Con la digitalizzazione che avanza, l’intelligenza artificiale che moltiplica velocità e scala degli attacchi e la geopolitica che entra sempre più nel perimetro digitale, la cÜbersicherheit non è più una linea di difesa tecnica. È diventata uno dei fronti più sensibili per imprese, istituzioni e cittadini. Mit Cybersicherheitsbericht 2026 fotografa questo salto di qualità: la Cyber-Bedrohung non cresce soltanto nei numeri, ma cambia intensità, bersagli e capacità di produrre danni. Gli attacchi diventano più mirati, il ransomware accelera, le campagne malware si muovono su scala globale e le vulnerabilità assumono un peso crescente anche sul piano strategico.
Il rapporto, realizzato da Tim e Cyber Security Foundation con il contributo del Centro Studi Tim, si basa sulle evidenze raccolte dai presìdi di difesa del Gruppo Tim nel corso del 2025 e integra gli approfondimenti di Insikt Group, la unità di Threat Intelligence di Recorded Future. L’obiettivo non è limitarsi a contare gli attacchi, ma leggere l’evoluzione del rischio cyber collegando minacce, vulnerabilità, settori più esposti, regole e tecnologie emergenti.
La cybersicurezza non è più materia per soli addetti ai lavori. È una condizione essenziale per garantire continuità operativa, competitività industriale e sicurezza nazionale. Quando un incidente blocca un servizio, interrompe una filiera, espone dati sensibili o paralizza un’infrastruttura pubblica, l’effetto non resta confinato al bersaglio colpito. Si propaga lungo l’intero sistema economico e sociale.
Cyber Security Report 2026: DDoS più mirati, ransomware in accelerazione
Sul fronte DDoS, acronimo di Distributed Denial of Service, attacchi che puntano a rendere irraggiungibile un sito, una piattaforma o un servizio digitale sovraccaricandolo con un’enorme quantità di traffico generato da più fonti, il 2025 mostra un apparente paradosso. Gli eventi rilevati sono circa 4.300, in calo del 36% rispetto al 2024, anche per effetto delle azioni intraprese per rafforzare la difesa complessiva. La diminuzione dei volumi non coincide però con una minaccia più debole. Le campagne risultano più concentrate, in particolare a marzo, giugno e ottobre, e generano una pressione complessiva più elevata.
Cambia anche la forma degli attacchi. Diminuiscono i casi ad alta intensità oltre i 20 Gigabit al secondo, passati dal 39% al 29%, mentre aumenta del 19% il tempo medio di esposizione. La maggior parte degli eventi continua a chiudersi entro i 30 minuti, ma la maggiore persistenza segnala un’evoluzione tattica. Alcune tecniche possono inoltre avvalersi dell’intelligenza artificiale per accrescere rapidità ed efficacia. Tra imprese e istituzioni italiane, esclusi gli eventi verso famiglie e cittadini che rappresentano circa sette casi su dieci rilevati dal SOC TIM, il settore Government concentra il 46% degli attacchi DDoS, quasi un evento su due. Seguono servizi professionali, telecomunicazioni e trasporti, quest’ultimo comparto in forte crescita rispetto al 2024. La pressione si sposta dunque verso soggetti ad alta rilevanza sistemica.
Ancora più marcata è l’accelerazione del ransomware, cioè gli attacchi che bloccano o cifrano dati e sistemi informatici per chiedere un riscatto in cambio del ripristino dell’accesso. Nel 2025 sono state registrate oltre 7.400 rivendicazioni a livello globale, con un aumento del 42% rispetto al 2024. In Italia i casi sono 166, in crescita del 14%. Quasi un evento su due riguarda gli Stati Uniti, mentre l’Unione europea è la seconda area più colpita con il 16% dei casi, davanti a Canada e Regno Unito.
Nel quadro europeo cambiano anche le gerarchie. La Germania supera il Regno Unito tra i Paesi più colpiti, mentre l’Italia scende al quarto posto. Nel nostro Paese circa quattro casi su dieci si concentrano nel Nord-Ovest e la Lombardia supera il 30% del totale nazionale. Manifattura e servizi professionali sono i comparti più bersagliati, a conferma del peso della densità industriale, della continuità operativa e della pressione reputazionale come fattori di esposizione.
Alla base della crescita c’è l’industrializzazione del cybercrime. Il numero dei gruppi ransomware censiti aumenta del 40% e l’intelligenza artificiale contribuisce ad automatizzare la produzione di codice malevolo e ad affinare le tecniche di adescamento. L’attacco diventa più scalabile, più rapido e più opportunistico.
