Rapporto Clusit 2026: cosa dice alle PMI italiane

Rapporto Clusit 2026: l'Italia tra i bersagli principali degli attacchi informatici alle PMI

Il Rapporto Clusit 2026 ha fotografato il 2025 come l’anno peggiore di sempre per la sicurezza informatica, e all’interno di quel quadro l’Italia occupa una posizione che dovrebbe far riflettere ogni imprenditore. Non è un tema da grandi aziende: i dati raccontano l’esatto contrario. Vediamo cosa dice davvero il rapporto e, soprattutto, cosa significa per la tua impresa — senza allarmismi, ma con i piedi per terra.

Nel mondo, nel 2025, sono stati registrati 5.265 attacchi gravi, in crescita del 49% rispetto all’anno precedente. L’Italia ha contato 507 attacchi gravi (erano 357 nel 2024), con un aumento del 42% in dodici mesi. Tradotto in proporzione: il nostro Paese assorbe da solo il 9,6% degli incidenti gravi a livello mondiale, una quota altissima rispetto al suo peso economico.


Rapporto Clusit 2026: perché le PMI sono il bersaglio preferito

Quando si leggono questi numeri, l’istinto è pensare “riguardano banche e multinazionali, non la mia attività”. È un errore di prospettiva. Il cybercrime — cioè gli attacchi a scopo di profitto — rappresenta oggi il 90% del totale, con una crescita del 55% in un anno. È un’industria, e come ogni industria cerca il rendimento migliore: non il bersaglio più ricco, ma quello più facile da colpire in serie.

Le PMI con sistemi informatici poco presidiati sono esattamente questo: tante, simili tra loro, spesso senza un responsabile della sicurezza. Un attacco automatizzato non sceglie la vittima per fatturato, la sceglie per debolezza. Per questo “tanto chi vuoi che attacchi proprio me” è la frase che precede la maggior parte degli incidenti.


Il vero punto d’ingresso: le persone, non i server

C’è un secondo dato del rapporto che cambia il modo di affrontare il problema. Le tecniche di phishing e social engineering sono cresciute di circa il 66%, spinte dall’intelligenza artificiale che oggi confeziona email, messaggi e telefonate-truffa sempre più credibili e personalizzati.

Significa che la porta d’ingresso non è quasi mai un server bucato: è una persona che clicca, che apre un allegato, che risponde a una richiesta apparentemente legittima. Nessun firewall protegge da un dipendente ingannato. È lo stesso meccanismo dei deepfake vocali, in cui pochi secondi di audio bastano a clonare la voce di un titolare o di un fornitore. La sicurezza, prima ancora che tecnologia, è organizzazione e consapevolezza.


Le 4 cose da mettere in regola subito

La buona notizia è che ridurre drasticamente il rischio non richiede budget da grande impresa. Richiede di mettere in fila quattro interventi, nell’ordine giusto:

  1. Backup immutabile e testato — copie che nessuno può cancellare o cifrare, nemmeno con le credenziali di amministratore, e di cui si verifica periodicamente il ripristino. Un backup mai testato è una speranza, non una difesa.
  2. EDR e controllo degli accessi (MFA) — un sistema che rileva i comportamenti anomali sui dispositivi e l’autenticazione a più fattori su tutti gli accessi critici. Insieme, fermano la stragrande maggioranza degli attacchi automatizzati.
  3. Formazione del personale — perché il fattore umano è il primo bersaglio. Poche regole chiare, ripetute, valgono più di qualsiasi singolo prodotto.
  4. Audit delle vulnerabilità — una verifica concreta di dove sei davvero esposto, per intervenire sulle priorità reali e non a sensazione.

Quanto costa non farlo

Il conto di un incidente non è solo il riscatto eventuale. È il fermo dell’attività nei giorni in cui i sistemi sono bloccati, il danno reputazionale verso clienti e fornitori, l’esposizione verso il Garante in caso di violazione di dati personali. Per una PMI italiana un attacco riuscito può costare facilmente oltre 50.000 euro, e cifre molto più alte nei casi gravi. Il costo della prevenzione, messo a confronto, è una frazione di quel rischio — e in molti casi rientra tra le spese ammissibili di bandi e voucher per la digitalizzazione e la cybersecurity.


Checklist di autovalutazione in 5 punti

  • Hai un backup immutabile e ne hai testato il ripristino nell’ultimo anno?
  • Hai un EDR attivo sui dispositivi aziendali?
  • Usi l’autenticazione a più fattori su email, gestionali e accessi remoti?
  • Il personale è stato formato a riconoscere phishing e tentativi di truffa?
  • Hai fatto un audit delle vulnerabilità di recente?

Ogni “no” è un punto in cui oggi sei più esposto di quanto pensi.


Non è solo un problema tecnico: è una responsabilità

C’è un aspetto che il Rapporto Clusit 2026 rende evidente e che troppe imprese sottovalutano: una violazione dei dati non è solo un guasto informatico, è un fatto che coinvolge la responsabilità dell’azienda verso clienti, dipendenti e fornitori. Se vengono sottratti dati personali — anagrafiche, recapiti, informazioni sanitarie o di pagamento — scattano obblighi precisi, a partire dalla notifica al Garante entro 72 ore.

Per studi professionali, strutture ricettive e attività che gestiscono dati di clienti e ospiti, questo significa che la sicurezza informatica e la conformità al GDPR sono due facce della stessa medaglia. Investire nelle quattro misure viste sopra non riduce solo il rischio tecnico: riduce anche l’esposizione legale e reputazionale in caso di incidente. È la differenza tra subire un attacco ed essere in grado di dimostrare di aver fatto la propria parte.


Come interveniamo

La sicurezza dei dati è uno degli ambiti in cui il nostro team opera quotidianamente a supporto di PMI, studi professionali e strutture del territorio: protezione e backup immutabili, controllo degli accessi, audit delle vulnerabilità e formazione del personale sul fattore umano.

Se vuoi sapere a che punto è la sicurezza della tua attività rispetto ai dati del Rapporto Clusit 2026, il nostro referente è a disposizione per un’analisi preliminare gratuita e senza impegno. Scopri i nostri servizi di sicurezza informatica per le PMI.


Fonti: