Cybercrime senza freni: nel 2025 gli attacchi crescono del 49% e diventano sempre più gravi. Tutti i numeri del nuovo Rapporto Clusit
Il Rapporto Clusit 2026 evidenzia una crescita senza precedenti degli incidenti informatici a livello globale. Aumentano gli attacchi, ma soprattutto la loro gravità: quasi un terzo degli incidenti registra impatti critici o estremi e il cybercrime si conferma la principale minaccia per organizzazioni pubbliche e imprese
Crescono gli attacchi, ma soprattutto cresce il danno che riescono a produrre. Il Rapporto Clusit 2026 sulla cybersecurity in Italia e nel mondo mostra con chiarezza quanto lo scenario sia cambiato: il 2025 segna infatti una nuova accelerazione del fenomeno cyber, sia per numero di attacchi sia per la gravità degli impatti.
Secondo l’analisi degli incidenti informatici di pubblico dominio condotta dall’associazione italiana per la sicurezza informatica, nel 2025 sono stati registrati 5.265 incidenti cyber gravi a livello globale, il valore più alto mai osservato e in crescita del 48,7% rispetto al 2024.
Non si tratta di un picco isolato. Nel 2021 gli incidenti censiti erano poco più di duemila; oggi sono più che raddoppiati. E gli attacchi registrati negli ultimi cinque anni rappresentano ormai oltre il 60% di tutti quelli classificati dal Clusit dal 2011.
E, soprattutto, non si tratta di una mera crescita quantitativa. La media mensile degli incidenti è passata da 171 attacchi al mese nel 2021 a 439 nel 2025, segno di una pressione costante e sempre più intensa sulle organizzazioni. Parliamo di un fenomeno strutturale: gli attacchi informatici sono ormai una componente stabile del rischio operativo delle imprese e delle istituzioni.
Come osserva Gabriele Faggioli, presidente onorario di Clusit, il salto numerico registrato negli ultimi anni non deve sorprendere: “Viviamo in un contesto tecnologico in continua evoluzione: aumenta l’uso delle tecnologie digitali e quindi cresce inevitabilmente anche la superficie di attacco. Ma, allo stesso tempo, oggi gli incidenti vengono comunicati e raccontati più di prima, di conseguenza è più facile sapere che esistono”. E quest’ultimo aspetto non è certo negativo.
Attacchi sempre più gravi: nasce la categoria “Extreme”
Uno degli elementi più rilevanti che emerge dal rapporto riguarda il peso specifico degli incidenti. Nel corso degli ultimi anni Clusit ha osservato un progressivo aumento degli attacchi con impatti rilevanti. Nel 2025 la gravità degli attacchi è aumentata al punto da rendere necessaria una revisione della classificazione utilizzata nel rapporto. Nell’edizione 2026 viene infatti introdotta la categoria “Extreme”, che si colloca al di sopra del livello “Critical” e identifica gli incidenti con conseguenze particolarmente gravi o sistemiche.
Ma al di là – ci si perdoni il gioco di parole – degli estremi della scala, il quadro complessivo è tutt’altro che rassicurante: gli incidenti classificati con severity “High” rappresentano il 55,6% del totale, mentre quelli “Critical” arrivano al 28,2%. E la nuova categoria “Extreme” rappresenta il 2,7% degli eventi. In altre parole, quasi un incidente su tre genera impatti critici o estremi, una proporzione che evidenzia quanto gli attacchi informatici stiano diventando sempre più distruttivi.
La crescita degli incidenti con impatti elevati è legata a diversi fattori. Da un lato la crescente complessità delle infrastrutture digitali aumenta la superficie di attacco. Dall’altro lato gli attaccanti dispongono oggi di strumenti sempre più sofisticati e facilmente accessibili, che permettono di automatizzare molte attività offensive.
A questo si aggiunge un elemento nuovo: l’utilizzo dell’intelligenza artificiale. L’AI, sottolinea il rapporto, sta diventando un vero e proprio moltiplicatore di capacità per i cybercriminali, consentendo di accelerare attività come l’individuazione delle vulnerabilità, la creazione di malware o la realizzazione di campagne di social engineering più credibili.
Il cybercrime domina lo scenario globale
Dal punto di vista delle motivazioni degli attaccanti, il quadro resta dominato dal cybercrime. Nel 2025 l’89,3% degli incidenti analizzati è riconducibile ad attività criminali, una quota in crescita rispetto all’anno precedente.
Le altre categorie di attaccanti restano molto più marginali. L’hacktivism rappresenta circa il 5,8% degli attacchi, mentre operazioni legate a spionaggio, sabotaggio o information warfare si collocano su percentuali inferiori.
Il rapporto evidenzia anche il ruolo degli attacchi collegati ai conflitti internazionali. Tuttavia, secondo Gabriele Faggioli, “il loro peso mediatico è oggi inferiore rispetto al passato. Il conflitto tra Russia e Ucraina è ormai entrato in una fase percepita come “cronica”, e anche gli attacchi di hacktivism collegati a questo scenario tendono a suscitare meno attenzione rispetto ai primi mesi della guerra”.
Altri contesti geopolitici, come le tensioni in Medio Oriente, hanno invece un impatto limitato nelle statistiche perché riguardano ecosistemi tecnologici meno sviluppati rispetto a quelli europei o statunitensi.
