L’Italia dei record, anche negativi. Nel 2025 Paese ha subito il 49% degli attacchi informatici in più rispetto all’anno precedente. Lo rivela il rapporto Clusit, l’appuntamento annuale che fotografa “lo stato dell’arte” della Cybersecurity Italiana. E che ci mette in guardia: nel 2025 ci sono stati 5.265 attacchi censiti, una cifra mai raggiunta prima d’ora. Ne aveva parlato nei giorni scorsi anche il sottosegretario con delega all’innovazione Alessio Butti, l’italia è un bersaglio per la criminalità informatica, se è vero nel Paese si concentra il 9,6% degli attacchi mondiali, secondo i dati del rapporto Clusit. Presentato in anteprima alla stampa, il rapporto 2026 verrà reso pubblico il 17 marzo, in occasione del Security Summit di Milano. L’Espresso ha voluto approfondire alcuni temi trattati da Report con Anna Vaccarelli, presidente del Clusit dal 2024. 

Quali sono gli elementi di rilievo, dal suo punto di vista?
Il report racconta alcuni scenari importanti a livello nazionale e internazionale: c’è un notevole aumento di incidenti, il cui impatto raggiunge picchi che non si erano mai visti. Storicamente l’incidenza degli attacchi veniva classificata in quattro categorie: basso; medio; alto; critico. Recentemente sono stati accorpati i medi e i bassi - questi ultimi sono praticamente scomparsi - ma abbiamo dovuto aggiungere la categoria Extreme, che va oltre il critico.

Possiamo fare un esempio concreto?
Si tratta di un attacco informatico tale che può mettere in ginocchio anche grandi aziende; ci sono stati casi di questo genere, per fortuna pochi. Se questo succede nei contesti sanitari, ad esempio, l’impatto può risultare molto grave, anche per il fatto che si mette a rischio la salute dei pazienti che non possono essere intercettati e curati.

Questo riguarda anche l’Italia?
In Italia questo tipo di criticità è minore. Il nostro Paese è interessato maggiormente da incidenti di livello medio. Questo può voler dire che riusciamo ad evitare impatti gravi e siamo bravi nella difesa per rischi molto alti. Ma c’è anche un’altra interpretazione meno ottimistica del fenomeno, e cioè che le nostre aziende e organizzazioni sono meno pronte alla difesa, quindi per gli attaccanti di medio calibro è più facile colpire.

Che impatto possono avere le norme, in questo contesto?
Nei Paesi europei vedremo a breve l’effetto delle normative sulla cybersicurezza in vigore - la direttiva NIS2 - che impone misure rigorose di gestione del rischio e obblighi di notifica degli incidenti. Il provvedimento riguarderà le aziende che rientrano nel perimetro di sicurezza nazionale, ma anche la filiera e i loro fornitori. Avrà effetto su moltissime realtà e ci auguriamo che l’osservanza di queste norme possa ridurre l’impatto degli incidenti.

Ci sono altre variabili di cui tener conto?
Una che ancora non possiamo misurare è la guerra in Medio Oriente. Negli anni precedenti abbiamo notato – in relazione agli altri conflitti in essere - che ci sono attacchi informatici che aumentano e variabili che si spostano, proprio in conseguenza di questi episodi bellici. La guerra in Iran si sta svolgendo anche come guerra ibrida: attacchi a infrastrutture, attacchi di ingegneria. Una delle caratteristiche del Report di Clusit è che la nostra raccolta dati riguarda solo fonti e dati aperti, pubblici, che hanno una maggiore garanzia di poter essere verificati. In Italia, in particolare, rileviamo una peculiarità rispetto al contesto globale: nel nostro Paese ad essere colpito è anche l’ambito governativo, militare, anche le forze dell’ordine. E questa risulta un’anomalia, forse perché sono categorie che hanno sistemi informatici meno aggiornati, meno preparati a difendersi rispetto alle aziende. Ma anche l’ambito governativo e militare dovrà adeguarsi alla normativa, a breve.

Perché la norma ha valore anche per gli enti pubblici?
Sì, anche questi rientrano nel perimetro e in qualche modo si devono adeguare. L’Agenzia per la Cybersecurity Nazionale sta facendo un ottimo lavoro: concretizza in Italia le norme europee, perché l’osservanza di queste norme non sia solo formale ma sia di sostanza. In qualche modo è importante spingere le organizzazioni a modificare la loro postura: bisogna rendere la cybersecurity una priorità trasversale.

Ci sono dei settori che, in futuro, potranno essere maggiormente interessati dagli attacchi?
Il problema può riguardare tutti i settori, ad esempio quello delle costruzioni e dei trasporti. In passato erano rimasti ai margini, ma quest’anno hanno registrato un incremento notevole degli attacchi: anche nei trasporti ci sono piattaforme che regolano il traffico e che possono essere soggette ad attacco. Nel Rapporto che uscirà il 17 marzo ci sono i dettagli: anche la navigazione aerea e in mare sono collegate da sistemi interconnessi – in parte anche sotto il cappello militare - ma sono sistemi informatici collegati fra loro: se ne cade uno vengono danneggiati e limitati anche gli altri.

Il rischio delle “intrusioni” riguarda proprio tutti?
Lo abbiamo visto nella cronaca, mi riferisco al caso dei personaggi pubblici spiati attraverso telecamere di sorveglianza che avevano in casa. Questo accade perché chi installa questi sistemi spesso non ha gli strumenti per capire che bisognerebbe attivare delle protezioni per impedirne l’accesso non autorizzato.

E come ci si difende?
Degli ottimi strumenti di difesa sono le password. Io mi occupo di cybersecurity dalla fine degli anni ’90 e questa cosa delle password la sento dire da allora. Di fondo c’è pigrizia: le password devono essere abbastanza complesse; se si usa il nome del cane come password, è chiaro che se ne ricorda facilmente, ma non è efficace. Un modo per proteggersi è quello di usare i “portachiavi”, che vanno dotati di password complesse. Quella può essere l’unica password da scrivere e conservare lontano dal computer, perché poi nel “portachiavi” possiamo inserire tutte le password di accesso agli altri strumenti, senza doverci preoccupare di ricordarci sempre tutto.

La cautela vale, immagino, anche per le imprese, anche le più piccole?
Certo, in particolare anche le PMI devono considerare che il problema della cybersecurity riguarda tutti, chiunque abbia un computer in ufficio. E poi c’è un fatto: anche quando ci sono i team di esperti nelle aziende, questi si accorgono che andrebbe adeguato un certo sistema; ne parlano con il responsabile che però magari rimanda l’investimento. Un atteggiamento che poteva avere una logica dieci anni fa, ma ora bisognerebbe che il management capisse che la protezione informatica dei propri asset non è più solo protezione dei computer, ma anche da eventuali danni di tipo reputazionale, economico, legale. Ci sono delle misure concettualmente semplici da adottare, ma è necessario cominciare a farlo, a partire dai backup dei sistemi.

In questo contesto, che ruolo può avere l’Intelligenza Artificiale?
L’AI può aiutare molto: nei controlli sui sistemi di rete, per intercettare “chi cerca di entrare”, l’AI potrebbe filtrare e sottoporre al vaglio del tecnico solo gli eventi critici. L’AI deve essere usata per difendersi in maniera efficiente, come la usano gli attaccanti. Ma attenzione agli effetti collaterali: la risposta che fornisce l’AI può non essere attendibile, ci possono essere delle vulnerabilità, perché si tratta di software. Anche l’AI deve essere progettata by design, ovvero prevedendo la protezione da attacchi cyber fin dalla progettazione. E soprattutto, se chiediamo a un’AI di creare per noi un agente, un assistente personale, potremmo trovarci di fronte a una programmazione con dei bug, ma l’utente medio non è in grado di accorgersene.