Il Clusit, l’Associazione Italiana per la Sicurezza Informatica, ha reso nota la tredicesima edizione del suo Rapporto – la seconda nel 2025 - incentrata sul primo semestre 2025: periodo in cui gli incidenti cyber rilevati nel mondo sono saliti a 2755, con un nuovo forte aumento (+36%) rispetto al semestre precedente (il secondo del 2024), mentre in Italia l’aumento è stato “solo” del 13%, con 280 incidenti.

Ricordiamo che il Clusit analizza solo gli incidenti cyber di pubblico dominio, che hanno avuto significativi impatti economici, tecnologici, legali, reputazionali sulle organizzazioni che li hanno subiti. Detto questo, il totale degli incidenti registrati nel mondo nel primo semestre del 2025 segna un record storico dall’inizio della pubblicazione del Rapporto Clusit, nel 2011, e conferma una tendenza di continua escalation: negli ultimi cinque anni e mezzo si è verificato oltre il 60% di tutti gli incidenti dal 2011 a oggi.

I ricercatori di Clusit evidenziano che anche la gravità (severity) degli incidenti nel mondo è in crescita: l'impatto medio stimato nel mondo è stato infatti “critico” o “elevato” nell’82% dei casi, contro il 77% del 2024 e il 50% del 2020. 

"Mediamente la severity sta peggiorando, diminuiscono gli impatti medi e spariscono gli impatti bassi. Insomma gli attaccanti quando colpiscono vogliono fare male, non stanno facendo dei tentativi", ha commentato Sofia Scozzari del Comitato Direttivo Clusit. "La severity è particolarmente alta nell'healthcare, un settore molto in difficoltà rispetto ai cyberattacchi, perché deve ripristinare velocemente i sistemi per salvare vite umane, e poi deve proteggere i dati dei pazienti oltre che i propri".

La buona notizia è che in Italia invece è stata significativamente più bassa della media la quota di incidenti di gravità “critica” (7% in Italia, 29% nel mondo) o “elevata” (33% in Italia, 53% nel mondo).

Gli incidenti di gravità “media” invece hanno avuto un’incidenza molto più alta in Italia (60% in Italia, 18% a livello globale).

Nel nostro Paese quindi gli attacchi sembrano danneggiare meno che nel resto del mondo, e il loro aumento in numero è più contenuto. Due ottime notizie, ma l’Italia resta uno dei paesi più attaccati in assoluto: “Auspichiamo che i dati della severity per l'Italia siano dovuti anche a una maggiore capacità di contenimento e mitigazione degli attacchi. Comunque l’incidenza dell’Italia sul numero totale degli incidenti del mondo si conferma intorno al 10%, mentre il PIL italiano è ben al di sotto del 10% di quello globale”, ha sottolineato Luca Bechelli, del Comitato Direttivo Clusit.

Dal punto di vista geografico, nel primo semestre 2025 un incidente su quattro è avvenuto in Europa, in calo di 5 punti percentuali rispetto allo scorso anno. L'America si conferma al primo posto per numero di vittime, mentre l'aumento più marcato (sette punti percentuali) è stato per l’Asia, che ha toccato il suo massimo storico con 523 incidenti nel semestre, più che in tutto il 2024. Sono sostanzialmente stabili invece Oceania (3%) e Africa (1%), anche perché su questi continenti abbiamo meno informazioni, ha sottolineato Scozzari.

Un marcato squilibrio tra capacità offensive e contromisure

Il report è stato presentato stamattina - in un evento online peraltro funestato da problemi tecnici provocati da un blackout - in apertura del tradizionale Security Summit Streaming Edition.

“Le analisi di Clusit, a livello nazionale e globale, mettono in evidenza un marcato squilibrio tra la crescente capacità offensiva degli attaccanti e l’efficacia delle contromisure, purtroppo sempre più a vantaggio degli attaccanti”, ha commentato Anna Vaccarelli, presidente di Clusit, aprendo la presentazione del rapporto.

