I dati più recenti (aggiornati all’inizio del 2026) confermano che l’Italia sta attraversando una fase di pressione cibernetica senza precedenti, con un aumento significativo degli attacchi sia verso le aziende private che verso la Pubblica Amministrazione (PA).
Riteniamo fare una cosa utile ai nostri Soci, e non solo, ribadendo anche noi dei dati assai importanti.
Ecco i punti chiave tratti dagli ultimi rapporti dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Clusit:
- I numeridell’aumento
- Crescita vertiginosa: Nel primo semestre del 2025, l’ACN ha registrato un aumento del 53% degli eventi cyber rispetto allo stesso periodo dell’anno precedente1.
- Incidenti gravi: Gli incidenti con impatto confermato sono quasi raddoppiati (+98%), segno che gli attacchi non sono solo più numerosi, ma anche più efficaci nel causare danni reali.
- Record storico: Il Rapporto Clusit 2025 evidenzia che l’Italia è diventata un bersaglio primario, arrivando a subire circa il 10% degli attacchi mondiali, una quota sproporzionata rispetto alle dimensioni della nostra economia.
- I settori più colpiti
La Pubblica Amministrazione e il settore Sanitario sono nel mirino per ragioni geopolitiche e per la sensibilità dei dati trattati:
- PA Centrale e Locale: È il settore più bersagliato, con una crescita esponenziale degli attacchi guidata soprattutto dall’hacktivism (attivismo digitale legato a tensioni geopolitiche).
- Sanità: Gli attacchi alle strutture sanitarie sono aumentati di circa il 40-83% (a seconda delle rilevazioni), con gravi rischi per la continuità dei servizi ai cittadini.
- Manifatturiero (Aziende): Resta il bersaglio preferito del Cybercrime a scopo di estorsione (Ransomware), rappresentando circa il 25% degli attacchi alle imprese.
- Letecnicheprincipali
| Tecnica | Tendenza | Descrizione |
| DDoS | In forte aumento (+77%) | Utilizzato per bloccare i siti web della PA e dei servizi pubblici. |
| Ransomware | Stabile/Critico | Il “ricatto digitale” che cripta i dati aziendali per chiedere un riscatto. |
| Phishing | In evoluzione | Sempre più sofisticato grazie all’uso dell’Intelligenza Artificiale per creare messaggi ingannevoli perfetti. |
| Vulnerabilità | +90% | Sfruttamento di falle tecniche in software non aggiornati. |
Perché questo aumento?
Oltre alla situazione geopolitica, l’aumento dei numeri è dovuto anche a una maggiore capacità di rilevamento: grazie alle nuove normative (come la Legge 90/2024 e la direttiva NIS2), le aziende e gli enti pubblici sono ora obbligati a segnalare gli incidenti in modo più rigoroso, facendo emergere un fenomeno che prima restava in gran parte sommerso.
Il panorama della sicurezza digitale in Italia è cambiato radicalmente con l’approvazione della Legge 90/2024 e il recepimento della direttiva europea NIS2 (D.Lgs. 138/2024). Queste norme non sono solo “consigli”, ma introducono obblighi pesanti con scadenze precise per il 2026.
Ecco i pilastri del nuovo sistema di sicurezza obbligatorio:
- La “Stretta” sulle Notifiche (Gennaio2026)
Dall’inizio di quest’anno, la tempestività è diventata un obbligo di legge. Non si può più nascondere un attacco:
- Notifica entro 24 ore: Per ogni incidente che abbia un impatto significativo, l’ente (PA o azienda) deve inviare una notifica di “pre-allarme” all’ACN (Agenzia per la Cybersicurezza Nazionale).
- Relazione dettagliata: Entro 72 ore deve seguire un rapporto più approfondito, e dopo un mese una relazione finale sull’analisi delle cause.
- Misure Tecniche e Organizzative di Base
Entro ottobre 2026, i soggetti censiti dall’ACN (oltre 50.000 tra aziende e PA) dovranno aver implementato un set di misure minime:
- Gestione del Rischio: Obbligo di redigere un Piano di Gestione dei Rischi (PGR) che identifichi vulnerabilità e asset critici.
- Continuità Operativa: Piani di Disaster Recovery e Business Continuity per garantire che i servizi non si fermino anche sotto attacco.
- Sicurezza della Supply Chain: Le aziende sono ora responsabili anche della sicurezza dei propri fornitori. Non basta essere sicuri in “casa propria”, bisogna verificare chi gestisce i propri dati esternamente.
- Crittografia e MFA: L’uso della crittografia per i dati sensibili e dell’autenticazione a due fattori (MFA) diventa lo standard minimo richiesto.
- Responsabilità Diretta dei Dirigenti
Questa è la vera rivoluzione: la cybersecurity non è più solo un problema del “tecnico informatico”.
- Formazione dei Vertici: Gli organi direttivi (CDA, direttori generali) hanno l’obbligo di seguire corsi di formazione specifica.
- Responsabilità Personale: In caso di violazioni o mancata adozione delle misure, i dirigenti possono essere ritenuti responsabili personalmente.
- Sanzioni: Le multe sono pesantissime, arrivando fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per le aziende, e fino a 125.000 euro per le PA.
Tabella delle Scadenze Critiche
| Data | Evento / Obbligo |
| Gennaio 2026 | Avvio obbligo di notifica incidenti entro 24h. |
| Marzo 2026 | Aggiornamento annuale dell’elenco dei soggetti “Essenziali” e “Importanti”. |
| Ottobre 2026 | Termine ultimo per l’implementazione completa delle misure di sicurezza di base. |
Bibliografia
- Per i dati dell’Agenzia per la Cybersicurezza Nazionale (ACN):
- Riferimento: Relazione annuale al Parlamento dell’ACN.
- Per i dati Clusit (Associazione Italiana per la Sicurezza Informatica):
- Riferimento: Rapporto Clusit sulla sicurezza ICT in Italia.
- Per i riferimenti normativi (Legge 90 e NIS2):
- Legge 90/2024: Gazzetta Ufficiale – Legge 28 giugno 2024, n. 90
- Direttiva NIS2 (D.Lgs. 138/2024): Gazzetta Ufficiale – Decreto Legislativo 4 settembre 2024, n. 138
Questo contenuto è stato generato con l’ausilio dell’intelligenza artificiale Google Gemini e revisionato dalla redazione di PressioneCibernetica
