Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale, nel 2025 gli eventi cyber osservati in Italia sono aumentati del 38%, mentre gli incidenti confermati sono cresciuti di poco più del 7%. Non è un racconto rassicurante: è la fotografia di un Paese che viene colpito più spesso, mentre il sistema prova a tenere la linea e a trasformare una parte maggiore degli attacchi in “solo” rumore di fondo.
In mezzo ci sono anche differenze molto nette tra chi è strutturato e chi no. Le realtà con un minimo di SOC, log raccolti in modo decente e procedure provate almeno una volta l’anno riescono a trasformare molte tentate intrusioni in “incidenti mancati”, gestiti quasi in silenzio. Chi invece vive ancora di accessi condivisi, patch fatte quando capita e backup mai testati continua a giocare alla roulette russa: magari il 38% in più di eventi non ha ancora fatto male, ma è solo questione di tempo prima che uno di quei tentativi trovi la combinazione giusta.
C’è poi un tema di percezione. A livello nazionale i numeri possono far pensare che la situazione sia “sotto controllo”, ma dal punto di vista della singola organizzazione la partita è molto più binaria: o ti sei preparato, oppure no. Se lavori in un contesto che non legge gli alert, non aggiorna le configurazioni e non si è mai seduto a tavolino a capire cosa fare il giorno in cui qualcosa va storto, il fatto che gli incidenti complessivi crescano “solo” del 7% non ti protegge in alcun modo.
Nel concreto parliamo di 2.729 eventi gestiti dal CSIRT Italia in un anno, circa 227 al mese, a fronte di 615 incidenti con impatto reale, poco più di 50 al mese. Il salto tra queste due cifre si spiega con un lavoro molto più intenso di allerta e prevenzione: decine di migliaia di comunicazioni di sicurezza inviate, centinaia di alert pubblici e riservati, indicatori di compromissione condivisi che in dodici mesi sono passati da poco più di centomila a oltre ottocentomila. In molti casi qualcuno ha potuto chiudere una falla perché l’informazione è arrivata in tempo.
Il problema è che mentre le difese provano a organizzarsi la superficie esposta continua ad allargarsi. Più servizi digitali nella PA, più sistemi spostati sul cloud, più applicazioni collegate tra loro e più fornitori che entrano ogni giorno nelle reti di aziende e amministrazioni: ogni nuovo pezzo aggiunto all’architettura è un potenziale punto di ingresso se non viene gestito con la stessa cura del resto. E gli attaccanti lo sanno. Non cercano solo la porta principale, ma passano volentieri da chi sta ai margini della filiera e ha meno risorse da dedicare alla sicurezza.
Il risultato è un equilibrio a dir poco instabile. Da un lato i numeri dicono che l’Italia è più capace di assorbire i colpi senza trasformarli tutti in incidenti; dall’altro lato ricordano che il volume degli attacchi continua a salire e che basta allentare l’attenzione perché le due curve – eventi e incidenti – tornino a viaggiare quasi parallele.
Per chi lavora in azienda o nella PA questo significa una cosa semplice: non ci si può nascondere dietro il “tanto il Paese regge”. Quei dati fotografano chi ha investito davvero in monitoraggio, processi e risposta rapida, non chi ha fatto un progetto spot anni fa e lo considera ancora sufficiente. In un contesto in cui gli attacchi aumentano, la vera differenza la fa chi decide di trattare la sicurezza come un lavoro quotidiano, non come una riga di bilancio da tagliare alla prima occasione.