La cybersecurity entra in una nuova fase industriale e geopolitica. Non riguarda più solo reti, server e centri operativi. Tocca ospedali, Comuni, imprese, filiere e servizi essenziali. Il 2025 segna un salto di qualità della minaccia. Gli attacchi ransomware hanno superato le 7.400 rivendicazioni globali, con un aumento del 42% sul 2024. In Italia i casi sono stati 166, in crescita del 14%.
Il dato emerge dalla seconda edizione del Cyber Security Report – Analisi delle minacce ed evoluzione dello scenario, realizzato da Cyber Security Foundation e Tim con il contributo del Centro Studi Tim. Il documento, presentato alla Camera dei Deputati, legge la minaccia cyber come un fattore strutturale. Non più un rischio episodico, ma una variabile permanente per sicurezza nazionale, continuità operativa e competitività.
Il quadro è ambivalente. Da un lato, l’intelligenza artificiale aumenta scala e precisione degli attacchi. Dall’altro, può rafforzare analisi, prevenzione e risposta. La vera partita, quindi, non è solo tecnologica. Si gioca sulla capacità del sistema Paese di trasformare dati e consapevolezza in difesa coordinata.
Indice degli argomenti
Il ransomware diventa industria criminale
La crescita del ransomware conferma l’evoluzione del cybercrime verso modelli più organizzati. Gli attacchi sono più frequenti, ma soprattutto più selettivi. Colpiscono dove l’interruzione dei servizi produce danni immediati, pressione reputazionale e costi elevati.
Secondo il report, quasi un evento ransomware su due riguarda gli Usa. L’Ue è la seconda area più colpita, con il 16% dei casi. In Europa cambia anche la geografia del rischio. La Germania supera il Regno Unito, mentre l’Italia scende al quarto posto.
Nel nostro Paese il ransomware mostra una forte concentrazione territoriale. Circa quattro episodi su dieci si registrano nel Nord-Ovest. La Lombardia pesa per oltre il 30% del totale nazionale. Il dato riflette la densità produttiva dell’area, ma anche l’esposizione di filiere industriali complesse.
Manifattura e servizi professionali risultano tra i settori più colpiti. Non è un dettaglio secondario. Sono comparti nei quali continuità operativa, dati e relazioni con clienti e fornitori, e dunque cybersecurity, hanno valore strategico. La minaccia punta proprio su questa dipendenza.
AI e cybersecurity, la doppia leva della minaccia
L’intelligenza artificiale cambia la scala della cybersecurity. Può automatizzare la produzione di codice malevolo. Può rendere più credibili phishing, frodi e campagne di adescamento. Può anche accelerare l’abuso di servizi cloud e le manipolazioni informative.
Il report sottolinea però anche il fronte opposto. La stessa tecnologia può supportare triage, analisi delle vulnerabilità e attività dei Security operation center. In altre parole, l’AI non è solo un amplificatore della minaccia. È anche una leva per ridurre i tempi di risposta.
La questione centrale diventa la capacità organizzativa. Strumenti più potenti non bastano senza processi adeguati. Servono threat intelligence, detection, vulnerability management e crisis management. Serve soprattutto la capacità di tradurre segnali tecnici in decisioni operative.
Lo ha evidenziato Gianluca Galasso, direttore del Servizio Operazioni e Gestione delle Crisi Cyber dell’Acn. La minaccia, ha sottolineato, è ormai una dimensione strutturale della resilienza nazionale. L’AI riduce il tempo tra scoperta di una vulnerabilità e sfruttamento.
Meno Ddos, ma più pressione sui target strategici
Il fronte Ddos mostra una dinamica diversa. Gli eventi rilevati sono circa 4.300, in calo del 36% rispetto al 2024. Il dato può indicare l’effetto di misure di prevenzione già attivate. Ma non segnala una riduzione della pressione complessiva.
Gli attacchi risultano meno diffusi, ma più mirati e persistenti. Il tempo medio di esposizione cresce del 19%. L’obiettivo sembra spostarsi verso target con maggiore rilevanza sistemica. La logica è massimizzare l’impatto operativo, non solo aumentare i volumi.
Escludendo famiglie e cittadini, che rappresentano circa sette casi su dieci rilevati dal Soc Tim, il settore government arriva al 46% del totale. Seguono servizi professionali, telecomunicazioni e trasporti. La direzione è chiara. La minaccia si concentra dove una crisi digitale può diventare crisi di servizio.