Oltre all'allarmante aumento delle attività di matrice criminale, ha aggiunto Vaccarelli, le operazioni condotte dagli Stati, direttamente o tramite gruppi sponsorizzati, sembrano ormai diventate la norma, e vengono implementate in modo sistematico grazie a un sofisticato arsenale di strumenti offensivi, con diverse finalità ed intensità.

“Questo si aggiunge alle tradizionali attività di spionaggio e si concentra su infrastrutture e piattaforme governative, civili e industriali. A ciò si accompagna una persistente attività di disinformazione verso la popolazione, che genera disorientamento e incertezza come mai in passato”.

Le finalità degli attacchi nel mondo

Secondo il Clusit, la crescita in volume degli incidenti nel mondo è sostenuta da un aumento del fenomeno Cybercrime, causa di 2401 incidenti, ovvero l'87% del totale nel primo semestre del 2025, e il 76% degli eventi Cybercrime di tutto il 2024.

I fenomeni di Espionage/Sabotage e Information Warfare (un incidente su 10) sono invece in calo rispetto al 2024, nonostante l’aggravarsi dello scenario dei conflitti nel mondo. “Attribuire questi attacchi però è sempre estremamente difficile”, ha sottolineato Sofia Scozzari.

Le tensioni geopolitiche si riflettono invece in un aumento sostanziale degli incidenti di Hacktivism, il cui numero nei primi sei mesi del 2025 è stato il 59% degli eventi di questo tipo in tutto il 2024.

I settori più attaccati nel mondo

Gli eventi che hanno colpito con successo più settori (“Obiettivi Multipli”) sono in forte crescita, e hanno determinato il 21% delle vittime nel primo semestre 2025. Al secondo posto il settore Governativo/Militare/Forze dell’Ordine, stabile al 14%, con una quantità di incidenti pari al 75% di tutti quelli che aveva registrato nel 2024.

La Sanità, anche se in discesa di un punto percentuale rispetto all’anno precedente, con 337 incidenti nel primo semestre 2025, ha realizzato il 67% dei 500 incidenti registrati nel corso del 2024. In crescita anche l'incidenza sul totale degli incidenti del Manifatturiero (dal 6% del 2024 all'8% nel primo semestre 2025): in un solo semestre il comparto ha raggiunto il 90% degli incidenti registrati in tutto il 2024.

Le tecniche di attacco nel mondo

Un quarto degli incidenti registrati dal Clusit nel primo semestre 2025 è stato causato da Malware, che si conferma la tecnica più utilizzata dagli attaccanti. La tipologia di codici malevoli nettamente più utilizzata è il ransomware, grazie anche all’alta resa economica.

Gli incidenti basati su vulnerabilità, DDoS e Web Attack costituiscono la seconda tecnica più utilizzata, ma sono cresciuti in numero più rapidamente. Nei primi sei mesi del 2025 sono stati infatti la causa di un numero di eventi pari all’83% dell’intero 2024.

Il Phishing risulta stabile rispetto al 2024, confermandosi causa dell’8% degli attacchi nel mondo. È diminuito l’uso di Tecniche Multiple (da 5% a 3%) e Identity Theft/Account Cracking (-3 punti percentuali). Per il Clusit questo potrebbe essere dovuto alla spinta di norme che richiedono formazione continua per tutti gli operatori, e alla maggior disponibilità ad adottare strumenti efficaci di gestione delle identità (Multi Factor Authentication in primis).

La situazione in Italia

Abbiamo già anticipato le principali tendenze per l’Italia. Il Clusit evidenzia inoltre che il nostro paese - rispetto alla media globale - è stato molto più colpito da incidenti di tipo DDoS realizzati da gruppi di sedicenti attivisti che, in realtà, sono molto probabilmente sabotatori coordinati da strutture governative russe. Pur trattandosi di incidenti con impatti di livello tipicamente medio-basso, la loro frequenza, secondo gli esperti, rende necessarie azioni di mitigazione specifiche.

