Il DDoS è la prima tecnica d'attacco in Italia con il 38,5% degli incidenti registrati nel 2025; a livello globale si ferma al 6,4%: è un dato rilevante del Rapporto Clusit 2026 per capire il profilo di rischio specifico del nostro Paese. La forbice tra il dato italiano e quello mondiale è la firma dell'hacktivismo geopolitico, con gruppi filo-russi e filo-palestinesi che hanno colpito ministeri, siti istituzionali e infrastrutture critiche con campagne di Distributed Denial of Service. Tecnicamente, un attacco DDoS ben condotto non esfiltra dati, non cifra archivi, non lascia backdoor nei sistemi: produce un'interruzione temporanea del servizio, che però degrada le performance e può causare danni reputazionali concreti alla vittima.

Il fatto che gli attacchi DDoS in Italia siano cresciuti del 145% rispetto al 2024 (sempre dati Clusit), rende urgente una riflessione che va oltre il potenziamento delle difese perimetrali: più che chiederci se siamo in grado di gestire un attacco, siamo sicuri di essere capaci di garantire la continuità dei servizi mentre l'attacco è in corso? Sono due obiettivi diversi, che richiedono architetture e approcci differenti.

Il tema è affrontato da Imperva in un recente post in cui sottolinea che il primo errore è proprio il punto di partenza: la maggior parte delle organizzazioni dà per scontato di essere protetta. Se il traffico aumenta in modo anomalo o parte un attacco, le aziende credono che sia responsabilità del provider attuare la corretta protezione o assorbire l’attacco in modo da normalizzare la situazione. Come spiega Imperva, nella realtà operativa questa assunzione è spesso sbagliata: gli incidenti si verificano perché la protezione non è progettata per agire abbastanza velocemente, perché non distingue il traffico legittimo da quello malevolo, o perché resta attiva, ma degrada sensibilmente le performance degli utenti.

In altre parole, una soluzione di protezione DDoS mal calibrata può diventare essa stessa fonte di disruption. Se il sistema di mitigazione blocca o rallenta il traffico legittimo durante un attacco, l'effetto per l'utente finale sarà identico a quello dell'attacco stesso: il servizio sarà irraggiungibile o inservibile. Il risultato è che l'azienda sotto attacco subirà un danno operativo e reputazionale indipendentemente dal fatto che l'attacco sia stato tecnicamente mitigato o meno.

Questo problema si amplifica ulteriormente con l'evoluzione moderna delle tecniche offensive, in cui raramente gli attacchi DDoS assumono la forma di semplici flood volumetrici, ossia i picchi di traffico massicci che saturano la banda e rendono irraggiungibile il bersaglio. Le campagne più sofisticate adottano strategie multi-vettore che prendono di mira il livello applicativo (Layer 7), mescolandosi al traffico legittimo e puntando a degradare in modo selettivo specifici percorsi applicativi, invece che abbattere l'intera infrastruttura con la forza bruta.

A titolo di esempio, il team di ricerca di Imperva ha documentato nel 2025 un attacco a livello applicativo che ha raggiunto un picco di 15 milioni di richieste al secondo contro un'API di servizi finanziari. Di fronte a un attacco di questo tipo, una protezione basata solo su soglie volumetriche serve a poco, perché non rileva l'anomalia finché il servizio non è già compromesso, e quando reagisce lo fa in modo impreciso, colpendo il traffico legittimo.

Le conseguenze documentate di questa lacuna progettuale includono ritardi tra la detection e la mitigazione effettiva, il blocco o il rallentamento degli utenti reali nei momenti di picco dell'attacco, il calo drastico delle prestazioni che viene gestito come rallentamento fisiologico e il downtime che si verifica nonostante una protezione formalmente attiva. Il risultato finale è un impatto su ricavi, reputazione e, soprattutto, fiducia degli utenti.

Come accennato in apertura, questa prospettiva è particolarmente rilevante per il contesto italiano. Clusit rileva che nel 2025 il 52,5% degli incidenti in Italia si colloca nella fascia di severity Medium/Low, riflesso diretto della natura degli attacchi DDoS condotti da gruppi hacktivisti: un'interruzione del servizio che è temporanea per definizione, ma non è da sottovalutare.

Per un portale istituzionale di un ministero o di un Comune, un'indisponibilità di alcune ore in un momento di alta visibilità mediatica (un voto, un'allerta meteo, una comunicazione di emergenza) vale molto di più di un danno tecnico. Per una piattaforma di e-commerce durante un picco stagionale di vendite, ogni minuto di downtime si traduce in carrelli abbandonati e transazioni perse. Per un istituto bancario o una piattaforma di trading, l'interruzione durante una sessione di mercato può generare perdite dirette e indirette nell'ordine di milioni di euro, oltre all'obbligo di notifica agli organi di vigilanza. Per un ospedale che utilizza sistemi digitali per la gestione dei pazienti, la mancata disponibilità dei servizi crea effetti collaterali potenzialmente letali.

Imperva sintetizza questo concetto con una formula che vale la pena citare: la resilienza DDoS non si misura dalla dimensione massima dell'attacco che si è in grado di assorbire, ma dalla continuità con cui i servizi rimangono disponibili mentre l'attacco è in corso. È una distinzione fondamentale per chi deve tradurre le scelte di sicurezza in obiettivi di business. Ma è un equivoco in cui le aziende cadono spesso, accettando inconsapevolmente livelli di rischio significativi perché concentrano la valutazione sulla capacità volumetrica della soluzione adottata, trascurando altri parametri critici.

Di che cosa bisogna tenere conto per una valutazione corretta? Della precisione nel rilevamento delle anomalie, del tempo effettivo di mitigazione dall'inizio dell'attacco, dell'efficacia contro gli attacchi stealth al livello applicativo, oltre che del grado di attrito che la soluzione introduce per gli utenti legittimi. Un ulteriore punto cieco è la dipendenza da approcci reattivi o ibridi che prevedono una fase di attivazione manuale: in quell'intervallo di tempo, anche breve, il servizio può già essere compromesso.

Sono queste le lacune che tendono a restare invisibili in condizioni normali e a emergere solo  nei momenti peggiori, ossia dei contesti in cui la resilienza è più necessaria e il costo del fallimento è più alto.