Il 2025 segna un punto di rottura per la cybersecurity italiana. Non solo per la crescita del mercato o per l’aumento degli attacchi, ma per la convergenza di tre fattori che stanno cambiando radicalmente il perimetro del rischio: l’accelerazione tecnologica guidata dall’intelligenza artificiale, l’inasprimento del quadro normativo europeo e un contesto geopolitico che rende la sovranità digitale una variabile strategica.
È quanto emerge dalla nuova ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, presentata nei giorni scorsi durante il convegno “Cybersecurity: immaginare l’imprevedibile”. Un titolo che, come hanno più volte sottolineato gli analisti e ricercatori che si sono alternati sul palco, non è un esercizio retorico, ma una vera e propria presa d’atto.
“Nel corso del 2025 – ha osservato Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio – le relazioni geopolitiche, il progresso tecnologico e l’evoluzione normativa hanno generato un contesto nel quale l’imprevedibilità è diventata sistemica. E che richiede al CISO di non limitarsi a guardare gli aspetti tecnologici, ma di imparare a leggere segnali deboli per prepararsi a minacce mutevoli e autonome”.
Cybersecurity 2025: un terzo delle grandi imprese colpite
Nel 2025 il mercato italiano della cybersecurity continua a crescere, ma lo fa dentro un contesto di tensione strutturale. Il valore complessivo raggiunge i 2,78 miliardi di euro, con un incremento del 12% rispetto all’anno precedente. È un ritmo leggermente inferiore a quello registrato nel biennio 2023-2024, ma resta significativo se confrontato con l’andamento complessivo della spesa digitale, ferma a un +1,5%. Come ha evidenziato Alessandro Piva, il settore mostra ormai una maturità consolidata: il 60% delle grandi imprese considera il budget adeguato, ma non è ancora tempo di parlare di stabilizzazione, perché la spinta normativa e l’evoluzione delle minacce continuano a generare nuove esigenze di investimento.
Questa dinamica si inserisce in uno scenario globale che nel 2025 si è ulteriormente aggravato. Nei primi sei mesi dell’anno sono stati censiti 2.775 incidenti pubblici a livello internazionale, un volume quasi pari a quello registrato nell’intero 2023. Ancora più significativo è l’aumento della gravità degli attacchi, cresciuta del 143% nel quinquennio 2020-2025. Non si tratta solo di una crescita numerica, ma di una trasformazione qualitativa della minaccia, sempre più sofisticata e strutturata.
In Italia, oltre un terzo delle grandi organizzazioni ha gestito incidenti con costi di ripristino rilevanti e una quota, seppur minoritaria, ha registrato impatti diretti sull’operatività. È un segnale chiaro: il rischio cyber non è più confinato all’area IT, ma incide sulla continuità del business. Non a caso, più della metà delle imprese ha avviato una revisione strutturale dei piani di incident response, spostando l’attenzione dalla sola prevenzione alla capacità di assorbire l’urto e ripristinare rapidamente i processi critici.
Ma non è tutto.
Come sottolineato da Nicola Ciani, il cambiamento non riguarda soltanto il volume degli attacchi, ma la loro natura. L’avvento dell’AI agentica consente oggi di automatizzare fino all’80-90% della catena offensiva, dalla ricognizione iniziale all’esfiltrazione dei dati, abbattendo le barriere d’ingresso al cybercrime. Si passa così da un modello in cui l’essere umano guida direttamente ogni fase dell’attacco a uno scenario in cui supervisiona processi sempre più autonomi, con un salto di complessità che rende la minaccia meno prevedibile e più scalabile.
AI: acceleratore del rischio (e della difesa)
In un quadro già segnato da un aumento della gravità e della frequenza degli attacchi, l’intelligenza artificiale rappresenta un ulteriore, se non principale elemento di accelerazione. È il fattore che trasforma una pressione crescente in un salto di qualità della minaccia.
E i responsabili della sicurezza ne sono consapevoli. Il 71% dei CISO italiani ritiene infatti che l’AI stia aumentando il livello di rischio cyber. La tecnologia entra nei modelli offensivi rendendoli più scalabili, più veloci e meno costosi. Phishing altamente personalizzato, generazione di identità sintetiche, automazione delle fasi di ricognizione e movimento laterale nelle reti aziendali sono già pratiche diffuse. L’AI agentica, capace di gestire in autonomia gran parte della catena d’attacco, riduce ulteriormente la distanza tra competenza tecnica e capacità offensiva.
Parallelamente, la stessa tecnologia viene adottata nelle organizzazioni con ritmi molto elevati. Strumenti di AI generativa entrano nei processi quotidiani spesso per iniziativa diretta delle funzioni di business, senza un coordinamento pieno con le strutture di sicurezza. Ed è qui che il rischio si amplifica.
Non a caso, il 96% dei CISO continua a indicare nel fattore umano la principale criticità. L’utilizzo non governato di soluzioni di AI consumer accentua questa fragilità: il 60% dei responsabili sicurezza dichiara una preoccupazione esplicita rispetto a questo fenomeno. L’AI diventa così contemporaneamente strumento di attacco e superficie di esposizione.