Questi numeri descrivono in ogni caso un fenomeno ormai strutturato. Il cybercrime opera sempre più attraverso gruppi specializzati nello sviluppo di malware, nella gestione delle infrastrutture utilizzate per gli attacchi e nella monetizzazione delle intrusioni. A questo si aggiunge la diffusione di modelli “as a service”, come ransomware-as-a-service o phishing-as-a-service, che permettono di lanciare campagne di attacco anche senza competenze tecniche avanzate.
Come osserva Faggioli, la dinamica economica del fenomeno resta estremamente favorevole alla criminalità: “Il cybercrime è oggi una delle attività criminali più redditizie e allo stesso tempo relativamente a basso rischio. Finché questa combinazione rimarrà così favorevole, non c’è un vero motivo perché il fenomeno rallenti”.
Attacchi informatici in crescita: dati ancora allarmanti dal Rapporto Clusit 2025
Le vittime: governi, sanità e attacchi su larga scala
Tra i bersagli degli attacchi emerge innanzitutto una categoria trasversale: le campagne che colpiscono contemporaneamente più settori. Nel rapporto vengono indicate come “Multiple Targets” e rappresentano la quota più ampia degli incidenti, circa il 23%.
Si tratta di operazioni che sfruttano vulnerabilità diffuse o tecnologie ampiamente utilizzate, permettendo agli attaccanti di colpire nello stesso momento centinaia o migliaia di organizzazioni.
Subito dopo compaiono le istituzioni pubbliche – governi, forze dell’ordine e strutture militari – che rappresentano circa il 12% degli incidenti, seguite dal settore sanitario, con una quota dell’11%.
La sanità resta uno degli ambiti più esposti. Non solo per il numero di attacchi, ma anche per la gravità delle conseguenze: oltre il 60% degli incidenti che colpiscono organizzazioni sanitarie rientra infatti nelle categorie Critical o Extreme, segnalando quanto le infrastrutture digitali di questo settore restino particolarmente vulnerabili.
Le ragioni sono note: molti sistemi informativi sanitari si basano su infrastrutture legacy difficili da aggiornare, mentre i dati sanitari hanno un valore molto elevato nel mercato criminale.
Uno degli aumenti più marcati riguarda il manifatturiero: nel 2025 gli incidenti che colpiscono il settore crescono del 79%. Con l’integrazione sempre più stretta tra sistemi IT e tecnologie di produzione, anche le fabbriche entrano stabilmente nel radar degli attaccanti.
Crescono anche gli attacchi contro il settore ICT, con un rischio particolare: quando viene colpito un fornitore tecnologico, l’impatto può propagarsi rapidamente a centinaia di aziende che utilizzano le sue piattaforme e i suoi servizi.
Cybercrime: Europa e America restano i principali bersagli
Anche la distribuzione geografica degli attacchi segue una logica abbastanza chiara. Le aree più digitalizzate restano quelle più colpite: nel 2025 il 33% degli incidenti riguarda il continente americano e circa il 25% l’Europa. Insieme, queste due regioni concentrano oltre la metà degli attacchi registrati a livello globale.
Il dato più dinamico riguarda però l’Asia, dove gli incidenti crescono di oltre il 130% rispetto all’anno precedente, segnalando un’espansione del fenomeno verso economie sempre più digitalizzate.
L’Italia risulta tra i Paesi con un numero significativo di attacchi registrati nel rapporto.
Secondo Gabriele Faggioli, tuttavia, “il dato deve essere interpretato con cautela”. Una parte rilevante degli incidenti rilevati nel Paese è legata all’hacktivism, che in Italia assume una visibilità statistica particolarmente elevata. Se si escludono questi attacchi e si considera solo la componente legata al cybercrime, il posizionamento dell’Italia appare più coerente con il peso economico del Paese, soprattutto se rapportato al PIL.
Resta, comunque, una fragilità strutturale: il sistema produttivo italiano è molto frammentato, con un elevato numero di piccole e medie imprese e una pubblica amministrazione complessa, “fattori che rendono più difficile realizzare investimenti strutturali in sicurezza”.
Malware, vulnerabilità e phishing: le tecniche più utilizzate
Sul piano tecnico, il malware resta lo strumento più utilizzato negli attacchi riusciti e compare in circa un quarto degli incidenti. Subito dopo si colloca lo sfruttamento delle vulnerabilità software, responsabile di circa il 16,5% degli attacchi e in crescita rispetto all’anno precedente.
Seguono phishing e tecniche di social engineering, che rappresentano circa il 9,9% degli incidenti ma registrano uno degli aumenti più rapidi. La diffusione dell’intelligenza artificiale generativa sta infatti rendendo sempre più semplice produrre messaggi e contenuti credibili, aumentando l’efficacia delle campagne di ingegneria sociale.
Secondo Faggioli, l’intelligenza artificiale rappresenta però uno strumento che può rafforzare sia le capacità offensive sia quelle difensive: “Le organizzazioni che investono in strumenti di sicurezza basati su AI possono avere un vantaggio significativo, perché gli attaccanti tendono a concentrarsi dove trovano meno ostacoli”.
Resta tuttavia un elemento strutturale che continua a favorire chi attacca. “Chi difende deve rispettare regole, normative e vincoli organizzativi – osserva Faggioli -. I criminali invece possono utilizzare la tecnologia senza queste limitazioni. In pratica si tratta di due squadre che giocano la stessa partita, ma con regole diverse”.