La maggioranza degli incidenti noti in Italia infatti si riferisce proprio alla categoria Hacktivism, che si attesta al 54%, superando a livello nazionale il peso del Cybercrime. Le organizzazioni italiane risultano particolarmente vulnerabili a iniziative con finalità dimostrativa, di matrice politica o sociale. Il dato dei primi sei mesi del 2025 rappresenta più di una volta e mezza il totale degli incidenti del 2024.

Il Cybercrime è stato invece nel nostro Paese la causa del 46% del totale degli incidenti; in questa categoria, si è tuttavia verificato un numero superiore di eventi rispetto a quelli rilevati nello stesso periodo dello scorso anno (130 nel primo semestre 2025 vs 89 nel primo semestre 2024).

I settori più attaccati in Italia

Nel primo semestre di quest’anno il Clusit ha rilevato un maggior numero di incidenti cyber nell’ambito Governativo/Militare/Forze dell’Ordine italiano (38% del totale), quasi il quadruplo rispetto all’intero anno precedente.

Questo dato si può almeno in parte spiegare con l'aumento della pressione del fenomeno Hacktivism: gli attacchi di tipo dimostrativo, infatti, sono spesso motivati da finalità politiche o geopolitiche e rivolti a vittime nella sfera delle istituzioni pubbliche e militari, in modo da generare grande attenzione nell’opinione pubblica, amplificando la visibilità del messaggio che gli attaccanti vogliono veicolare.

Al secondo posto gli incidenti in ambito Trasporti/Logistica (17% del totale), che hanno realizzato in sei mesi oltre una volta e mezzo il numero degli incidenti di tutto l’anno precedente.

“Qui la crescita degli attacchi è collegata alla volontà degli attaccanti di mettere in crisi intere filiere industriali e commerciali, colpendo più segmenti di mercato contemporaneamente e limitando la capacità di garantire approvvigionamento e distribuzione”, ha commentato Bechelli.

Il settore Manifatturiero, in cui è avvenuto il 13% degli incidenti nel primo semestre dell’anno, ha raccolto in Italia una quota più significativa di incidenti rispetto al resto del mondo – che nella vista globale si ferma all’8% - spiegabile, secondo il Clusit, con la peculiarità del tessuto economico del nostro Paese.

Infine il Commercio al Dettaglio/Ingrosso ha registrato in Italia una crescita statisticamente rilevante di incidenti, mentre a confronto con i dati del 2024, la Sanità registra una diminuzione degli incidenti.

Tecniche d’attacco in Italia

La tecnica prevalente causa degli incidenti in Italia nel primo semestre 2025 è stata il DDoS (54%), con un peso nettamente maggiore rispetto alla media mondiale (9% del totale). Il Clusit qui evidenzia la correlazione con gli incidenti causati da Hacktivism: molto spesso la tecnica di attacco utilizzata dagli hacktivist è proprio il DDoS, poiché si punta a interrompere l’operatività di servizio dell’organizzazione o istituzione individuata come vittima per innalzare l’attenzione su un messaggio di denuncia o protesta.

Seguono le tecniche basate su Malware, con il 20% degli eventi, su Vulnerabilità (5%), e tecniche di Phishing /Social Engineering (4%).

Gli altri contenuti del rapporto Clusit

Oltre all’analisi degli attacchi nel mondo e in Italia nel primo semestre del 2025, il rapporto Clusit presentato oggi comprende molti altri contenuti: tra questi le rilevazioni della Polizia Postale e per la Sicurezza Cibernetica, un’analisi sull’evoluzione della Cybersecurity in ambito manifatturiero/industriale, un approfondimento su Conformità alla NIS2 e CyberSecurity OT, e uno Speciale Intelligenza Artificiale.

Inoltre il rapporto contiene la seconda edizione della survey sulla Cybersecurity nelle micro e piccole/medie imprese, realizzata nel 2025 dalla Camera di Commercio di Modena, e la sezione FOCUS ON, che stavolta approfondisce quattro temi: Cybersecurity nei sistemi portuali, Sicurezza delle applicazioni SaaS, un'analisi degli incidenti Cyber nel settore culturale italiano, e "Noi e i nostri dati In Rete".