La sfida si sposta sul piano organizzativo. Servono meccanismi di governance trasversale, capacità di integrare sicurezza e innovazione, definizione di responsabilità chiare tra IT, security e linee di business. Senza un presidio strutturato, l’intelligenza artificiale non crea vulnerabilità nuove, ma aumenta la velocità con cui quelle esistenti possono essere sfruttate.
LEGGI ANCHE: Cybersecurity nel 2026: l’AI cambia le regole e il tempo per difendersi da un attacco scende a 29 minuti
Il mercato cresce: 2,78 miliardi di euro
Ma i dati dell’Osservatorio ci raccontano anche altro.
Nel 2025 la cybersecurity si conferma una delle poche aree di investimento digitale a mantenere un ritmo di crescita significativo, nonostante il rallentamento dell’economia e l’incertezza geopolitica. Il dato di mercato diventa così un indicatore chiaro della centralità strategica del tema.
Il mercato italiano raggiunge i 2,78 miliardi di euro, con un incremento del 12% rispetto all’anno precedente. È una crescita leggermente inferiore rispetto al +15% del 2024 e al +16% del 2023, ma resta nettamente superiore all’andamento medio della spesa digitale complessiva, che si ferma all’1,5%. Mentre molte voci di investimento rallentano, la sicurezza continua a espandersi.
A trainare sono in particolare la Pubblica Amministrazione, che registra un +28%, il comparto Finance con un +22% e il settore Logistica e Trasporti con un +18%. Si tratta di ambiti in cui continuità operativa, pressione regolatoria ed esposizione a filiere complesse rendono il rischio cyber un fattore strutturale.
Dal punto di vista della composizione della spesa, i servizi consolidano il proprio primato sulle soluzioni tecnologiche, dopo il sorpasso già avvenuto nel 2024. Crescono in modo marcato i Managed Security Services, segnale di un mercato che sta scegliendo l’esternalizzazione della sicurezza operativa per compensare una carenza di competenze che interessa quasi nove grandi imprese su dieci. Non è soltanto una questione di efficienza, ma di sostenibilità operativa.
Le priorità di investimento confermano questa direzione. Endpoint Security, Network & Infrastructure Security e Testing & Vulnerability Management concentrano l’attenzione delle imprese, con un orientamento sempre più marcato verso l’identificazione proattiva delle vulnerabilità. E la tendenza non sembra destinata a rallentare: sette grandi aziende su dieci prevedono un ulteriore aumento del budget nel 2026.
Cybersecurity: NIS2 e frammentazione normativa
Come abbiamo avuto modo di sottolineare in altre occasioni, anche nel corso della presentazione dei dati dell’Osservatorio Cybersecurity è emerso come il quadro regolatorio rappresenti oggi uno dei principali fattori di trasformazione del mercato. La Direttiva NIS2 non introduce semplicemente nuovi obblighi, ma modifica il perimetro di responsabilità e la governance della sicurezza all’interno delle organizzazioni. A partire da gennaio 2026 è scattato l’obbligo di notifica degli incidenti, mentre entro settembre dello stesso anno le imprese dovranno dimostrare di aver completato l’adeguamento delle misure di sicurezza richieste. Per molte realtà significa ripensare processi, ruoli, accountability e tracciabilità delle decisioni.
L’effetto è già visibile. Il 57% delle grandi imprese rileva un aumento dell’attenzione del board sui temi cyber. La sicurezza esce definitivamente dal perimetro tecnico e diventa materia di governo societario, con implicazioni dirette sulla responsabilità degli organi apicali.
Parallelamente, però, cresce la complessità. NIS2 si inserisce in un ecosistema normativo europeo sempre più stratificato, che comprende DORA per il settore finanziario, il Cyber Resilience Act per i produttori di tecnologie digitali, l’AI Act e il Data Act. Il 56% delle imprese dichiara di cercare un approccio integrato per gestire in modo coordinato questi obblighi, consapevole che affrontarli in modo frammentato rischia di generare inefficienze e sovrapposizioni.
Come ha osservato Gabriele Faggioli durante il convegno, il punto non è “mettersi in regola” in senso formale, ma comprendere la logica sistemica che sta dietro alla regolazione europea. Se la cybersecurity viene trattata come un adempimento documentale, si rischia di moltiplicare procedure senza rafforzare realmente la resilienza. La normativa, invece, nasce con un obiettivo diverso: spingere le organizzazioni a strutturare un modello di gestione del rischio capace di incidere sulle decisioni strategiche e sulla continuità operativa.
In questo senso, la compliance può diventare un acceleratore di maturità. Ma solo se viene interpretata come leva di trasformazione organizzativa e non come esercizio burocratico.
Filiera e terze parti: il rischio sistemico
Un altro snodo critico quando si parla di cybersecurity riguarda la supply chain. La superficie di attacco delle organizzazioni non coincide più con il perimetro aziendale, ma si estende lungo l’intera rete di fornitori, partner e subfornitori. A livello globale, oltre la metà delle imprese considera oggi le vulnerabilità di filiera il principale ostacolo alla cyber-resilience, e nell’Unione Europea una quota significativa delle minacce è direttamente collegata a compromissioni che avvengono attraverso terze parti.