Cyber Security Report 2026: Malware globale, vulnerabilità e zero-day
Il rapporto dedica ampio spazio anche alle campagne malware, software malevoli progettati per infettare dispositivi e sistemi, sottrarre dati, prendere il controllo da remoto o preparare attacchi più complessi. Secondo le evidenze di Insikt Group, nella prima metà del 2025 l’attività ha interessato soggetti in circa 200 Paesi. Quasi il 90% dei casi riguarda gli Stati Uniti, mentre in Europa il Paese più colpito è il Regno Unito. La diffusione del phishing in inglese contribuisce a spiegare la maggiore esposizione dei mercati dove questa lingua è più utilizzata online.
Tra le minacce più diffuse cresce il peso dei Rat, strumenti che consentono il controllo remoto e possono aprire la strada a esfiltrazione di dati o ad attacchi più complessi. Aumentano anche le minacce ai dispositivi mobili, in particolare Android, con un’attenzione crescente verso i sistemi di pagamento contactless basati su Nfc. Sul terreno delle vulnerabilità, la dinamica è altrettanto rilevante. Nel 2025 le Cve (Häufige Schwachstellen und Gefährdungen) note, cioè le vulnerabilità pubblicate, hanno sfiorato quota 48.500, con un aumento del 20% rispetto al 2024 e un valore quasi doppio rispetto a tre anni prima. L’intelligenza artificiale accelera sia l’individuazione delle falle a fini di correzione sia la loro possibile trasformazione in strumenti di attacco.
Il dato più sensibile riguarda la natura degli attori coinvolti. Oltre il 50% dell’attività di sfruttamento attribuita risulta riconducibile ad attori state-sponsored. La vulnerabilità non è più soltanto un problema tecnico o criminale: assume una dimensione strategica, perché può essere rapidamente trasformata in capacità operativa.
Und dann ci sono gli zero-day. Es ist falle non ancora note ai produttori e quindi prive di patch, capaci di esporre sistemi e dispositivi a rischi immediati. Non sempre le vulnerabilità di massima severità arrivano nei canali ordinari di divulgazione: alcune acquisiscono un valore di mercato elevato e possono essere impiegate non solo dal cybercrime, ma anche da governi, agenzie di intelligence e aziende della sorveglianza per attività di spionaggio, monitoraggio mirato o operazioni cibernetiche strategiche.
Cyber Security Report 2026: dalla norma alla resilienza europea
La seconda parte del rapporto sposta l’attenzione dal dato operativo alla lettura del rischio. In una società dipendente dal digitale, un attacco non resta confinato alla vittima. Blocchi dell’attività, interruzioni di servizi, perdita di dati e danni reputazionali possono propagarsi lungo servizi essenziali e filiere, generando effetti a catena su clienti, fornitori e controparti. La minaccia cyber mantiene dal 2012 una presenza stabile tra i dieci fattori di preoccupazione più avvertiti a medio termine nella classifica dei rischi globali del World Economic Forum, con la sola eccezione del 2016. È una presenza persistente e prioritaria soprattutto per le imprese europee.
Nel ransomware, tuttavia, la dinamica resta in larga misura opportunistica. Gli attaccanti non seguono direttrici stabili, cambiano forma e obiettivi, colpiscono dove si apre l’occasione. Le analisi dell’ultimo triennio mostrano un basso livello di specializzazione sia a livello globale sia in Italia. Nel nostro Paese solo quattro gruppi mostrano una certa preferenza settoriale, mentre soggetti come LockBit, Rhysida, Hunters International e RansomHub colpiscono in modo generalista.
In diesem Szenario wird die quadro normativo diventa una risposta alla trasformazione del rischio in problema sistemico. Quando gli effetti di un incidente si propagano lungo servizi e filiere, la cybersicurezza non può essere governata solo con più tecnologia o con misure episodiche. Servono regole, processi e responsabilità comuni.
Il baricentro europeo punta a un sistema organizzato, fondato su obblighi e processi per le organizzazioni che operano negli snodi più critici, con NIS2 e DORA, requisiti minimi per prodotti e componenti attraverso il CRA e attenzione alla gestione delle dipendenze di filiera. Le proposte CSA2 e CAIDA affrontano il tema delle dipendenze tecnologiche e dei vincoli giurisdizionali legati a cloud, dati e intelligenza artificiale, aspetti che possono interferire con sovranità e autonomia strategica europea.
Cyber Security Report 2026: AI, quantum e spazio aprono i nuovi fronti
La parte finale del rapporto guarda alle tecnologie emergenti e ai nuovi perimetri del rischio. Mit principale catalizzatore è l’intelligenza artificiale, che agisce come moltiplicatore. Sul fronte offensivo accelera phishing, frodi, abuso di servizi cloud e LLM, prompt injection e manipolazioni. An der Defensivfront può rafforzare triage, analisi delle vulnerabilità e attività dei Security Operation Center. Emergono poi nuove minacce che richiedono nuove definizioni, come promptware, quishing e QRishing. Si apre inoltre una zona critica nell’intersezione tra fisico e digitale, con attacchi che possono riguardare smart glasses e sistemi di realtà virtuale o aumentata.
