Il panorama delle minacce informatiche in Italia ha mostrato nel 2025 un’escalation preoccupante che merita attenzione tecnica e strategica. L’Agenzia per la sicurezza cibernetica (ACN) ha pubblicato la sua relazione annuale al Parlamento, documentando un salto quantitativo negli attacchi con 2.729 eventi cyber registrati (+38% rispetto all’anno precedente). Il dato grezzo potrebbe sembrare catastrofico, ma l’analisi più approfondita rivela sfumature inattese e non altrettanto negative.

Gli incidenti con impatto confermato si sono infatti fermati a 615, segnando un aumento modico del 7%. Questo divario tra eventi malevoli e incidenti effettivamente dannosi non è un dettaglio trascurabile. Indica che il CSIRT Italia, il team di risposta agli incidenti informatici dell’agenzia, ha lavorato con efficacia crescente nell’allertare tempestivamente le potenziali vittime e nel fornire indicazioni operative per mitigare le minacce più diffuse. La capacità di difesa degli operatori sta insomma mostrando un miglioramento progressivo, anche se il percorso è ancora lungo.

ACN cyber

Le vittime degli eventi cyber sono state 3.907, con un balzo del 50% rispetto al 2024. Ad essere la più colpita rimane la Pubblica Amministrazione, seguita dalle telecomunicazioni e dal comparto tecnologico, due pilastri dell’infrastruttura digitale nazionale nonché settori critici per definizione, dove la disponibilità dei servizi e l’integrità dei dati assumono valore strategico per la continuità operativa del Paese.

I picchi degli eventi si sono concentrati in quattro mesi specifici: febbraio, giugno, settembre e ottobre. Questa scansione temporale coincide con quattro campagne distinte di attacchi DDoS, rivendicate da gruppi hacktivisti legati al conflitto russo-ucraino che hanno cercato di sovraccaricare i sistemi rendendoli inaccessibili e colpendo direttamente la disponibilità dei servizi.

Screenshot 2026-05-27 105031

La natura dei danni è varia. Il 34% degli incidenti ha compromesso la riservatezza o l’integrità dei dati, il 27% la disponibilità, il 21% ha comportato compromissione di account, il 14% di sistemi e il 4% di applicazioni. Ogni categoria richiede strategie di difesa differenti. La compromissione di account, ad esempio, apre la porta al movimento laterale nella rete, mentre l’integrità dei dati significa che informazioni sono state alterate in modo malevolo.

Il personale tecnico di ACN è intervenuto direttamente a supporto delle vittime in 55 occasioni nel 2025. Gli interventi hanno riguardato principalmente soggetti della Pubblica Amministrazione centrale e locale, del settore tecnologico e di quello sanitario. Tre aree dove i costi di un incidente cyber si misurano non solo in euro, ma in servizi essenziali compromessi per cittadini e imprese. Sebbene la risposta italiana abbia mostrato una resilienza crescente, la relazione conferma che la minaccia è in continua evoluzione e richiede investimenti costanti in competenze, tecnologie e consapevolezza organizzativa.