In Italia il tema assume una rilevanza particolare. Il tessuto produttivo è composto in larga parte da piccole e medie imprese, molte delle quali inserite in filiere strategiche. Questo significa che un attacco a un fornitore può trasformarsi rapidamente in un problema sistemico, soprattutto quando le connessioni digitali tra aziende sono strette e continuative.
La differenza emerge con chiarezza se si osservano le modalità di gestione delle forniture. Sul fronte IT, la maturità è elevata. Nella quasi totalità delle grandi organizzazioni la sicurezza rappresenta ormai un prerequisito nei processi di selezione dei partner tecnologici: assessment strutturati, clausole contrattuali, audit periodici e certificazioni sono strumenti consolidati. In questo ambito il canale IT – system integrator, provider di servizi gestiti, distributori specializzati – ha interiorizzato da tempo la centralità del rischio cyber, anche per effetto delle normative e delle richieste dei vendor internazionali.
La situazione cambia quando si guarda alle forniture non strettamente IT: servizi logistici, manutenzione industriale, consulenze operative, outsourcing di processo. Qui la valutazione della postura cyber non è ancora sistematica. Solo una parte delle imprese estende in modo strutturato i criteri di sicurezza anche a queste categorie, nonostante l’interconnessione digitale renda tali fornitori potenzialmente altrettanto esposti. È una zona grigia che riflette una separazione culturale ancora presente tra “tecnologia” e “operatività”, mentre gli attaccanti non fanno distinzioni.
Come ha sottolineato Ivan Antozzi, ricercatore dell’Osservatorio, il livello di attenzione è dunque disomogeneo: elevato nella filiera IT, più frammentato nel resto dell’ecosistema aziendale. Colmare questa distanza diventa essenziale in un contesto in cui la resilienza non dipende più solo dalla robustezza delle infrastrutture interne, ma dalla capacità di governare il rischio lungo tutta la catena del valore.
Sovranità digitale e lock-in tecnologico
Se la gestione della filiera estende il perimetro del rischio oltre i confini aziendali, la questione della sovranità digitale ne rappresenta la dimensione geopolitica e industriale. Le scelte di sourcing non riguardano più soltanto competenze e costi, ma anche dipendenze tecnologiche e collocazione giuridica dei fornitori.
In un mercato europeo ancora largamente presidiato da player extra-UE, la provenienza geografica delle soluzioni entra in modo sempre più esplicito nei processi decisionali. Il 73% delle grandi imprese italiane dichiara di considerare questo fattore nella selezione dei fornitori di cybersecurity, privilegiando contesti ritenuti più coerenti con il quadro regolatorio europeo o escludendo Paesi percepiti come critici sul piano politico o normativo. Non è una scelta ideologica, ma una valutazione di rischio.
Il tema si intreccia con un’altra trasformazione strutturale: la progressiva migrazione verso modelli cloud e servizi as-a-service. Il superamento dell’on-premise ha portato flessibilità e scalabilità, ma ha anche concentrato potere tecnologico e controllo dei dati in un numero ristretto di attori globali. Le strategie commerciali aggressive, i modelli di licensing complessi e le integrazioni verticali aumentano il rischio di lock-in, rendendo più difficile cambiare fornitore o riportare all’interno determinate funzioni.
È chiaro che l’autonomia strategica non è soltanto un obiettivo politico europeo, ma una variabile operativa che incide su resilienza, costi e capacità di negoziazione. La sovranità digitale diventa così parte integrante della strategia di sicurezza: non riguarda solo dove risiedono i dati, ma chi controlla le infrastrutture, le piattaforme e le leve tecnologiche critiche.
Cybersecurity: solo il 28% delle imprese è davvero resiliente
Se regolazione, filiera e sovranità ridefiniscono il contesto esterno, la differenza reale si misura però nella capacità delle organizzazioni di tradurre questa consapevolezza in pratica operativa. È qui che si gioca il livello di maturità.
Il 48% delle grandi imprese ha attivato un monitoraggio continuo degli asset critici, segnale di una maggiore attenzione alla visibilità dell’esposizione al rischio. Il 46% conduce in modo strutturato Business Impact Assessment, collegando la sicurezza alle priorità industriali e finanziarie. Il 49% realizza simulazioni realistiche di attacco per testare non solo le infrastrutture, ma anche i processi decisionali in condizioni di crisi. E il 56% integra l’intelligenza artificiale nelle security operations per accelerare analisi e risposta.
Questi strumenti, presi singolarmente, indicano un percorso di evoluzione. Ma è l’integrazione sistemica a fare la differenza: solo il 28% delle grandi organizzazioni ha adottato contemporaneamente tutte e quattro le leve, costruendo un modello realmente orientato alla resilienza. È in questo scarto che si distingue una difesa ancora reattiva da una postura capace di anticipare, assorbire e governare l’imprevedibile.
