Il paradosso della cybersicurezza italiana nel 2025: più eventi, meno danni. Ma la lettura ottimistica è sbagliata
L’ACN ha registrato 2.802 eventi cyber nell’intero 2025, con un aumento complessivo di oltre il 40% rispetto al 2024. Gli incidenti con impatto confermato sono calati nel secondo semestre. La narrativa ufficiale celebra il progresso. I dati raccontano una storia diversa: il mix delle minacce si è trasformato strutturalmente, e la parte silenziosa — supply chain, credenziali, ransomware sulle PMI — non fa titoli ma fa danni.
THE INTEGRITY TIMES · RESILIENZA & SICUREZZA · 27 APRILE 2026
Il 26 gennaio 2026 l’Agenzia per la Cybersicurezza Nazionale ha pubblicato l’Operational Summary del secondo semestre 2025. Il titolo scelto per comunicarlo recitava: “Diminuiscono gli incidenti cyber in Italia.” La stampa specializzata italiana ha ripreso quel frame senza riserve. Questa analisi fa l’opposto: legge i due Operational Summary semestrali in sequenza — 1° e 2° semestre 2025 — come un unico documento annuale, e trova che la forbice tra eventi e incidenti non è la prova di un sistema più robusto. È il segnale che la composizione della minaccia è cambiata, e che la parte che conta di più è quella che i numeri aggregati nascondono meglio.
1. I dati — cosa dicono i due Operational Summary ACN
Nel 2025 l’ACN ha registrato complessivamente 2.802 eventi cyber: 1.549 nel primo semestre (+53% rispetto al 2024) e 1.253 nel secondo (+30%). Gli incidenti con impatto confermato sono stati 346 nel primo semestre — quasi il doppio del 2024 (+98%) — e 304 nel secondo (-25% rispetto allo stesso periodo 2024). La lettura di superficie è quella di un sistema sotto pressione crescente che però migliora la propria capacità di risposta. La lettura di profondità è più scomoda.
Il calo degli incidenti nel secondo semestre non riflette una riduzione della minaccia effettiva. Riflette un cambiamento nel mix: nel primo semestre a dominare erano campagne DDoS massive (+77% rispetto al 2024, con una sola offensiva filorussa da 275 attacchi in 13 giorni contro 124 obiettivi) che hanno gonfiato i numeri degli eventi senza produrre danni duraturi. Nel secondo semestre quella pressione hacktivista si è parzialmente ridimensionata. Ma nel frattempo, silenziose, crescono le minacce strutturalmente più pericolose per le organizzazioni.
I vettori di attacco più efficaci rimangono invariati lungo tutto l’anno: email malevole e credenziali valide precedentemente compromesse. Non vulnerabilità zero-day, non tecniche sofisticate. Chiavi rubate che aprono porte che nessuno ha pensato di richiudere.
2. La minaccia silenziosa — supply chain e effetti a catena
Il dato più rilevante dell’intero 2025, e il meno discusso, è contenuto in una sola riga dell’Operational Summary del secondo semestre: “la compromissione di fornitori di servizi web ha prodotto effetti a catena, coinvolgendo, in alcuni casi, più amministrazioni contemporaneamente.” Nessun nome, nessun numero specifico. Ma il meccanismo è quello che la letteratura di sicurezza chiama supply chain cascade: non si attacca il bersaglio diretto, si attacca il fornitore condiviso.
Nel primo semestre lo stesso pattern era già visibile: a marzo una violazione presso un fornitore di servizi web aveva coinvolto numerosi enti locali che utilizzavano la stessa infrastruttura. A febbraio, la compromissione di fornitori digitali per la PA aveva prodotto effetti operativi a cascata su altri operatori. In entrambi i casi, la vittima diretta era un soggetto fuori perimetro NIS2 — un fornitore privato di dimensioni medie — e il danno si era propagato verso soggetti pubblici con obblighi regolatori significativi.
Questo è esattamente il rischio che la Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, ha tentato di presidiare estendendo gli obblighi alla supply chain. Ma la norma è operativa da ottobre 2024 e le misure tecniche complessive devono essere implementate entro settembre 2026. Il gap tra il rischio documentato e la copertura normativa effettiva è ancora aperto.
3. Ransomware stabile — ma chi paga non fa notizia
Il ransomware nel 2025 non è esploso: 91 casi nel primo semestre, 54 nel secondo. Numeri in linea con il 2024. Ma la stabilità dei numeri assoluti nasconde uno spostamento del bersaglio. Nel primo semestre le vittime più gravi erano soggetti ad alta visibilità — università, strutture sanitarie, operatori energetici. Nel secondo semestre l’ACN registra che il ransomware colpisce “soprattutto le piccole e medie imprese, spesso caratterizzate da infrastrutture di sicurezza limitate.”
