Dal boom di ransomware alla corsa a NIS2
Il 2025 è stato uno degli anni più critici per la cybersicurezza italiana, con un aumento sia del numero sia della gravità degli attacchi informatici contro PA, aziende e infrastrutture critiche. Ransomware, DDoS, data breach e campagne di phishing hanno messo in luce quanto il sistema Paese fosse ancora vulnerabile, nonostante l’aumento degli investimenti e dell’attenzione mediatica.
Nel 2026 lo scenario resta complesso, ma il contesto normativo e operativo è cambiato: l’entrata a regime della direttiva NIS2 e il rafforzamento dell’Agenzia per la Cybersicurezza Nazionale (ACN) spingono organizzazioni pubbliche e private verso una maggiore maturità nella gestione del rischio cyber. Per capire dove stiamo andando, è fondamentale partire da ciò che è successo nell’ultimo anno.
I numeri del 2025: Italia sotto attacco
Cosa dicono i report Clusit e ACN
Il Rapporto Clusit 2025 fotografa un’escalation globale: nel 2024 sono stati registrati 3.541 incidenti di sicurezza gravi, il dato più alto di sempre, con una crescita del 27% rispetto all’anno precedente. L’Italia è fra i Paesi più colpiti, con un incremento stimato intorno al 15% degli attacchi rispetto al 2023 e una quota di incidenti superiore al suo peso economico.
La Relazione ACN 2024 conferma il cambio di scala anche sul piano operativo: gli eventi cyber gestiti passano da 1.411 nel 2023 a 1.979 nel 2024 (+40,3%), mentre gli incidenti con impatto confermato quasi raddoppiano da 303 a 573 (+89,1%). Le vittime univoche aumentano da 566 a 1.260 (+122,6%), segno che gli attaccanti riescono con sempre maggiore frequenza a trasformare le campagne in compromissioni reali.
Le tecniche più usate: ransomware, DDoS e phishing evoluto
Il malware resta il vettore principale
Secondo il Rapporto Clusit, il malware è ancora la tecnica più usata negli incidenti gravi, responsabile di circa il 38% dei casi a livello globale, con il ransomware come protagonista. Seguono gli attacchi DDoS (circa 21%), lo sfruttamento di vulnerabilità (19%) e il phishing/social engineering (11%), che spesso rappresentano l’ingresso iniziale nelle reti bersaglio.
Il report “The State of Ransomware 2025” di Sophos evidenzia che in Italia il 55% degli attacchi ransomware porta alla cifratura dei dati, in calo rispetto all’85% dell’anno precedente ma ancora su livelli molto elevati. Le principali cause tecniche sono lo sfruttamento di vulnerabilità note non patchate, il phishing e le credenziali compromesse, mentre molti responsabili IT italiani citano la carenza di competenze interne come fattore abilitante per gli attaccanti.
Settori nel mirino: PA, sanità, telco e PMI
Perché l’Italia è un bersaglio interessante
I cyber‑criminali colpiscono dove l’impatto può generare il massimo danno, economico o reputazionale, e quindi maggior pressione a pagare riscatti o accettare ricatti. In Italia, nel 2025 i settori più colpiti risultano:
- Pubblica Amministrazione centrale e locale, spesso vittima di ransomware e attacchi DDoS che mirano a bloccare servizi essenziali o a sottrarre dati sensibili.
- Sanità, dove la combinazione tra infrastrutture legacy e dati ad altissimo valore rende ospedali e ASL un obiettivo privilegiato.
- Telco ed energia, al centro di campagne che intrecciano interessi economici e, in alcuni casi, considerazioni geopolitiche.
- Micro e piccole imprese, spesso prive di figure dedicate alla sicurezza, che diventano l’anello debole nella supply‑chain.
Una survey citata nel contesto del Rapporto Clusit e di analisi di settore mostra che oltre il 60% delle PMI italiane non ha un piano di sicurezza aggiornato e solo una minoranza dichiara una piena consapevolezza dei rischi digitali. Questo gap strutturale spiega perché gli attacchi lungo la filiera e tramite fornitori siano così efficaci.
La “cybercrisi” del 2025: cosa è successo di concreto
Campagne DDoS e ransomware continuative
Alcuni analisti parlano apertamente di “cybercrisi italiana” per descrivere la continuità e l’intensità delle campagne che hanno colpito il Paese nel 2025. Documenti e Operational Summary collegati ad ACN segnalano una lunga campagna DDoS della durata di 13 giorni, con 275 attacchi consecutivi diretti verso infrastrutture nazionali, che ha messo sotto stress le capacità di mitigazione.
Nello stesso periodo è cresciuto il numero di attacchi ransomware a doppia estorsione, in cui gli attaccanti non si limitano a cifrare i dati ma minacciano anche di pubblicarli per aumentare la pressione sulla vittima. Sul fronte del social engineering, si è registrato un aumento di campagne di phishing “credibili”, spesso camuffate da comunicazioni di enti pubblici, avvisi fiscali o aggiornamenti di servizi digitali come SPID e PEC.
Dal 2025 al 2026: l’impatto di NIS2 e del ruolo di ACN
Nuovi obblighi e più responsabilità
La direttiva NIS2 rappresenta uno spartiacque per la gestione della sicurezza in Europa e in Italia. Il nuovo quadro normativo amplia il perimetro dei soggetti essenziali e importanti, includendo migliaia di organizzazioni nei settori energia, trasporti, sanità, infrastrutture digitali, PA e molti altri servizi critici.
