AI, cloud e supply chain digitali stanno cambiando la natura del rischio cyber, trasformandolo da problema tecnico a minaccia sistemica per imprese, mercati e infrastrutture economiche. La Munich Re Global Cyber Risk and Insurance Survey 2026 fotografa un contesto in cui l’innovazione digitale continua ad accelerare, ma la capacità di difesa delle aziende non cresce con la stessa velocità.
Il dato più netto è anche il più preoccupante: l’89% dei manager ritiene che le aziende non siano abbastanza protette contro i cyberattacchi. Nel 2021 la percentuale era già elevata, all’81%, ma il peggioramento degli ultimi anni mostra quanto la percezione del rischio stia aumentando. Non è solo una questione di più attacchi, ma di dipendenza crescente da tecnologie interconnesse, servizi cloud, strumenti AI e catene digitali sempre più estese.
La survey, condotta su oltre 9.500 intervistati in 20 Paesi, indica inoltre che il cybercrime ha ormai raggiunto una scala economica globale. Se fosse uno Stato, rappresenterebbe la terza economia mondiale. Entro il 2028, i costi legati alla criminalità informatica dovrebbero arrivare a 14 trilioni di dollari, superando il PIL combinato di Germania, Giappone e India.
“La cyber resilience non è più soltanto un tema tecnologico o assicurativo, ma una questione economica e sociale. La crescente dipendenza da AI, cloud e supply chain digitali trasforma il rischio cyber in una minaccia sistemica, capace di propagarsi rapidamente tra settori, mercati e Paesi. Mentre la fiducia nell’innovazione digitale cresce, aumenta anche la consapevolezza che le attuali difese non siano sufficienti. In questo scenario, la cyber insurance viene percepita sempre più come componente essenziale della gestione del rischio aziendale e non più come semplice copertura accessoria”, ha dichiarato Paolo Ghirri, CEO di Munich Re Italia.
Munich Re: AI al centro della trasformazione digitale e del rischio cyber
L’intelligenza artificiale è oggi la tecnologia più rilevante per il top management globale. Il 71% dei dirigenti C-level la indica come priorità strategica, davanti ad analytics, cloud, robotica e blockchain. Il cambiamento rispetto agli anni scorsi è evidente: solo il 2% degli intervistati considera trascurabili queste tecnologie per il proprio business, contro il 12% registrato nel 2022.
L’adozione è già ampia. Il 57% delle organizzazioni utilizza strumenti AI nelle attività quotidiane e il sentiment resta nel complesso positivo. Il 66% ritiene che l’AI avrà effetti favorevoli sulla propria organizzazione, il 63% dichiara fiducia nella tecnologia e il 62% si fida delle aziende che la utilizzano. Anche sul piano assicurativo emerge un segnale interessante: il 57% sarebbe interessato ad acquistare coperture specifiche per i rischi legati all’intelligenza artificiale.
Il problema è che questa fiducia convive con timori molto concreti. Le principali preoccupazioni associate all’AI riguardano sicurezza e privacy dei dati, indicate dal 52% degli intervistati, cyberattacchi, al 42%, risultati inaccurati prodotti dai sistemi AI, al 32%, carenza di competenze e risorse, al 42%, e aspetti normativi e legali, al 30%.
Il punto è strutturale. L’AI non aumenta solo la produttività delle aziende, ma può aumentare anche la produttività degli attaccanti. Automatizzare la generazione di codice malevolo, migliorare campagne di phishing, accelerare attività di ricognizione o rendere più credibili frodi e impersonificazioni non richiede più le stesse competenze tecniche di qualche anno fa. La tecnologia abbassa le barriere anche per chi attacca.
Secondo Munich Re, molte esposizioni legate all’AI rientrano già nelle attuali polizze cyber, in particolare nelle aree Media Liability e Technology Errors & Omissions. È un passaggio importante perché il confine tra rischio informatico, rischio tecnologico e responsabilità legata all’uso dei sistemi AI diventa sempre meno netto.
Cloud indispensabile, ma il rischio sistemico aumenta
Se l’AI è il motore più visibile della nuova trasformazione digitale, il cloud ne rappresenta l’infrastruttura critica. Il 98% delle aziende intervistate dichiara di dipendere da servizi cloud. Questo dato conferma quanto il cloud sia ormai diventato una componente ordinaria del funzionamento aziendale, ma evidenzia anche un punto debole: quando una tecnologia diventa così centrale, ogni interruzione può generare effetti a catena.
