Il Rapporto Clusit 2026 fotografa uno scenario senza precedenti: 5.265 incidenti cyber nel 2025, il 48,7% in più rispetto al 2024. Non è un'anomalia statistica — è un'accelerazione strutturale. La media mensile di attacchi è passata da 171 nel 2021 a 439 nel 2025: +256% in cinque anni.
L'Italia resta un bersaglio preferenziale: 507 incidenti gravi nel 2025, il 9,6% del totale globale. Come membri di Clusit, riteniamo fondamentale tradurre questi numeri in informazioni utili per le aziende italiane. Ecco i dati che contano e cosa significano per le PMI.
I numeri globali: l'era degli attacchi “estremi”
Per la prima volta, il Rapporto Clusit introduce la categoria di severity Extreme, riservata agli incidenti più devastanti. Nel 2025 rappresentano già il 2,7% del totale. L'84% degli incidenti ha severity Critical o High (era il 79% nel 2024).
5.265
incidenti cyber nel 2025 (+49% vs 2024)
439/mese
media mensile di attacchi (era 171 nel 2021)
89,3%
degli incidenti è cybercrime (+55% vs 2024)
84%
degli incidenti con severity Critical o High
+75%
crescita attacchi phishing/social engineering
+65%
crescita sfruttamento vulnerabilità
L'Italia nel mirino: 507 incidenti gravi
Tra il 2021 e il 2025, gli incidenti noti di particolare gravità contro organizzazioni italiane sono stati 1.432. Di questi, 507 sono avvenuti nel solo 2025— il 35% del totale in cinque anni. L'Italia rappresenta il 9,6% degli incidenti globali, una percentuale ancora allarmante e vicina al picco dell'11,2% registrato nel 2023.
Un dato particolarmente significativo: l'Italia concentra il 64% degli incidenti hacktivism mondiali. Il cybercrime in Italia rappresenta il 61% degli incidenti (contro l'89% globale), ma solo perché la quota di hacktivism è anomalmente elevata. Le organizzazioni italiane risultano più spesso vittime anche di attacchi meno sofisticati, segno di una postura di sicurezza ancora insufficiente.
I settori più colpiti: manufacturing, sanità e PA
A livello globale, i tre settori con la crescita più marcata sono:
Torna in quarta posizione dopo la flessione del 2024. Le PMI manifatturiere, spesso con IT sottodimensionato e supply chain estese, restano tra i bersagli principali.
La PA e il settore difesa risalgono al secondo posto. In Italia, la PA è tra i settori più colpiti, anche per l’elevata esposizione ad attacchi hacktivisti.
La sanità digitale resta fragile: crescono gli attacchi, amplificati dall’AI e da un perimetro sempre più esteso tra dispositivi IoT medicali e cartelle cliniche elettroniche.
Anche ICT (+46%), Financial/Insurance (+27%) e Professional/Scientific/Technical (+91%) registrano crescite a doppia cifra. Il Rapporto osserva che i cybercriminali tendono a spostarsi verso settori meno maturi nella postura di sicurezza informatica.
AI: moltiplicatore di forza per gli attaccanti
Il Rapporto Clusit 2026 dedica un capitolo intero all'intelligenza artificiale nella cybersecurity. L'AI generativa viene usata dagli attaccanti per creare email di phishing più realistiche (+75% di crescita del phishing/social engineering), automatizzare la scoperta di vulnerabilità e sviluppare malware più sofisticato. Parallelamente, l'AI difensiva — dagli Agentic SOC alla AI Detection & Response — offre strumenti potenti ma introduce nuove superfici di attacco che richiedono framework di validazione come l'OWASP AI Testing Guide.
Per le PMI, il messaggio è chiaro: gli attacchi diventano più sofisticati e automatizzati, rendendo insufficienti le difese tradizionali. Servono soluzioni di protezione endpoint avanzata (EDR/XDR), formazione continua e un piano di backup e disaster recovery testato.