionale
Di fronte a un’escalation senza precedenti, il Clusit invoca un cambio di paradigma: non più una difesa “perimetrale”, limitata alla protezione dei sistemi informatici, ma una resilienza strutturale che coinvolga l’intero ecosistema produttivo e istituzionale. La strategia passa per la formazione, la cooperazione pubblico-privato e la piena attuazione delle direttive europee sulla sicurezza digitale, a partire dalla NIS2.
Questo 2025 segna, infatti, il passaggio da una criminalità digitale diffusa a un conflitto sistemico globale, dove cybercriminali, hacktivisti e attori statali operano sullo stesso campo di battaglia, spesso con obiettivi convergenti. E l’Italia, con la sua infrastruttura interconnessa ma ancora fragile, è diventata un vero e proprio laboratorio della vulnerabilità. “Il divario tra chi attacca e chi difende si allarga ogni giorno”, avverte Vaccarelli, “non è più un problema tecnico, ma un tema di sicurezza nazionale“.
