Gli attacchi informatici in Italia hanno raggiunto nel 2025 livelli senza precedenti. Le organizzazioni italiane hanno subito in media 2.334 cyber attacchi alla settimana, un valore superiore del 18% rispetto alla media mondiale. Un dato che colloca il nostro Paese tra i più esposti in Europa, in un contesto in cui l’intelligenza artificiale sta trasformando radicalmente velocità, scala e modalità delle operazioni criminali.
A livello globale, nello stesso periodo, le aziende hanno registrato una media di 1.968 attacchi settimanali, con una crescita del 70% rispetto al 2023. L’Italia, però, corre più veloce della media, confermando come il Sud Europa stia diventando un’area sempre più attrattiva per gli attori malevoli.
Attacchi informatici in Italia: pubblica amministrazione, servizi e finanza sotto pressione
Nel nostro Paese i settori più colpiti risultano essere quello governativo, con 4.764 attacchi settimanali, seguito da servizi e beni di consumo (2.884) e servizi finanziari (2.011).
Una distribuzione che riflette la crescente digitalizzazione dei servizi pubblici e privati, ma anche la presenza diffusa di infrastrutture legacy, supply chain frammentate e livelli di maturità cyber ancora molto eterogenei. In particolare, il dato evidenzia la fragilità dei contesti dove la trasformazione digitale procede più rapidamente della modernizzazione delle architetture di sicurezza.
Il quadro italiano va letto all’interno di una dinamica globale in cui gli attacchi non sono più eventi isolati, ma campagne coordinate che combinano automazione, intelligenza artificiale e ingegneria sociale su più canali contemporaneamente.
L’intelligenza artificiale come moltiplicatore di scala, velocità e personalizzazione degli attacchi informatici
Il Cyber Security Report 2026 mostra con chiarezza come l’AI sia diventata un acceleratore operativo per i cybercriminali. Capacità un tempo riservate a gruppi altamente strutturati sono oggi disponibili su larga scala, consentendo attacchi informatici più rapidi, mirati e continui.
Nel solo arco di tre mesi, l’89% delle organizzazioni ha intercettato prompt AI potenzialmente pericolosi, con circa uno su 41 classificato come ad alto rischio. Un segnale evidente delle difficoltà nel governare l’uso dell’intelligenza artificiale all’interno dei flussi aziendali quotidiani.
L’AI viene ormai utilizzata per automatizzare la ricognizione, raffinare l’ingegneria sociale, supportare il processo decisionale operativo e aumentare l’efficienza delle attività di estorsione. Il risultato è un abbassamento drastico della soglia di ingresso: anche gruppi medio-piccoli possono oggi orchestrare campagne complesse e persistenti.
Dal phishing all’impersonificazione vocale: il social engineering diventa industriale
Uno dei cambiamenti più significativi riguarda l’evoluzione dell’ingegneria sociale. Nel 2025 gli attaccanti hanno superato definitivamente il perimetro dell’email, coordinando campagne attraverso web, telefono, piattaforme SaaS e strumenti di collaborazione.
Le tecniche ClickFix hanno registrato una crescita di circa il 500% in un solo anno. Si tratta di attacchi informatici che inducono le vittime a eseguire manualmente istruzioni apparentemente legittime, aggirando i controlli di sicurezza tradizionali.
Parallelamente, l’impersonificazione telefonica si è trasformata in vere e proprie intrusioni aziendali strutturate: finti operatori IT o help desk convincono i dipendenti a fornire credenziali o codici MFA, aprendo la strada a compromissioni su larga scala.
Il “digital workspace” — browser, applicazioni cloud e strumenti collaborativi — emerge così come nuovo livello di fiducia da sfruttare, trasformando l’elemento umano nel principale vettore di accesso iniziale.
Ransomware: più frammentazione, ma crescita costante delle vittime
Anche l’ecosistema ransomware ha attraversato una profonda riconfigurazione. Nel 2025 le vittime pubblicate sui data leak site sono aumentate del 53% su base annua, mentre i gruppi ransomware-as-a-service sono cresciuti del 50%.
Il modello si è decentralizzato in realtà più piccole e specializzate, spesso prive di strutture affiliate formali. Questo rende più complessa l’attribuzione degli attacchi informatici e l’intervento delle autorità, mentre l’intelligenza artificiale viene sempre più impiegata per migliorare il targeting delle vittime, automatizzare le trattative e aumentare l’efficienza operativa.
