Nel 2025 la crescita è stata del 12%. Aumenta l’attenzione per sovranità digitale e vulnerabilità delle terze parti, ma le grandi imprese davvero resilienti sono solo il 28%, spiega l’Osservatorio Cybersecurity & Data Protection del Polimi
Autore: Redazione SecurityOpenLab
Il mercato italiano della cybersecurity ha raggiunto nel 2025 un valore di 2.778 milioni di euro, in crescita del 12% rispetto al 2024. Una crescita che rallenta leggermente rispetto al +15% del 2024 e al +16% del 2023, ma che rimane comunque nettamente più alta di quella del mercato ICT generale in Italia, per non parlare del PIL.
È il responso principale del report 2026 dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, presentato ieri. Secondo i ricercatori del Polimi, la crescita nel 2025 è stata alimentata da quattro fattori principali: l’accelerazione tecnologica, con il boom dell’AI (intelligenza artificiale), la pressione normativa - in particolare le scadenze dell’adeguamento alla Direttiva NIS2 –, le turbolenze geopolitiche, che stanno spingendo le imprese italiane a ripensare le scelte dei fornitori in ottica di autonomia strategica, cioè di sovranità digitale, e ovviamente la continua evoluzione delle minacce cyber.
Nelle grandi imprese italiane, in particolare, per il quinto anno consecutivo la cybersecurity si conferma la priorità numero uno di investimento (7 su 10 prevedono un aumento del budget dedicato nel 2026), con l’adeguamento alla NIS2 appunto come principale driver di investimento.
Nei quasi 2,8 miliardi di spesa del 2025, i servizi si confermano la componente principale rispetto alle soluzioni tecnologiche, e al loro interno i servizi gestiti rappresentano la quota principale (52%), segno di una crescente esternalizzazione del rischio da parte delle aziende utenti. Seguono i servizi professionali di sicurezza aziendale, e quelli di compliance normativa.
Quanto alle soluzioni, nel 2026 le imprese italiane mettono al primo posto l’area endpoint security, seguita dal testing e vulnerability management, mentre la network and infrastructure security scende dal primo al terzo posto.
Il contesto attuale, ha spiegato Alessandro Piva, Direttore dell’Osservatorio, al convegno di presentazione del report, è dominato da tre dimensioni: l’evoluzione delle minacce, la crescente complessità normativa, e la discontinuità tecnologica.
Sul fronte delle minacce, il numero e la gravità degli attacchi continuano ad aumentare, e l’Italia è uno dei paesi più colpiti, ha detto Piva, citando dati del Clusit. Una parte significativa del problema si annida nelle supply chain: secondo il Global Cybersecurity Outlook 2026 del World Economic Forum, le vulnerabilità nelle terze parti sono il secondo principale ostacolo alla cyber resilienza, preceduto solo dall’evoluzione tecnologica delle minacce.
Quanto al contesto normativo, oltre alla NIS2 le imprese devono confrontarsi con Cyber Resilience Act, AI Act, DORA e GDPR. Oltre ad adempiere alle singole norme, quindi, occorre armonizzare compliance e gestione del rischio in un quadro regolatorio sempre più complesso e stratificato.
Infine il contesto tecnologico secondo l’Osservatorio è dominato da due tendenze. Da una parte il boom dell’uso dell’intelligenza artificiale, per il quale emergono forti criticità di governance, ancora sottovalutate, mentre già si affaccia l’evoluzione all’AI agentica, capace di orchestrare autonomamente fino all’80-90% delle attività di cyberattacco. Non sorprende che il 71% dei CISO italiani ritenga che l’AI aumenti il rischio cyber.
Dall’altra si rafforza l’attenzione verso l’autonomia strategica. Secondo la ricerca del WEF già citata, il 66% delle imprese nel mondo ha modificato la propria strategia di cybersecurity in risposta all’incertezza geopolitica.
E in Italia secondo l’Osservatorio il 73% delle grandi imprese considera la provenienza geografica dei fornitori di cybersecurity nei processi di sourcing, escludendo quelli di Paesi ritenuti non allineati o preferendo soluzioni europee, in una logica di mitigazione delle dipendenze critiche.
Più in generale emerge una preferenza crescente per la scelta di fornitori cyber italiani o europei, anche se la maggioranza delle imprese utenti italiane continua a dedicare oltre la metà del budget a fornitori extra-europei, riscontrando nell’offerta a livello Italia e UE limiti nell’innovazione e nell’aggiornamento, prestazioni inferiori, e problemi di integrazione con l’esistente.