Un altro fronte decisivo è quello quantistico. La maggiore capacità computazionale potrà mettere in crisi gli attuali sistemi di sicurezza crittografica. Da qui la necessità di soluzioni quantum-safe. Il rischio, però, non appartiene solo al futuro. Alcuni attori ostili possono già oggi intercettare e conservare dati cifrati per decifrarli domani, quando le tecnologie quantistiche lo consentiranno. È la logica dell’“harvest now, decrypt later”, che impone di anticipare le protezioni. Anche lo spazio entra nel perimetro della sicurezza cyber. Con le reti satellitari sempre più centrali per servizi critici, la protezione non può riguardare soltanto il singolo satellite o la singola missione. Diventa un tema di governance, resilienza e responsabilizzazione degli attori che operano in un segmento ormai abilitante per l’economia e la sicurezza.
“La crescita delle minacce cyber conferma che la sicurezza digitale non può più essere considerata un tema esclusivamente specialistico o meramente difensivo. Reti di telecomunicazioni, dati, infrastrutture cloud e sistemi di comunicazione costituiscono asset strategici essenziali per la continuità operativa del Paese e per la competitività del sistema economico. Per questo, la risposta non può limitarsi alla gestione delle emergenze: è necessario investire in sovranità digitale, sviluppo delle competenze e tecnologie sicure, rafforzando al contempo la collaborazione tra istituzioni, industria e mondo della ricerca. In questa prospettiva, la cybersecurity rappresenta una vera e propria leva di crescita e innovazione. Essa contribuisce a generare fiducia, proteggere gli asset strategici nazionali e rendere la trasformazione digitale più resiliente, sostenibile e competitiva nel lungo periodo”, ha dichiarato Alessandra Michelini, Geschäftsführer von Telsy.
“La sicurezza digitale non è più una questione tecnica: è una questione democratica. Gli attacchi informatici sono oggi strumenti di pressione geopolitica, leve di destabilizzazione economica, vettori di interferenza sui processi democratici. Ignorare questa dimensione significa lasciare cittadini, imprese e istituzioni senza gli strumenti per comprendere ciò che sta accadendo. Il Rapporto nasce esattamente da questa responsabilità: rendere accessibile la lettura di una minaccia che cambia continuamente forma e intensità, trasformando la conoscenza in una prima, concreta forma di difesa collettiva. Come Cyber Security Foundation crediamo che la cybersecurity debba diventare una cultura diffusa, capace di parlare alle istituzioni, alle imprese e ai cittadini. Perché un Paese digitalmente più consapevole è, prima di tutto, un Paese più sicuro”, ha evidenziato Marco Gabriele Proietti, fondatore e presidente Stiftung für Cybersicherheit.
“Quando un ospedale non riesce a garantire le cure dopo un’aggressione cibernetica, quando un Comune viene paralizzato da un attacco ransomware, non stiamo parlando di qualcosa di astratto: stiamo parlando di famiglie, di lavoratori, di comunità colpite nel cuore dei loro diritti fondamentali. I dati di questo Rapporto non sono statistiche: sono la misura concreta di una minaccia che ha assunto pieno rilievo parlamentare e nazionale. Come Intergruppo, crediamo che affrontarla richieda una visione politica chiara e una collaborazione strutturale tra pubblico e privato: le istituzioni da sole non bastano, così come non bastano le imprese o la comunità tecnica agendo in ordine sparso. Serve un sistema Paese capace di proteggere insieme i cittadini, le infrastrutture strategiche e la competitività delle nostre imprese. Per questo è essenziale investire in una cultura della sicurezza informatica che sia preventiva e diffusa dalla pubblica amministrazione alle Pmi, dalla scuola fino ai servizi essenziali. La sicurezza digitale è una condizione di libertà e una priorità democratica: il Parlamento ha la responsabilità di tradurla in regole chiare, risorse adeguate e tutele concrete per tutti”, ha dichiarato Alessandro ColucciPräsident vonIntergruppo Parlamentare per la Sicurezza Informatica e Tecnologica.
La sfida non è solo digitale, ma anche umana. Serve una consapevolezza sempre più diffusa del mondo cyber, perché la capacità di proteggere reti, dati e infrastrutture passa anche dai comportamenti, dalle competenze e dalla responsabilità di chi ogni giorno utilizza strumenti e servizi digitali.