Per le infrastrutture critiche, questo cambio di forma è decisivo. La protezione non può limitarsi al perimetro tecnico. Deve includere continuità, governance, risposta agli incidenti e coordinamento con le autorità.
Vulnerabilità e malware allargano il perimetro
Il documento dedica attenzione anche alle campagne malware. Nel 2025 hanno interessato soggetti in circa 200 Paesi. La minaccia, quindi, conserva una dimensione globale e distribuita. Nessun ecosistema digitale può considerarsi fuori portata.
A preoccupare è anche la crescita delle vulnerabilità note. Sono arrivate quasi a quota 48.500, con un aumento del 20% rispetto al 2024. Il numero evidenzia la complessità crescente del software e delle filiere tecnologiche. Ogni componente può diventare un punto di ingresso.
Il focus sugli zero-day aggiunge un ulteriore livello di rischio. Si tratta di falle non ancora note ai produttori, quindi prive di patch. Possono essere usate per attività criminali, spionaggio o operazioni cibernetiche strategiche.
Qui emerge un nodo industriale. La cybersecurity non può essere aggiunta alla fine del ciclo tecnologico. Deve entrare nella progettazione, nella gestione delle forniture e nel controllo delle dipendenze. La resilienza passa anche dalla qualità delle filiere.
Cybersecurity, sovranità digitale e competenze
Il report collega la cybersecurity alla sovranità digitale. Reti di telecomunicazioni, dati, cloud e sistemi di comunicazione sono asset strategici. La loro protezione incide sulla continuità operativa del Paese e sulla competitività economica.
Alessandra Michelini, amministratrice delegata e presidente di Telsy, ha richiamato questo punto. La sicurezza digitale, ha spiegato, non può essere considerata un tema solo specialistico o difensivo. Deve diventare leva di crescita, innovazione e fiducia.
La prospettiva è rilevante per il mercato. Investire in sicurezza significa ridurre l’esposizione agli incidenti. Ma significa anche rendere più affidabili servizi digitali, cloud, reti e piattaforme. In un’economia data driven, la fiducia diventa infrastruttura.
Le competenze restano il passaggio più delicato. Senza personale formato, anche le tecnologie più avanzate perdono efficacia. Per questo il report insiste su prevenzione, formazione e cultura diffusa. La sicurezza deve parlare a imprese, istituzioni e cittadini.
Regole europee e nuove frontiere
Il report affronta anche il quadro normativo europeo e nazionale. Il riferimento è alla resilienza cibernetica, alla protezione delle infrastrutture critiche e agli obblighi per le organizzazioni più esposte. Centrale anche il tema delle dipendenze tecnologiche nelle filiere.
La regolazione diventa uno strumento di governance del rischio. Non elimina la minaccia, ma crea standard, responsabilità e procedure. Per imprese e pubbliche amministrazioni, questo significa passare da approcci reattivi a modelli più maturi.
L’ultima parte guarda alle tecnologie emergenti. Promptware, quishing, dispositivi smart, realtà virtuale e aumentata ampliano la superficie d’attacco. A questi si aggiungono crittografia quantum-safe e sicurezza delle reti satellitari.
AI, quantum computing e spazio sono tre frontiere decisive. Il quantum apre il rischio dell’harvest now, decrypt later. Le reti satellitari diventano infrastrutture sempre più strategiche. L’AI, intanto, accelera sia attacco sia difesa.
Le voci del sistema Paese
A dare il senso della posta in gioco sono anche le parole dei protagonisti intervenuti alla presentazione. Per Alessandra Michelini, amministratrice delegata e presidente di Telsy, “reti di telecomunicazioni, dati, infrastrutture cloud e sistemi di comunicazione costituiscono asset strategici essenziali per la continuità operativa del Paese e per la competitività del sistema economico”. Da qui la necessità di “investire in sovranità digitale, sviluppo delle competenze e tecnologie sicure”.
Marco Gabriele Proietti, fondatore e presidente di Cyber Security Foundation, richiama invece la dimensione culturale della sfida: “La sicurezza digitale non è più una questione tecnica: è una questione democratica”, perché gli attacchi informatici sono ormai “strumenti di pressione geopolitica” e leve di destabilizzazione economica.
Sul piano operativo, Gianluca Galasso, direttore del Servizio Operazioni e Gestione delle Crisi Cyber dell’Acn, avverte che l’intelligenza artificiale sta “riducendo drasticamente il tempo tra la scoperta di una vulnerabilità e il suo sfruttamento”. Per questo diventa essenziale rafforzare threat intelligence, detection, vulnerability e crisis management, trasformando rapidamente i dati in decisioni operative.