ACN assume il ruolo di Autorità nazionale competente NIS, definendo misure di base, requisiti minimi e modalità di notifica degli incidenti per gli operatori coinvolti. Con scadenze già fissate tra fine 2025 e il 2026 per l’implementazione delle misure tecniche e organizzative, molte realtà sono state costrette a strutturare per la prima volta funzioni di governance, risk management e incident response.
Lo stato della sicurezza in Italia nel 2026
Tra criticità croniche e segnali di maturità
All’inizio del 2026, il quadro della cybersicurezza italiana resta impegnativo, ma rispetto a pochi anni fa emergono alcuni segnali incoraggianti. L’aumento delle notifiche di incidente, favorito dalla normativa e dal ruolo di ACN, riduce il numero di attacchi “sommersi” e offre dati più realistici su cui impostare strategie di difesa.
Un segnale positivo arriva anche dal fronte ransomware: il report Sophos segnala che in Italia la percentuale di aziende che pagano il riscatto è scesa dal 53% al 27% in un anno, grazie soprattutto a strategie di backup più robuste. Allo stesso tempo, quasi tutte le aziende colpite sono riuscite a recuperare i dati, anche se i costi medi di ripristino restano elevati e spesso paralizzano l’operatività per settimane.
Cosa devono fare aziende e PA nel 2026
1. Hardening, patch management e gestione delle vulnerabilità
Chiudere le vulnerabilità note è la misura più efficace per ridurre il successo degli attacchi ransomware e delle compromissioni iniziali. Questo significa:
- Mantenere aggiornati sistemi operativi, software di base e applicazioni critiche.
- Implementare un processo di vulnerability management con scansioni periodiche, classificazione dei rischi e finestre di patch definite.
I dati mostrano che una parte significativa degli incidenti ha sfruttato vulnerabilità già note e per le quali erano disponibili patch da tempo.
2. Proteggere identità e accessi
L’autenticazione multi‑fattore (MFA) è oggi una delle misure più efficaci per limitare gli attacchi basati su credenziali rubate. Affiancarla a una gestione rigorosa dei privilegi (account amministrativi, accessi remoti, VPN) e a un monitoraggio degli accessi anomali riduce il rischio di escalation laterale nelle reti interne.
Per i soggetti NIS2, strumenti di Privileged Access Management (PAM), segregazione dei ruoli e log dettagliati degli accessi sono sia un requisito di compliance sia una difesa sostanziale contro gli attacchi più avanzati.
3. Backup, continuità operativa e incident response
La quasi totalità delle aziende italiane oggetto di cifratura è riuscita a recuperare i dati, spesso grazie a backup ben progettati e testati. Perché questi backup siano davvero utili, devono essere:
- Isolati (offline o immutabili) per resistere alla cifratura.
- Testati periodicamente, con procedure di ripristino chiare.
Piani di business continuity e disaster recovery, insieme a playbook di incident response, permettono di ridurre tempi e costi di ripristino, che a livello globale sono scesi da una mediana di 2,73 a 1,53 milioni di dollari in un anno.
4. Formazione e cultura della sicurezza
Molti attacchi iniziano ancora da una mail cliccata o da un allegato aperto senza verifiche. Programmi di formazione ricorrente, simulazioni di phishing e procedure semplici per segnalare incidenti sospetti aiutano a trasformare l’utente da punto debole a elemento attivo della difesa.
Per PA e PMI, anche brevi percorsi formativi su SPID, PEC, gestione delle password e riconoscimento delle truffe online possono ridurre in modo significativo il rischio quotidiano, specialmente per chi opera in smart working o da dispositivi personali.
5. Allinearsi a NIS2, ACN e ai framework internazionali
Per i soggetti essenziali e importanti, l’allineamento alle misure di base ACN e alla NIS2 non è più opzionale. In pratica significa:
- Mappare asset, servizi essenziali e dipendenze critiche.
- Definire ruoli e responsabilità (incluso il referente per la sicurezza).
- Adottare controlli tecnici e organizzativi minimi, in linea con standard come ISO 27001 o NIST CSF.
Questa evoluzione può diventare un’opportunità per rivedere contratti con i fornitori IT, introdurre SLA chiari sulla sicurezza e migliorare il livello complessivo di resilienza.
Link utili per approfondire
- Rapporto Clusit 2025 – sito ufficiale
Panoramica completa sugli incidenti cyber, settori più colpiti e tendenze nel mondo e in Italia.
https://clusit.it/rapporto-clusit/ - Agenzia per la Cybersicurezza Nazionale (ACN) – Relazione annuale e Operational Summary
Dati aggiornati su eventi, incidenti e raccomandazioni per la difesa del perimetro nazionale.
https://www.acn.gov.it + report e PDF operativi. - Documentazione NIS2 in Italia
Linee guida, misure di base e scadenze per i soggetti essenziali e importanti.
(Pagina ACN e riferimenti normativi nazionali, inclusi BUR regionali). - Sophos – The State of Ransomware 2025
Dati sul ransomware in Italia: cifratura, riscatti, costi di ripristino e cause tecniche più frequenti.
https://www.sophos.com/it-it/blog/the-state-of-ransomware-2025