In Europa, l’Italia compare stabilmente tra i Paesi colpiti, confermando l’attrattività economica del mercato nazionale per le operazioni di estorsione.
PMI sempre più esposte: l’AI abbassa la soglia di ingresso per gli attacchi informatici
Anche se il report non distingue formalmente tra grandi aziende e PMI, il quadro che emerge colpisce in modo diretto il tessuto produttivo italiano, composto in larga parte da piccole e medie imprese.
La democratizzazione degli strumenti di attacco, resa possibile da AI, ransomware industrializzato e social engineering multicanale, sta abbassando drasticamente la soglia di ingresso per i cybercriminali. Capacità un tempo riservate a gruppi altamente strutturati sono oggi accessibili su larga scala, permettendo anche ad attori medio-piccoli di colpire organizzazioni con campagne personalizzate e continue.
Parallelamente, la frammentazione del ransomware in gruppi agili e specializzati rende le PMI bersagli ideali: meno protette, più lente nella risposta agli incidenti e con una maggiore probabilità di subire interruzioni operative critiche.
Il report evidenzia inoltre come dispositivi edge non monitorati, appliance VPN e sistemi IoT vengano sempre più sfruttati come punti di ingresso silenziosi. Un pattern che penalizza in modo particolare le PMI, dove inventario degli asset, segmentazione di rete e monitoraggio continuo risultano spesso incompleti o assenti.
A questo si aggiunge l’evoluzione dell’ingegneria sociale verso modelli multicanale che colpiscono direttamente strutture con team IT ridotti e processi di sicurezza meno maturi.
In sintesi, se le grandi organizzazioni restano obiettivi ad alto valore, l’industrializzazione degli attacchi informatici sta trasformando le PMI in bersagli sistemici: non più “collaterali”, ma parte integrante delle strategie di scala degli attori criminali. Per un Paese come l’Italia, questo significa che la cybersecurity non può più essere considerata un costo accessorio, ma una componente strutturale della continuità operativa.
Infrastrutture esposte e nuovi rischi nello stack AI
Accanto alle tecniche di attacco, cresce l’esposizione infrastrutturale. Dispositivi edge non monitorati, appliance VPN e sistemi IoT vengono sempre più utilizzati come punti di ingresso nascosti, capaci di mimetizzarsi nel traffico legittimo.
Sul fronte dell’intelligenza artificiale, un’analisi su 10.000 server Model Context Protocol ha rilevato vulnerabilità nel 40% dei casi, evidenziando quanto rapidamente i nuovi stack tecnologici vengano adottati senza adeguate misure di sicurezza. L’innovazione corre oggi più veloce della governance.
Cyber e geopolitica: il digitale come leva operativa
Il report evidenzia anche il ruolo crescente delle operazioni cyber nei conflitti geopolitici del 2025, dove gli attacchi informatici sono stati utilizzati come strumenti di ricognizione, pressione psicologica e destabilizzazione operativa.
Dalle infrastrutture energetiche ai sistemi logistici, il cyberspazio viene ormai trattato come dominio strategico, rafforzando la percezione della cybersecurity come tema di sicurezza nazionale e non più solo IT.
Perché per l’Italia serve un cambio di paradigma
Secondo Check Point, non basta reagire più rapidamente: serve un passaggio deciso verso modelli di sicurezza preventiva, capaci di bloccare le minacce prima che si traducano in movimento laterale, perdita di dati o estorsione.
Le raccomandazioni includono governance sull’uso dell’AI, protezione dello spazio di lavoro digitale, rafforzamento del perimetro e visibilità unificata sugli ambienti ibridi.
Per l’Italia, caratterizzata da un tessuto produttivo dominato dalle PMI e da una pubblica amministrazione in piena trasformazione digitale, il messaggio è diretto: senza un approccio strutturale alla prevenzione, il rischio è quello di subire attacchi informatici sempre più sofisticati senza avere il tempo materiale per reagire.
Nel nuovo scenario guidato dall’intelligenza artificiale, la cybersecurity diventa una leva strategica per la continuità operativa, la competitività delle imprese e la resilienza del Paese.