La vulnerabilità economica è significativa. Un’interruzione cloud di un solo giorno potrebbe causare perdite superiori al 50% del fatturato giornaliero per l’11% delle imprese. Un altro 27% stima impatti compresi tra il 26% e il 50% dei ricavi quotidiani. In altri termini, per una quota non marginale di aziende, un blackout cloud non è un disagio operativo: è un evento capace di compromettere una parte rilevante della capacità di generare ricavi.
Munich Re sottolinea come i blackout cloud, intenzionali o accidentali, rappresentino oggi uno dei principali rischi accumulativi del settore cyber. Il concetto di accumulo è centrale per il mercato assicurativo: un singolo evento può colpire simultaneamente molte aziende, settori e Paesi, producendo perdite concentrate e difficili da isolare.
La dipendenza dal cloud va quindi letta insieme alla dipendenza dalla supply chain digitale. Le aziende non sono esposte solo ai propri sistemi, ma anche a provider, piattaforme, partner, software terzi e servizi condivisi. Più l’economia digitale diventa interconnessa, più il rischio cyber assume una dimensione sistemica.
Manager sempre più preoccupati, Italia sotto la media globale
A livello globale, il 60% dei dirigenti si dichiara preoccupato o estremamente preoccupato per la possibilità di un attacco informatico alla propria azienda. Le percentuali più elevate si registrano in India e Sudafrica, entrambe all’80%, seguite da Francia al 71% e Giappone al 70%.
L’Italia si colloca leggermente sotto la media globale, con il 52% dei C-level che esprime forte preoccupazione rispetto al rischio cyber. Il dato non va però letto come segnale di minore esposizione. Piuttosto, mostra una percezione del rischio meno elevata rispetto ad altri mercati, in un contesto in cui le minacce restano comunque trasversali e in crescita.
Le preoccupazioni dei manager sono sempre più legate all’esperienza diretta. Le aziende dichiarano di essere state colpite soprattutto da data breach, frodi online, interruzioni operative, ransomware, outage cloud e disruption della supply chain digitale. Sono scenari molto diversi tra loro, ma accomunati dalla stessa conseguenza: l’impatto cyber non resta confinato all’IT, bensì si trasferisce rapidamente su attività operative, reputazione, costi legali, continuità del business e rapporti con clienti e partner.
Secondo Munich Re, ransomware, Business E-mail Compromise, DDoS e violazioni dei dati restano i principali driver delle perdite assicurative cyber. È una conferma di quanto le minacce più note continuino a essere efficaci, anche mentre l’AI introduce nuove superfici di rischio.
Le PMI non sono più bersagli marginali
Uno degli aspetti più rilevanti riguarda le piccole e medie imprese. L’idea che le aziende di minori dimensioni siano troppo marginali per diventare bersagli interessanti è ormai superata. L’automazione degli attacchi, resa ancora più accessibile dall’AI, consente al cybercrime di colpire su scala più ampia, con costi più bassi e minori competenze tecniche.
Questo significa che anche organizzazioni con budget limitati, strutture IT ridotte o minore maturità cyber possono rientrare nel perimetro degli attaccanti. Non perché siano obiettivi strategici in senso tradizionale, ma perché possono essere facili da compromettere, monetizzare o usare come punto di ingresso in catene più ampie.
Per le PMI il problema è doppio. Da un lato aumentano l’esposizione e la probabilità di essere colpite. Dall’altro, risorse economiche, competenze interne e capacità di risposta agli incidenti sono spesso più limitate rispetto alle grandi imprese. In caso di attacco, l’impatto può quindi essere proporzionalmente più grave.
La democratizzazione del cybercrime rischia di rendere più frequenti attacchi prima riservati a gruppi tecnicamente avanzati. Phishing più credibile, frodi via email, impersonificazioni vocali o testuali, malware generato più rapidamente e campagne automatizzate possono colpire organizzazioni di qualsiasi dimensione.
Il vero nodo resta la scarsa cyber resilience
Il dato sull’89% degli executive che considera la propria organizzazione non adeguatamente protetta è il cuore della survey. Nonostante investimenti, nuove soluzioni di sicurezza e crescente attenzione del management, la resilienza cyber resta insufficiente.
