2 aziende su 3 colpite. «Ci attaccano con l’AI, ci difendiamo con gli Excel»

Le aziende europee imparano davvero dai cyberattacchi? È questa la domanda al centro di “Owning Operational Resilience in 2026”, la survey che ManageEngine ha commissionato a IO Investigación su 1.500 responsabili IT e decision maker in cinque Paesi (Italia, UK, Spagna, Germania e Paesi Bassi).

I risultati sono stati presentati oggi a Milano, al The View di Piazza del Duomo. Sul palco, tre relatori: Alessio Pennasilico, ethical hacker, Senior Partner Information & Cyber Security Advisor a Digital360, membro del Comitato Scientifico Clusit. Apre con una slide di tre parole: #iosonopreoccupato.

Accanto a lui, Sujoy Banerjee, Regional Business Director di ManageEngine, e Andrés Mendoza, Technical Director per l’Europa meridionale. I dati che portano confermano la fotografia fatta da Pennasilico.

Si spende di più. Si subiscono più attacchi. Ci si difende meglio (non necessariamente in quest’ordine). E i rischi crescono più in fretta delle contromisure.

507 attacchi in Italia nel 2025 (+42% su anno)

Il Rapporto Clusit 2026 conta 5.265 incidenti cyber a livello globale, il 49% in più rispetto al 2024. In Italia: 507 incidenti registrati, +42% anno su anno. Dal 2021 il dato è passato da 70 a 507, una progressione quasi verticale.

La severity, cioè la gravità dei problemi, cresce insieme ai volumi. Nel 2025, 266 incidenti in Italia sono classificati come «alti», 199 come «critici». Tre anni prima le categorie più gravi erano quasi inesistenti.

Pennasilico, che siede anche all’Osservatorio Cyber Security del Politecnico di Milano, dice chiaramente che la cybersecurity non è un problema tecnico per tecnici. Nel Global Risks Report del World Economic Forum, “Cyber Insecurity” compare stabilmente tra i rischi a più alta severità a breve termine, accanto a disinformazione, disuguaglianza e conflitti armati. Gli economisti la considerano una variabile sistemica. Dovrebbero farlo anche i CDA.

Il mercato della cybersecurity in Italia vale 2,778 miliardi di euro nel 2025, +12% sull’anno precedente. Cresce la spesa, crescono gli attacchi. Non è un paradosso: è che la superficie d’attacco si espande più velocemente degli investimenti.

62% delle organizzazioni italiane colpite nell’ultimo anno

Il 62% delle organizzazioni italiane ha subito almeno un incidente informatico negli ultimi dodici mesi, quattro punti sotto la media europea (66%).

Il 54% degli episodi in Italia riguarda malware e ransomware, il 45% phishing e social engineering, il 29% data breach e accesso non autorizzato.

L’84% degli incidenti si propaga su più dispositivi, sistemi o funzioni. Solo il 14% viene contenuto a singolo utente o singola macchina. Il 24% degli episodi totali viene classificato come critico.

Pennasilico porta sul palco il caso Equifax. Settembre 2017: 143 milioni di dati esposti (numeri di previdenza sociale, date di nascita, indirizzi). Il CEO vende le azioni prima del comunicato, poi si dimette e titolo crolla del 35% in sette giorni. La vulnerabilità sfruttata era una patch di Apache Struts disponibile da mesi, mai installata. L’esempio funziona da benchmark e dimostra che il danno dipende quasi sempre dalla velocità e dalla qualità della risposta e non dalla complessità dell’attacco.

La SEC lo ha poi codificato nel 2023, introducendo nuove regole sulla disclosure obbligatoria degli incidenti cyber per le società quotate.

L’errore umano resta in cima alla lista

In Italia, le principali cause degli incidenti critici sono quattro: sfruttamento delle vulnerabilità (45%), errore umano (40%), problemi legati a fornitori e terze parti (34%), sistemi non aggiornati (33%).

Stesse criticità documentate da anni. Non cambiano. Nonostante gli investimenti crescenti, nonostante NIS2, DORA, GDPR, AI Act, CRA.

Pennasilico sintetizza il rischio in una formula: R = P × I, dove R è il rischio, P la probabilità e I l’impatto.

Bisogna agire su entrambe le variabili. Molte organizzazioni lavorano sull’impatto senza considerare la probabilità. Il phishing funziona ancora perché le persone non sono formate, non perché manchino gli strumenti tecnici per bloccarlo.

