Nuovo record storico nel numero di attacchi informatici registrati nell’arco dell’intero 2025, con una crescita che è stata del +48,7% nei dati dell’ultimo Rapporto Clusit relativo alle minacce informatiche nel 2025. In assoluto, il dato equivale a un numero di 5.265 incidenti, su un totale di 16.123 registrati nel periodo 2021-2025. Del totale incidenti nel mondo noti nello scorso anno, ben il 9,6% è stato diretto verso l’Italia, in aumento del 42% rispetto al dato del 2024 (sono stati 1.432 gli incidenti noti di particolare gravità verso realtà italiane nel periodo 2021-2025, solo nell’ultimo anno 507, mentre erano stati 357 nel 2024).
Gli esperti del Clusit evidenziano in particolare come tra le principali cause dell’ulteriore crescita vi sia l’adozione dell’intelligenza artificiale, che ha agito da vero e proprio moltiplicatore del rischio informatico. Nel confronto tra il 2021 e il 2025, il numero di incidenti di cybersecurity è infatti aumentato del 157%, a dimostrazione di come l’AI stia ridefinendo il settore sia sul fronte della difesa sia su quello dell’attacco. Da un lato, sistemi agentici autonomi offrono strumenti avanzati a supporto della sicurezza — come le piattaforme di agentic SOC, capaci di rilevare automaticamente comportamenti anomali e ridurre il carico di eventi da analizzare — mentre l’AI generativa può contribuire ad automatizzare la risposta ad alcuni incidenti. Dall’altro lato, però, l’impiego dell’AI introduce anche nuove superfici di vulnerabilità, che possono essere sfruttate e manipolate dagli attaccanti. Ad esempio, attraverso la manipolazione dei dati di addestramento o lo sfruttamento di difetti di progettazione, i threat actor possono utilizzare l’AI per sviluppare malware sempre più sofisticati e affinare le tecniche di individuazione ed esplorazione delle vulnerabilità nei sistemi delle vittime.
Un altro interessante scenario evolutivo nel panorama della cybersecurity su cui gli analisti del Clusit portano l’attenzione è poi l’intreccio sempre più stretto tra dominio digitale e infrastrutture fisiche, in virtù della convergenza OT/IT, che fa sì che potenziali compromissioni delle reti IT possono avere dirette conseguenze anche nel mondo fisico, non limitando più i danni alla semplice perdita di dati. Uno scenario che rende imprescindibile l’approccio security by design, soprattutto nel caso di tecnologie complesse come i digital twin delle infrastrutture critiche. Trattandosi di repliche digitali di sistemi fisici, utilizzate per simulazioni progettuali, manutenzione predittiva e ottimizzazione operativa, questi sistemi integrano grandi volumi di dati sensibili e interagiscono direttamente con sistemi di controllo reali. È quindi evidente come un attacco informatico a un digital twin possa produrre effetti rilevanti sulla sua controparte fisica, rendendo necessario integrare la sicurezza fin dalle prime fasi di sviluppo, tenendo conto di minacce, attori malevoli e possibili scenari di attacco.
Il Rapporto Clusit stila quindi la classifica degli attacchi registrati per tipologia di aggressori: nel mondo, il Cybercrime è stata la motivazione di nove incidenti su 10, pari all’89,3% del totale, in crescita del +55% sul 2024, con l’obiettivo di estorcere denaro. L’hacktivism è stato la causa del 5,8% degli incidenti, in aumento del +10%, con a seguire Spionaggio/sabotaggio (3,4%) e Information Warfare (1,4%). Guardando all’Italia, le due principali tipologie sono state il cybercrime (61%) e gli attivisti (39%): In particolare, gli attacchi a matrice attivista sono aumentati del 145% nel 2025, evidenziando come il nostro Paese sia particolarmente esposto a campagne con finalità prevalentemente dimostrative, spesso caratterizzate da forte risonanza mediatica e in grado di provocare significativi danni reputazionali alle organizzazioni colpite.
Nella tipologia di vittime, nel 2025 un incidente su cinque ha avuto come obiettivo Multiple targets (23,5%, in crescita del +96%), ovvero campagne di attacco sudiate per colpire indiscriminatamente organizzazioni differenti per grandezza e settore di attività. Ciò dimostra la capacità degli hacker di massimizzare su scala le proprie operazioni. Seguono il settore Governativo, militare e delle Forze dell’Ordine (12,2% degli attacchi), e la Sanità (10,6%), quest’ultimo con una crescita del +19% sul 2024. Il manifatturiero ha registrato il 7,6% degli attacchi (+79%). Di particolare nota, quindi, la crescita nel mondo degli attacchi al settore dei Servizi ICT, pari al 7,1% del totale incidenti e in aumento del +46% sull’anno precedente: una crescita che evidenzia una debolezza preoccupante del settore, che invece, più di altri, dovrebbe dimostrare maggiore resilienza, anche in virtù della più elevata concentrazione di competenze e delle risorse investite in strumenti di sicurezza informatica. Gli esperti del Clusit sottolineano come questi dati debbano stimolare una riflessione sui rischi di natura sistemica, alla luce della crescente tendenza delle aziende a ricorrere all’outsourcing dei servizi tecnologici e, di conseguenza, della necessità di selezionare con attenzione i fornitori di servizi ICT e cloud. In Italia, il 28,4% degli attacchi ha colpito il settore governativo, militare e delle forze dell’ordine, registrando un aumento del 290% rispetto al 2024. Seguono il comparto manifatturiero (12,6% degli incidenti in Italia e il 16% di quelli a livello globale nel 2025), la categoria “multiple targets” (12,4%) e il settore trasporti e logistica (12% del totale), quest’ultimo in forte crescita, con un incremento del 134,6% rispetto all’anno precedente.
Infine, per quanto concerne le tecniche di attacco, il 24,9% degli incidenti nel mondo ha sfruttato tecniche Malware, in aumento del +18% sul 2024. Le vulnerabilità sono state sfruttate nel 16,5% dei casi (+65%), mentre gli attacchi di Phishing e Social Engineering (9,9% sul totale degli attacchi nel mondo) sono aumentati del +75%, verosimilmente in ragione del contributo dell’AI nello sviluppo di tecniche sempre più insidiose. Il Rapporto mostra quindi anche come per oltre un terzo degli incidenti registrati nel 2025 si parli di tecniche ‘Undisclosed’, per i quali non è stato possibile determinare la tecnica. Ciò malgrado gli obblighi di notifica imposti dalle normative, per cui è quindi probabile che le aziende si limitino a comunicare solo gli elementi strettamente richiesti dalla legge, forse col timore di diffondere informazioni tecniche più in dettaglio, o per prevenire ulteriori danni di reputazione e non rendere noti eventuali limiti strutturali nella propria postura di cyber sicurezza. A tal proposito, il Clusit auspica invece una maggiore trasparenza tecnica, la quale, se gestita in modo responsabile e strutturato, potrebbe favorire una più efficace collaborazione tra i difensori, al fine di rafforzare la resilienza collettiva dell’ecosistema digitale. Infine, il Italia il 38,5% degli incidenti ha sfruttato tecniche DDoS (erano il 21% nel 2024), crescita legata probabilmente all’aumento degli attacchi alla PA e di matrice attivista; il Malware è sceso al 23%, mentre Phishing e Social engineering sono stati la causa del 12,4% degli incidenti, in aumento del +66%, anche in questo caso per l’impiego ormai massivo della AI che consente agli attaccanti di creare in maniera alquanto semplice e-mail e messaggi, sia testuali che vocali, sempre più verosimili e realistici, per trarre in inganno le vittime e fare breccia nei sistemi informatici delle organizzazioni mediante credenziali di accesso rubate.