Le PMI non rientrano automaticamente nel perimetro NIS2 (la soglia è 50 dipendenti o 10 milioni di fatturato, salvo settori critici). Non hanno obblighi di notifica. Non compaiono nelle statistiche pubbliche degli incidenti significativi. Quando subiscono un ransomware, spesso pagano o chiudono senza che il fatto sia mai registrato da nessuna autorità pubblica italiana. Il dato ACN di 54 attacchi ransomware nel secondo semestre è quindi, quasi certamente, una sottostima strutturale: copre solo i soggetti con obbligo di segnalazione o che hanno scelto di segnalare volontariamente.
I settori manifatturiero, vendita al dettaglio e tecnologico — identificati come i più colpiti — sono esattamente quelli dove la concentrazione di PMI è più alta e la maturità di sicurezza più bassa. Sono anche quelli che alimentano le supply chain della PA.
4. Esposizione dei dati — il problema che cresce senza fare rumore
Gli episodi di esposizione di dati sono passati da 91 nel primo semestre 2024 a 186 nel primo semestre 2025 (+104%), e a 232 nel secondo semestre 2025. In un anno si è più che raddoppiato il volume di dati sensibili italiani circolanti su piattaforme illegali di scambio. I picchi, segnala l’ACN, sono legati alla “diffusione illecita di credenziali compromesse” e a violazioni presso università, fornitori digitali e servizi finanziari.
La connessione tra esposizione di dati e attacchi successivi è diretta: le credenziali compromesse che compaiono nei mercati illegali diventano il vettore di accesso per i ransomware successivi. L’ACN stessa lo conferma indicando le credenziali valide precedentemente compromesse tra i principali vettori di attacco dell’intero anno. Non è una coincidenza: è una filiera. I dati rubati oggi diventano le chiavi degli attacchi di domani.
Per i professionisti che gestiscono dati personali — studi legali, commercialisti, consulenti del lavoro, strutture sanitarie private — la crescita dell’esposizione di credenziali non è solo un problema IT. È un problema di responsabilità sotto il GDPR e, per chi rientra nel perimetro, sotto NIS2.
I numeri del 2025 — dati ACN verificati
| Eventi cyber totali 2025 | 2.802 |
| Crescita eventi 1° semestre vs 2024 | +53% |
| Attacchi ransomware totali 2025 | 145 |
| Episodi esposizione dati — 2° sem. 2025 | 232 |
| URL phishing segnalate — 2° sem. 2025 | 927 |
| Comunicazioni CSIRT preventive — 2° sem. | 5.205 |
Fonte: ACN Operational Summary 1° Semestre 2025 (agosto 2025) e 2° Semestre 2025 (26 gennaio 2026). I 2.802 eventi totali sono il risultato della somma diretta dei due documenti semestrali.
5. I soggetti coinvolti — chi deve agire e su cosa
Pubblica Amministrazione locale: è il bersaglio principale dell’intero 2025, sia per numero di eventi che per varietà di vettori. La vulnerabilità strutturale risiede nella dipendenza da fornitori esterni con scarsa maturità di sicurezza. Il problema non è risolvibile solo con la compliance NIS2 interna: richiede clausole contrattuali con i fornitori, audit periodici, e — dove possibile — riduzione della frammentazione infrastrutturale.
PMI manifatturiere, retail e tech: sono il nuovo fronte del ransomware. Non hanno obblighi di notifica, non appaiono nelle statistiche pubbliche, ma sono il vettore di propagazione verso la PA e le filiere industriali. Per i consulenti che le assistono — commercialisti, avvocati d’impresa, advisor IT — la domanda da porre ai clienti non è “avete un antivirus”, ma “sapete quali delle vostre credenziali circolano già nei mercati illegali”.
Studi professionali e soggetti con dati personali sensibili: la crescita dell’esposizione di credenziali — +104% nel confronto primo semestre 2024/2025 — aumenta il rischio di data breach non intenzionale. Il GDPR impone notifica all’Autorità Garante entro 72 ore dalla scoperta di una violazione che possa causare rischi per i diritti degli interessati. Studi legali, commercialisti, medici con cartelle cliniche digitali e consulenti del lavoro sono soggetti a questo obbligo indipendentemente dalla NIS2.
CdA di soggetti NIS2: dal 15 gennaio 2026 è operativo l’obbligo di notifica degli incidenti significativi con pre-notifica entro 24 ore (Determinazione ACN 379907/2025). La responsabilità personale degli organi di amministrazione per la gestione del rischio cyber, introdotta dal D.Lgs. 138/2024, è ora attiva. Ignorare un incidente non è più un’opzione amministrativa: è un’esposizione giuridica.
L’angolo TIT
“L’Italia non è più sicura. Ha imparato a contare meglio i rumori di fondo — e nel frastuono non sente più i colpi che fanno male.”
