E non è un’esagerazione da addetti ai lavori. I dati lo confermano con una precisione quasi chirurgica: nel 2025 l’Italia ha assorbito il 9,6% degli incidenti cyber globali, una quota sproporzionata rispetto al peso economico del Paese.
Tradotto semplice, siamo un bersaglio facile!
Il punto è che questa evidenza convive con una percezione ancora tiepida del rischio. Un cortocircuito culturale che, a mio avviso, è il nostro vero tallone d’Achille.
I numeri vanno letti senza anestesia. Nel 2025 gli attacchi gravi sono stati 507, contro i 357 dell’anno precedente. Un incremento del 42% che non può essere archiviato come oscillazione statistica. Se allarghiamo lo sguardo, il fenomeno globale è ancora più netto:
- oltre 5.200 attacchi gravi nel mondo,
- crescita del 49% su base annua,
- incremento del 157% negli ultimi cinque anni.
Quindi non siamo più davanti ad una minaccia emergente. Siamo dentro una trasformazione strutturale. Non tutti i comparti sono colpiti allo stesso modo. Alcuni sono diventati veri e propri nodi critici.
La Pubblica Amministrazione concentra oltre il 28% degli attacchi, con un incremento che sfiora il 290%. È il segnale più evidente di una pressione che non è solo economica, ma anche geopolitica.
Segue il manifatturiero, cuore produttivo del Paese, e poi sanità e infrastrutture critiche. Ed è qui che il discorso cambia tono. Perché quando salta un sistema ospedaliero o una rete di trasporto, il danno esce dal perimetro aziendale e diventa sociale.
Ridurre tutto alla figura dell’hacker solitario è ormai fuorviante. Oggi convivono modelli operativi diversi:
- cybercriminali, responsabili del 61% degli attacchi,
- hacktivisti, in crescita del 145%,
- attori ibridi legati a dinamiche geopolitiche.
Il vero salto di scala, però, è rappresentato dal “cybercrime-as-a-service”. Malware, ransomware e toolkit offensivi vengono distribuiti come servizi. Una democratizzazione dell’attacco che abbassa le barriere d’ingresso e moltiplica gli attori in campo.
C’è poi un paradosso che merita attenzione. Gli investimenti aumentano, ma la sicurezza reale no. Nel 2025 la spesa globale in cybersecurity ha superato i 213 miliardi di dollari, mentre in Italia ha raggiunto i 2,78 miliardi. Eppure solo il 2% delle aziende dispone di un modello di cyber-resilience esteso.
La maggior parte continua a operare con architetture difensive frammentate. Soluzioni presenti, ma non integrate. È un problema di orchestrazione, prima ancora che di tecnologia.
Il punto critico non è l’attacco in sé, ma ciò che accade dopo.
Secondo le analisi disponibili, il downtime medio dopo un ransomware si attesta intorno ai 24 giorni, con un costo che supera 1,8 milioni di dollari per organizzazione. Per le violazioni di dati più complesse si superano i 4 milioni.
Il caso CrowdStrike del 2024 è emblematico. Non un attacco, ma un aggiornamento difettoso. Risultato: 8,5 milioni di sistemi bloccati e perdite per 5,4 miliardi di dollari.
È qui che si misura la resilienza. Non nella prevenzione assoluta, ma nella capacità di assorbire l’impatto.
Le organizzazioni moderne operano in ecosistemi iper connessi. Cloud distribuiti, supply chain digitali, integrazioni continue. Il 54% delle grandi aziende indica proprio questa complessità come principale ostacolo alla sicurezza. Ed il 90% non ha ancora raggiunto una maturità adeguata per affrontare minacce avanzate.
In questo contesto, l’intelligenza artificiale agisce come moltiplicatore. Rafforza le difese, ma allo stesso tempo amplifica le capacità offensive.
Le direttive europee, come NIS2 e DORA, stanno ridefinendo il perimetro della responsabilità. Non si tratta più solo di proteggere i sistemi, ma di dimostrare resilienza operativa.
Questo implica governance, processi, test periodici e accountability a livello manageriale. In altre parole, la sicurezza esce dall’IT e diventa tema strategico.
La vera discontinuità, però, è culturale. Gli attacchi non sono più eventi eccezionali. Sono una componente strutturale dell’ecosistema digitale. E allora la distinzione rilevante non è tra chi viene colpito e chi no. È tra chi riesce a ripartire rapidamente e chi resta fermo.
Se c’è una sintesi possibile, è questa. La “cybersecurity” oggi coincide con la capacità di recovery. Significa conoscere i propri processi, misurare i tempi di ripristino, testare scenari di crisi realistici. Significa, soprattutto, passare da una logica di difesa a una di resilienza.
Perché gli attacchi continueranno ad aumentare, questo è ormai evidente. La vera domanda, quella che fa la differenza, resta un’altra. Quanto tempo ti serve per tornare operativo?
