Negli ultimi anni, complice la trasformazione digitale che ha investito l’intera economia europea con il programma Percorso per il decennio digitale, la cybersicurezza è passata dall’essere una questione riservata a pochi addetti ai lavori a una vera e propria priorità dei diversi attori istituzionali – dai governi alle imprese, fino agli operatori assicurativi. Come sottolinea il Rapporto CLUSIT, nonostante i budget per la sicurezza informatica siano in crescita, il divario tra la capacità offensiva degli attaccanti e l’efficacia delle contromisure continua ad ampliarsi. Da qui l’aumento sistemico dei rischi e quindi la necessità di spendere le risorse disponibili in modo più efficace e mirato.
Indice degli argomenti
Sicurezza digitale leva di equilibrio economico
In un mondo sempre più interconnesso dalle nuove tecnologie, con le reti Tlc che ne costituiscono l’ossatura portante, in cui le relazioni internazionali sono caratterizzate da forme di conflittualità ibrida e da una crescente competizione geopolitica dello spazio digitale, la sicurezza informatica non rappresenta più soltanto una questione tecnologica, ma un fattore di equilibrio economico, che va ad incidere profondamente sulla tenuta stessa della democrazia. Secondo l’ultimo Cyber Readiness Report 2025 di Hiscox Group — basato su un campione di oltre 6.000 piccole imprese in sette Paesi internazionali—, più della metà delle pmi (59%) ha subito un attacco informatico nell’ultimo anno. Un terzo delle aziende ha ricevuto sanzioni dopo l’evento e il 27% è stato vittima di ransomware, con l’80% che ha scelto di pagare un riscatto.
La costante crescita delle minacce informatiche rappresenta quindi una sfida per la sicurezza nazionale, mettendo a rischio gli interessi degli Stati e dei cittadini. Stando alle statistiche, nel primo semestre del 2025 è stato raggiunto un record storico con 2.755 incidenti registrati, segnando un aumento del +36% rispetto al semestre precedente. Nello specifico, l’Italia continua a subire una quota sproporzionata degli attacchi, seppur con motivazioni diverse rispetto a quelle riscontrabili in altri Stati del mondo. Il cosiddetto hacktivism, che a livello globale incide solo per l’8%, in Italia rappresenta la motivazione principale, attestandosi al 54% e superando perfino il Cybercrime (46%).
Come si muovono gli Stati
A livello globale, la cybersicurezza si inserisce in un contesto di crescente competizione tra Stati. Stati Uniti, Cina e Russia investono massicciamente in capacità offensive e difensive nel cyberspazio, utilizzando operazioni informatiche come strumenti di pressione geopolitica. La Nato ha riconosciuto il dominio cibernetico come “quinto dominio operativo” e sostiene forme di cooperazione bi-multilaterali tra i Paesi membri, come ad esempio il Cyber Defence Centre of Excellence con sede a Tallinn. Sul piano normativo internazionale, rimane centrale la Convenzione di Budapest sul Cybercrime6, rafforzata nel 2022 con il Secondo Protocollo aggiuntivo, volto a migliorare la cooperazione transfrontaliera nella raccolta delle prove digitali.
Aumenta il rischio esposizione
A ciò si aggiungono altre dinamiche che hanno contribuito a rendere problematica la gestione del rischio cyber nella società contemporanea. Difatti, la rapida espansione della digital economy, l’adozione diffusa dello smart working e l’elevata interconnessione delle varie filiere industriali hanno ampliato progressivamente la probabilità di esposizione verso questa tipologia di attacchi. In questo quadro, il rischio informatico incide profondamente sui processi organizzativi delle aziende. I dati derivanti dal Cyber Readiness Report 20258 realizzato da Hiscox attestano come il 39% delle aziende segnali livelli elevati di pressione sul personale coinvolto nella gestione degli attacchi, mente il 32% riporta casi di burnout. Emblematici, ad esempio, i cosiddetti attacchi ransomware – tra le minacce più diffuse e destabilizzanti – che colpiscono indistintamente imprese sia di piccole che di grandi dimensioni.
Nel settore del business, per limitare l’impatto di queste situazioni, le pmi stanno adottando una posizione proattiva e pragmatica per affrontare le minacce crescenti. I dati parlano chiaro: il 94% prevede di aumentare i propri investimenti, nell’ottica di una maggiore resilienza, in sicurezza informatica e protezione dei dati nei prossimi dodici mesi anche grazie all’ausilio dell’intelligenza artificiale. Quest’ultima, viene vista in maniera ambivalente in termini di sicurezza. Sebbene circa i due terzi dei responsabili della sicurezza (65%) percepisca l’AI più come un asset strategico per il proprio business, gli esperti sono consapevoli dei rischi e delle vulnerabilità emergenti derivanti dall’AI nei prossimi cinque anni. Tra queste rientrano gli attacchi di social engineering (60%), malware e attacchi di phishing (60%) e, non da ultimo, il fatto che l’intelligenza artificiale possa prendere il controllo dei dati aziendali (60%).
Come difendersi oltre la tecnologia
Di conseguenza, per contrastare gli effetti più perversi dell’AI è necessario assicurarsi che le polizze assicurative, la cui sottoscrizione varia in base alla dimensione dell’azienda, includano i rischi legati all’AI (37%); che le aziende rafforzino il livello di digital literacy dei propri dipendenti sulla consapevolezza delle minacce AI (31%); infine, la necessità di eseguire periodicamente audit sull’uso dell’AI (36%).