L’Osservatorio ha approfondito le strategie di cybersecurity delle grandi imprese italiane attraverso un’indagine su 145 CISO. Ne emerge che l’83% e presidia stabilmente il rischio cyber. E sotto la spinta della NIS2, il top management ha assunto un ruolo centrale, partecipando alla definizione dei livelli di esposizione al rischio.
Nel 2025 il 34% delle grandi imprese italiane ha gestito incidenti con oneri di risposta significativi, e il 3% ha subito impatti diretti sull’operatività. Di conseguenza, il 57% sta rivedendo in modo strutturale i propri piani di incident response.
Il fattore umano si conferma il principale elemento di rischio, indicato dal 96% dei CISO italiani. Il phishing rimane la tecnica dominante, anche perché l’utilizzo dell’AI ha permesso un grande salto di qualità, che si estende a tutte le azioni malevole (indicate come il secondo fattore di rischio): automatizzando gran parte della catena di attacco, l’AI abbassa la soglia di competenze necessarie, per cui non occorre più essere esperti per sferrare attacchi anche complessi.
Al terzo posto tra i fattori di rischio cyber secondo le grandi imprese italiane ci sono le loro stesse infrastrutture IT, per la loro eterogeneità, obsolescenza, e per il ricorso a servizi cloud di diversi fornitori.
Al quarto posto l’innovazione stessa, che quando è introdotta senza adeguati "guardrail" genera nuovi rischi, a causa di utilizzi non supervisionati (shadow AI), integrazione di sistemi OT non adeguatamente protetti, e per le stesse vulnerabilità dei sistemi di AI, che secondo la ricerca WEF citata sopra, è considerato dall’87% delle imprese come il rischio a più rapida crescita nel 2025, mentre
Infine un fattore di rischio notevole come già accennato è la filiera in cui l’impresa opera. Le terze parti comprendono fornitori IT tradizionali, hyperscaler e cloud service provider, e ovviamente i fornitori non-IT, ciascuno con profili di rischio differenti. In Italia il tema è particolarmente rilevante, considerando che il 48% delle PMI opera all’interno di filiere strategiche.
La sensibilità sul tema sta aumentando, visto che secondo l'Osservatorio il 54% delle grandi imprese ha implementato o potenziato programmi di gestione del rischio nel 2025.
Permangono però differenze rilevanti di maturità tra la gestione delle terze parti IT e quella delle non-IT. Solo nel 20% dei casi la funzione security è coinvolta nei processi di sourcing dei fornitori non tecnologici. Inoltre le valutazioni risultano spesso puntuali e non accompagnate da un monitoraggio continuo, e la visibilità sui subfornitori rimane limitata.
Secondo l’Osservatorio, nel prossimo anno la cyber-resilienza delle imprese italiane dipenderà dalla capacità di orchestrare quattro leve fondamentali.
Innanzitutto un monitoraggio continuo e capillare degli asset aziendali, oggi presente solo nel 48% delle grandi imprese. Poi una comprensione profonda degli impatti sul business, per orientare le risorse dove il rischio è più critico: questa pratica è realtà nel 46% delle imprese. Occorrono inoltre campagne di simulazione realistiche per testare la tenuta dei sistemi in attacchi complessi, oggi condotte dal 49% delle imprese. Infine serve un uso sistematico dell’AI per aumentare le capacità di difesa: avviene nel 56% delle imprese, ma non sempre cogliendone appieno il potenziale.
Tirando le somme, per ora solo il 28% delle grandi organizzazioni italiane compie effettivamente tutte queste quattro azioni, e si può quindi definire davvero “cyber-resiliente”.
Infine l’Osservatorio ha presentato in anteprima un ampio progetto di mappatura dell’ecosistema degli operatori di cybersecurity in Italia che sta portando avanti con l’ACN (Agenzia per la Cybersicurezza Nazionale). L’obiettivo, ha detto Luca Nicoletti, Capo del Servizio Programmi Industriali, Tecnologici e di Ricerca dell’ACN, è realizzare una fotografia organica della filiera industriale cyber italiana, monitorarla in continuo per capirne vantaggi competitivi e gap, supportare i policy maker con dati completi e oggettivi, e contribuire all’imprenditorialità e innovazione dell’ecosistema.
Nell’ambito del progetto è stata sviluppata una tassonomia proprietaria e mappate quasi 1600 realtà tra imprese consolidate e startup, censendo anche i finanziatori, ha spiegato Giorgia Dragoni, Ricercatrice Senior dell’Osservatorio. Da questa analisi emerge un panorama molto variegato in termini di ruoli nella filiera, ma piuttosto polarizzato su integratori e rivenditori di soluzioni sviluppate all’estero, con una forte focalizzazione dell'offerta su funzionalità di protezione tecnica, a scapito di quelle di governance e resilienza post-incidente.