Data Gathering 2026: il report annuale sullo stato della cyber security in Italia

Quali sono stati i principali vettori di attacco nel 2025? Come si sta evolvendo il panorama del cyber crime internazionale? Quali priorità devono adottare le aziende per proteggere dati, infrastrutture e identità digitale degli utenti? Leggi il Data Gathering e scopri i trend, le minacce reali e cosa ci aspetta nel prossimo anno digitale.

SCARICA IL DATA GATHERING

Ci piacerebbe dichiarare che il trend di crescita degli attacchi cyber nel 2025 si è fermato, ma non è così. Da un lato le minacce sono cresciute in volume, sofisticatezza e impatto, dall’altro l’entrata in vigore della NIS2 ha reso ancora più pressante per le aziende la necessità di strutturare processi di difesa solidi basati su monitoraggio continuo, correlazione di eventi e procedure di risposta agli incidenti.

La nuova edizione del Data Gathering raccoglie e analizza migliaia di dati reali raccolti durante le attività di detection e response del nostro team di security, un osservatorio privilegiato che restituisce una fotografia dello stato della sicurezza informatica nel nostro Paese.

Ecco un’anteprima dei risultati più rilevanti.

Dati salienti (in breve)

• +48% delle attività malevole nel 2025 rispetto al 2024

• +7.000 attacchi ransomware

• +3.600 campagne phishing censite in Italia

• +425 milioni di account violati nel mondo

• +48.000 nuove CVE pubblicate nel 2025

• Entrata a regime della NIS2
  

Cyber security 2025: attacchi in continua crescita

Nel 2025 si conferma una tendenza ormai consolidata: gli attacchi informatici continuano a crescere in volume, complessità e impatto. Gli eventi trattati dal nostro SOC sono aumentati, sia per l’ampliamento del nostro pool di clienti, sia per un cyber crime sempre più attivo e insidioso. Anche i dati Clusit rispecchiano questo trend registrando un aumento delle attività malevole del 48%.

I dati sono l’obiettivo principale dei cyber criminali che sono mossi principalmente da motivi economici:

• frodi finanziarie

• richieste di riscatto

• vendita di informazioni sul dark web

• spionaggio

Le tecniche di attacco più sfruttate sono ransomware, social engineering e account compromessi.

I ransomware e il modello a doppia estorsione

Il ransomware si conferma ancora come una delle tecniche di attacco più efficaci a livello mondiale con oltre 7.000 casi rivendicati, di cui 1.173 confermati dalle organizzazioni colpite. Anche nel nostro campione, il 27% degli incidenti con impatto significativo sono stati causati da un attacco ransomware.

Oltre agli attacchi rivendicati dalle grandi ransomware gang internazionali come Qlin e Akira, questa tecnica è largamente sfruttata a causa della diffusione delle piattaforme Ransomware-as-a-Service che permettono ad attori con ridotte competenze tecniche di avere accesso a strumenti di attacco complessi.

Una novità rilevante è stata l’affermarsi del modello a doppia estorsione: i gruppi ransomware non si limitano a cifrare i dati, ma chiedono alle aziende colpite un secondo riscatto per non pubblicarli nel dark web. La minaccia della pubblicazione delle informazioni rende l’attacco efficace anche quando l’azienda colpita dispone di back up funzionanti.

Social engineering e utenze compromesse: il furto di credenziali resta un anello debole

Phishing e social engineering restano tra gli strumenti preferiti dai cyber criminali.

Secondo le rilevazioni del CERT-AGID, nel 2025 sono state censite più di 3.600 campagne malevole inviate sul territorio nazionale. L’impiego dell’AI generativa ha reso queste comunicazioni ancora più insidiose raggiungendo un tasso di click del 54%, rispetto al 12% nei casi di testi scritti manualmente.

Il furto di credenziali è uno degli obiettivi principali delle campagne phishing. Apriamo così il tema dell’identità digitale, un aspetto su cui anche le normative comunitarie stanno ponendo particolare attenzione. A livello mondiale, infatti, il numero di account violati è arrivato a superare i 425 milioni. Questi account possono essere sfruttati come punto di partenza per altri attacchi, come l’invio di e-mail malevole da un indirizzo legittimo, l’esfiltrazione di dati, la diffusione di malware e lo spionaggio.

La formazione del personale è utile ad arginare questa minaccia, ma da sola non basta. Azzerare il rischio legato al fattore umano è impossibile, per questo, all’interno della strategia di cyber security aziendale è importante integrare dei sistemi per proteggere l’identità digitale dei dipendenti e dei processi di remediation in grado di individuare e isolare tempestivamente un’eventuale violazione.

CVE e vulnerabilità: 130 nuove minacce ogni giorno

Un altro tasto dolente per le aziende è lo sfruttamento delle vulnerabilità.

Ecco i dati divulgati dalla CISA relativi al 2025:

• Oltre 48.000 nuove CVE registrate

• L’8% delle nuove CVE è stato classificato come vulnerabilità critica

• il 28% delle vulnerabilità viene sfruttato nelle prime 24 ore dalla pubblicazione

Gestire 130 nuove vulnerabilità al giorno è impensabile per le aziende, per questo cambiare i processi di patching, utilizzando modelli in grado di prioritizzare l’installazione degli aggiornamenti in base alla correlazione del punteggio di criticità della CVE, livello di exploitability, esposizione reale dell’ambiente e contesto infrastrutturale della specifica azienda.

Cyber security 2026: cosa ci aspettiamo

Le previsioni per il 2026 non sono ottimiste. Infrastrutture complesse e attacchi sofisticati rendono il perimetro di difesa sempre più ampio e articolato, ponendo sul tavolo degli esperti del settore molteplici fattori da vigilare, tra cui:

• l’evoluzione dell’impiego dell’AI per scrivere malware, automatizzare exploit e creare phishing e deepfake sempre più convincenti

• gestione del rischio nella supply chain: le terze parti sono entrate nel mirino dei cyber criminali come punto di accesso per aziende più grandi

• espansione del perimetro digitale dato dalla crescente complessità delle infrastrutture su cloud ibrido e dalle vulnerabilità legata a IoT e OT

Il 2026 è anche l’anno dell’entrata a regime della NIS2 che impone alle organizzazioni dei settori di riferimento obblighi più stringenti per quanto riguarda requisiti di sicurezza, responsabilità e notifiche che si tradurranno entro la fine dell’anno in controlli e ispezioni da parte dell’ACN.

Da un lato le aziende dovranno rafforzare governance, monitoraggio e procedure interne e dall’altro è necessario rafforzare la collaborazione con le autorità e le società di security per contrastare il cyber crime.

Leggi il Data Gathering completo

Il report è molto più di un documento tecnico: è uno strumento strategico basato su dati reali, analisi comparate e insight operativi che restituiscono una fotografia dettagliata del panorama della cyber security, dei nuovi rischi e delle priorità da adottare per proteggersi.