Questa esigenza di investimento non riguarda solo le pmi, ma si estende anche a settori come quello delle Telecomunicazioni (Tlc), strategico per la connettività e l’interoperabilità dei servizi, si trova ad affrontare sfide finanziarie crescenti. Secondo l’associazione di categoria Asstel, il costo del capitale per le Tlc in Italia è salito dal 7,3% (del 2019) all’8,1% (del 2023), quasi azzerando la capacità delle imprese di generare cassa e rallentando gli investimenti privati. Questo freno agli investimenti si traduce direttamente in un rallentamento nell’adozione di misure difensive avanzate e nell’aggiornamento di reti critiche, ampliando di fatto la potenziale superficie di attacco del Paese. Nonostante questo scenario di cautela finanziaria e freno agli investimenti attuali in Italia, in prospettiva la spesa globale in nuove infrastrutture e software cloud per le reti di telecomunicazioni è prevista in forte crescita, con un tasso annuo del +7,3% fino a raggiungere i 24,8 miliardi di dollari entro il 203012, spinta principalmente dall’adozione del Cloud e dell’Intelligenza Artificiale.
Le variabili macroeconomiche
La resilienza cyber, dunque, non è solo una questione tecnologica, ma è fortemente condizionata da variabili macroeconomiche che determinano l’abilità del settore Tlc – che per la sua strategicità rientra tra i comparti chiave della Direttiva NIS2 – di proteggere l’intero ecosistema digitale nazionale.
La funzione regolatoria del diritto
È in questo contesto che emerge con chiarezza la funzione regolatoria del diritto. L’intensificarsi delle minacce ha infatti spinto il legislatore a rafforzare il quadro normativo. Sul fronte nazionale, la Legge n. 90/2024 rappresenta senza dubbio un pilastro fondamentale, introducendo disposizioni volte a rafforzare la resilienza cibernetica su tutto il territorio e aggiornando il quadro penalistico in materia cyber. Nello specifico, la legge estende i principali obblighi in termini di cybersicurezza e di notifica degli incidenti al Computer Security Incident Response Team (CSIRT) Italia a nuove realtà amministrative e operative. Tra queste rientrano Regioni, Città metropolitane, Comuni con oltre 100.000 abitanti e Aziende sanitarie locali. Inoltre, se da un lato la normativa potenzia i requisiti di cybersicurezza nel procurement pubblico, istituendo il Centro nazionale di crittografia presso l’ACN (Agenzia per la Cybersicurezza Nazionale), dall’altro la stessa va a disciplinare i rapporti tra l’Agenzia, la Polizia Giudiziaria e l’Autorità Giudiziaria per bilanciare le esigenze investigative con quelle di resilienza operativa.
Parallelamente, il Decreto Legislativo n. 138/202414, recependo la Direttiva (UE) 2022/2555 (NIS2), si pone l’obiettivo di garantire un livello uniforme di cybersicurezza all’interno dell’Unione, estendendo l’ambito di applicazione a 18 settori (compresa una porzione significativa della PA) e introducendo requisiti minimi di sicurezza più stringenti e sanzioni in linea con le normative del GDPR. Tra i settori chiave e strategici soggetti a tali obblighi rientra anche il comparto delle Telecomunicazioni (Tlc), la cui resilienza è cruciale per la connettività e l’interoperabilità di tutti gli altri servizi essenziali inclusi nella Direttiva. In aggiunta a ciò, a completamento del quadro per la digitalizzazione sicura della pubblicazione amministrazione, il cosiddetto Regolamento cloud, che ha razionalizzato le normative esistenti, stabilendo che le Amministrazioni debbano classificare i dati e i servizi digitali in strategici, critici e ordinari.
Sul fronte comunitario, l’impulso normativo si è concretizzato con l’approvazione del Cyber Resilience Act (CRA) (applicabile a partire dall’11 dicembre 2027), che armonizza i requisiti di cybersicurezza per i prodotti con elementi digitali immessi sul mercato. Questo provvedimento si inserisce nel solco sia del Regolamento eIDAS2, che istituisce il portafoglio europeo di identità digitale (EUDI Wallet), sia dell’AI Act, che enumera regole armonizzate per l’Intelligenza Artificiale basate sulla classificazione del rischio. Da segnalare, inoltre, l’adozione del Cyber Solidarity Act (CSoA), finalizzato a rafforzare la capacità dell’UE di rilevare e rispondere in modo coordinato a minacce e incidenti informatici su vasta scala.
Per il futuro
In sostanza, emerge come il livello nazionale dialoghi in sinergia con le normative europee, con l’obiettivo di definire una architettura legislativa comune che aumenti la protezione della superficie digitale dell’intera Unione Europea. La cybersicurezza non costituisce più un tema puramente tecnico, ma un elemento strategico finalizzato sia al rafforzamento della sicurezza nazionale che della competitività economica. L’impegno dei prossimi anni consisterà quindi nel trasformare il quadro normativo in pratiche operative effettivamente implementabili, investendo sulla cooperazione tra istituzioni pubbliche e imprese private e sulla diffusione di una maggiore cultura della sicurezza digitale.