La slide che chiude il ragionamento: “Ci attaccano con l’AI. Ci difendiamo con gli Excel”.

L’AI aumenta la minaccia

Il 35% degli intervistati italiani indica le minacce AI come il maggiore rischio informatico atteso per i prossimi dodici mesi.

“La cybersecurity in Italia sta entrando in una nuova fase”, ha dichiarato Andrés Mendoza. “Le organizzazioni non si trovano più a fronteggiare solo minacce convenzionali come ransomware e phishing. Si stanno preparando per un futuro in cui l’intelligenza artificiale consentirà agli aggressori di agire più rapidamente, scalare le proprie operazioni e aggirare le difese tradizionali”.

Gli attacchi basati su AI abbassano la soglia tecnica per operazioni sofisticate come phishing personalizzato su scala industriale, deepfake per l’ingegneria sociale o sfruttamento automatico di vulnerabilità. Chi deve difendersi non è ancora pronto.

Le priorità di investimento per i prossimi 12-18 mesi seguono la stessa mappa: monitoraggio e rilevamento delle minacce (30%), governance della sicurezza informatica (30%), preparazione alle minacce basate sull’AI (29%), formazione e sviluppo delle competenze interne (29%), gestione del rischio su fornitori e terze parti (26%).

Le prime due voci non riguardano strumenti tecnologici: riguardano processi. Sapere cosa succede sulla propria rete. Avere qualcuno autorizzato a rispondere.

Rilevamento rapido, ripristino lento

L’Italia mostra numeri solidi sulla capacità di rilevamento. Il 98% delle organizzazioni conduce una revisione formale post-incidente. Il 95% ha strategie di backup. L’85% ha obiettivi formali di detection e response. Il 91% rileva gli incidenti entro 24 ore, l’88% risponde entro la stessa finestra.

Il collo di bottiglia è il ripristino operativo.

Degli incidenti classificati come critici, il 39% richiede tra 1 e 10 giorni per il ripristino completo. Il 21% supera i 10 giorni. Solo il 40% delle organizzazioni non ha registrato incidenti critici nel periodo. Dieci giorni con sistemi critici compromessi non è un’interruzione operativa: per molte aziende è una perdita di fatturato misurabile, un rischio reputazionale oltre che un problema regolatorio.

Governance alta nei meeting, assente nei processi

Il 49% dei leader italiani si attiva sulla cybersecurity solo durante le crisi. Solo il 20% mantiene un coinvolgimento continuativo del board. A livello europeo: 45% coinvolto ad alto livello, ma prevalentemente in fase emergenziale.

Eppure il 57% delle organizzazioni italiane dichiara di discutere regolarmente di cyber resilience a livello direttivo. E il 58% si dice «molto confidente» nella capacità di gestire un incidente grave nei prossimi 12 mesi. Il punteggio medio di fiducia: 8 su 10.

La distanza tra questa autocertificazione e i tempi di recovery reali è la contraddizione più rilevante dell’intero report. Non è necessariamente ingenuità: può essere razionalizzazione. Il 51% ha già implementato framework formali di resilienza, e questo conta. Ma framework formalizzato non equivale a framework testato sotto pressione reale.

Gap di competenze e pressione operativa

Il 46% delle organizzazioni italiane segnala un aumento della pressione operativa sui team IT e sicurezza nell’ultimo anno. Quasi la metà. Il 35% identifica la carenza di competenze in cybersecurity come la principale sfida operativa. Oltre un terzo.

Gli altri ostacoli: mancanza di personale qualificato (32%), tool non integrati (30%), processi manuali (27%). La proliferazione di strumenti non coordinati genera complessità aggiuntiva, overhead di gestione, alert fatigue. Più prodotti non significa più protezione.

“I risultati mostrano un mercato italiano che si trova ad affrontare una crescente complessità informatica, ma al contempo sta costruendo basi di resilienza più solide”, ha dichiarato Sujoy Banerjee. “Le organizzazioni stanno dimostrando una crescente maturità attraverso un rilevamento più rapido, una governance più rigorosa e maggiori investimenti nella preparazione alle minacce emergenti, come gli attacchi AI”.

Su un punto Mendoza e Pennasilico convergono: la resilienza non è più un obiettivo di sicurezza. È una capacità di business. La domanda non è se un attacco arriverà, ma quanto velocemente l’organizzazione riuscirà a tornare operativa.