Le difficoltà principali nel rafforzare le difese sono molto concrete. La bassa consapevolezza dei dipendenti viene indicata dal 40% degli intervistati. Seguono la mancanza di personale qualificato, al 31%, la scarsa integrazione delle soluzioni di sicurezza, al 30%, budget insufficienti, al 24%, e dipendenza dalla supply chain digitale, al 23%.
Il fattore umano resta quindi uno dei punti più vulnerabili dell’intera architettura di sicurezza. Non è una novità, ma l’AI può amplificarne il peso. Se gli attacchi diventano più personalizzati, più credibili e più difficili da riconoscere, la formazione tradizionale rischia di non essere sufficiente.
Anche la frammentazione degli strumenti di sicurezza è un problema ricorrente. Molte aziende hanno accumulato soluzioni diverse nel tempo, ma non sempre queste tecnologie dialogano tra loro o producono una visione coerente del rischio. In un ambiente digitale distribuito tra cloud, endpoint, identità, applicazioni e fornitori esterni, la mancanza di integrazione può ridurre la capacità di prevenire, rilevare e rispondere rapidamente agli incidenti.
La cyber resilience, quindi, non coincide con l’acquisto di singoli prodotti di sicurezza. Richiede governance, processi, competenze, continuità operativa, gestione della supply chain, piani di risposta agli incidenti e capacità di recupero.
Cyber insurance sempre più centrale nella gestione del rischio
La Munich Re Global Cyber Risk and Insurance Survey 2026 evidenzia anche una crescente maturità del mercato assicurativo cyber. Le aziende considerano sempre più la cyber insurance come una componente della gestione del rischio, non come una copertura accessoria da valutare solo dopo avere implementato le difese tecniche.
Nel 2026, il 52% delle aziende afferma di avere ricevuto un’offerta di cyber insurance. Parallelamente cresce la propensione all’acquisto: il 43% delle imprese dichiara di valutare concretamente la sottoscrizione di una polizza cyber, contro il 35% del 2021.
Le motivazioni principali sono legate al rimborso delle perdite da business interruption e alla copertura delle responsabilità legali, entrambe indicate dal 48% delle aziende. Seguono l’accesso a servizi specialistici di risposta agli incidenti, al 43%, e la sicurezza operativa, al 39%.
Questi dati mostrano un’evoluzione del ruolo dell’assicurazione. La cyber insurance non serve solo a compensare una perdita economica dopo un attacco, ma può diventare parte di un modello più ampio di preparazione e risposta. In particolare, l’accesso a servizi specialistici può essere decisivo per aziende che non dispongono internamente di competenze avanzate.
Resta però un equilibrio delicato. L’assicurazione non può sostituire la prevenzione, e l’aumento della domanda richiede una valutazione sempre più accurata dei rischi, delle esposizioni e delle misure di sicurezza adottate dalle aziende. Più il rischio cyber diventa sistemico, più diventa essenziale distinguere tra semplice trasferimento del rischio e reale rafforzamento della resilienza.
Il rischio cyber diventa una questione economica e sociale
Il quadro che emerge dalla survey di Munich Re è netto. L’economia digitale sta entrando in una fase in cui AI, cloud e supply chain tecnologiche sono indispensabili per competere, ma allo stesso tempo moltiplicano le interdipendenze e ampliano la superficie di attacco.
La contraddizione è evidente: le aziende hanno fiducia nell’innovazione, ma non si sentono protette. L’AI è considerata prioritaria, ma genera timori su privacy, sicurezza, risultati inaccurati e responsabilità. Il cloud è ormai essenziale, ma un’interruzione può produrre perdite molto elevate in tempi brevissimi. La cyber insurance è sempre più richiesta, ma il mercato resta ancora largamente inesplorato.
Per le imprese, il salto necessario è culturale e operativo. La sicurezza informatica non può più essere gestita come un tema separato, confinato all’IT o alla compliance. Deve entrare nella pianificazione strategica, nella gestione del rischio, nelle decisioni su cloud e AI, nella selezione dei fornitori e nella continuità operativa.
Il cybercrime cresce perché segue la stessa logica dell’economia digitale: scala, automazione, velocità e interconnessione. La risposta non può essere frammentata. Deve combinare tecnologia, formazione, governance, assicurazione e capacità di risposta. In caso contrario, la distanza tra innovazione digitale e resilienza continuerà ad allargarsi.