La narrativa dell’ACN sul secondo semestre 2025 è tecnicamente corretta e strategicamente fuorviante. È vero che gli incidenti con impatto confermato sono calati del 25%. È vero che il CSIRT ha inviato oltre 5.000 comunicazioni preventive. È vero che il nuovo quadro NIS2 comincia a produrre effetti. Ma nessuno di questi progressi intercetta il rischio che cresce più rapidamente: la supply chain delle PMI, le credenziali compromesse in vendita, i fornitori web condivisi da decine di amministrazioni locali.
Il problema del reporting per incidenti confermati è che misura ciò che viene visto e segnalato. Le PMI sotto soglia NIS2 non segnalano. I fornitori locali compromessi non sempre notificano. Le credenziali in vendita sui mercati illegali non producono un “incidente” finché non vengono usate. Il 2025 non è l’anno in cui l’Italia ha iniziato a stare meglio. È l’anno in cui ha iniziato a misurare meglio la parte che è già obbligata a misurare.
6. Le scadenze operative NIS2 ancora aperte
| Scadenza | Obbligo | Soggetti |
|---|---|---|
| 15 gen. 2026 SCADUTO | Obbligo di notifica incidenti significativi operativo (pre-notifica 24h, notifica 72h). Referente CSIRT unico nominato. | Tutti i soggetti NIS2 registrati |
| 15 apr.–31 mag. 2026 IN CORSO | Aggiornamento annuale informazioni sul portale ACN (art. 15 Determinazione ACN 283727/2025). Verifica dati registrazione e Punto di Contatto. | Soggetti NIS2 già registrati |
| 30 set. 2026 | Piena implementazione di tutte le misure di sicurezza tecnico-organizzative (18 mesi dalla notifica di inclusione). Include gestione rischio supply chain. | Soggetti notificati tra mar.–apr. 2025 |
Agenda operativa — cosa monitorare
AdessoVerifica credenziali compromesse. Prima azione concreta: controllare se credenziali aziendali o dello studio circolano su database di breach noti (Have I Been Pwned, servizi threat intelligence). Il 2025 ha documentato una filiera diretta tra credenziali esposte e attacchi successivi.
Entro maggio 2026Aggiornamento annuale portale ACN (soggetti NIS2 registrati). Scadenza 31 maggio 2026. Verifica Punto di Contatto e Referente CSIRT. Omissione espressamente sanzionabile.
Entro settembre 2026Gestione rischio supply chain. La norma richiede la valutazione dei fornitori critici. I dati ACN 2025 documentano che il rischio cascade dai fornitori web è già operativo. Chi non ha avviato il censimento dei fornitori IT con accesso a sistemi critici è in ritardo rispetto alla scadenza e rispetto al rischio reale.
ContinuoOperational Summary ACN mensili. Il CSIRT pubblica un aggiornamento mensile sul portale acn.gov.it. È la fonte primaria più tempestiva sul threat landscape italiano. Per chi ha obblighi di notifica, ignorarlo non è un’opzione.
Nota TIT — verifica metodologica
Il dato di 2.802 eventi cyber per l’intero 2025 è il risultato della somma diretta dei due Operational Summary semestrali ACN (1.549 + 1.253). ACN non pubblica un documento riepilogativo annuale: i dati annuali aggregati si ricavano dai due documenti semestrali. Tutti i dati citati in questo articolo sono riferiti esclusivamente a queste due fonti primarie. Nessun dato è stato generato o proiettato.
Fonti primarie
[1] ACN. Operational Summary 2° Semestre 2025. Pubblicato 26 gennaio 2026. acn.gov.it/portale/en/w/operational-summary-2-semestre-2025
[2] ACN. Operational Summary 1° Semestre 2025. Pubblicato agosto 2025. acn.gov.it/portale/en/w/operational-summary-1-semestre-2025
[3] ACN. Determinazione 379907/2025 — Tassonomia incidenti e obblighi notifica NIS2. Vigente dal 15 gennaio 2026
[4] ACN. Determinazione 283727/2025 — Modalità aggiornamento annuale informazioni soggetti NIS2 (art. 15)
[5] D.Lgs. 138/2024 — Recepimento Direttiva NIS2 (UE 2022/2555). GU Serie Generale n. 202 del 30 agosto 2024
[6] Legge 28 giugno 2024, n. 90 — Disposizioni in materia di rafforzamento della cybersicurezza nazionale
[7] ENISA. Threat Landscape 2025. Ottobre 2025 (v1.2 gennaio 2026). enisa.europa.eu/publications/enisa-threat-landscape-2025
© The Integrity Times · Riproduzione Riservata · www.theintegritytimes.com · 4th Floor, 18 St Cross Street, EC1N 8UN, Londra