Il Rapporto Clusit 2026, presentato nel corso del Security Summit del 17-18-19 marzo, fotografa un anno di forte turbolenza nel panorama della cybersecurity. I dati relativi agli incidenti informatici avvenuti nel 2026 mostrano aumenti marcati nella frequenza e nella gravità, con numeri che richiedono una lettura attenta e contestualizzata. In questo articolo ricompongo i fatti salienti del report, mettendo in evidenza le cause strutturali dell’impennata, le specificità italiane e le aree critiche che meritano interventi prioritari.
Nel complesso il rapporto registra 5.265 incidenti gravi a livello globale, con un incremento del 48,7% rispetto all’anno precedente. Aumentano in modo significativo anche gli eventi riconducibili al cybercrime: 4.704 casi classificati in questa categoria, pari a un +55% rispetto al 2026.
Queste cifre non sono solo numeri statistici: tradotte in conseguenze reali significano interruzioni di servizi, furti di dati e ricadute economiche per imprese e istituzioni. Il documento evidenzia inoltre l’introduzione di una nuova soglia di impatto definita extreme, che include eventi con conseguenze sistemiche e potenzialmente devastanti.
Le dinamiche alla base dell’aumento
L’analisi del rapporto indica alcuni fattori chiave che alimentano la crescita degli attacchi. In primo luogo il crescente utilizzo di AI generativa come strumento offensivo accelera e rende più efficaci molte campagne: dalla personalizzazione del phishing alla generazione automatica di payload. In secondo luogo, la continua digitalizzazione dei processi aziendali espande la superficie d’attacco, soprattutto nei settori che integrano IT e OT. Infine, il contesto geopolitico contribuisce a una recrudescenza delle attività di spionaggio e sabotaggio, sebbene questi incidenti rimangano spesso meno segnalati e quindi soggetti a sottostima nei dataset aperti.
Ruolo dell’intelligenza artificiale
L’adozione di strumenti AI ha cambiato il ritmo degli attacchi: tecniche una volta lente e artigianali diventano su larga scala, con messaggi di social engineering altamente mirati e automazioni nel reparto di scansione e sfruttamento di vulnerabilità. Questo non significa che l’AI sia la sola responsabile, ma certo è un moltiplicatore di capacità per gruppi criminali e operatori statali.
Digitalizzazione e bersagli industriali
Il manifatturiero è tra i settori che hanno registrato la maggior crescita nelle intrusioni (+79%), complice l’adozione massiccia di sensori, sistemi cloud e integrazione IT/OT. Le aziende manifatturiere appaiono un obiettivo ideale per il ransomware, perché il blocco della produzione rappresenta una leva di pressione molto efficiente per ottenere riscatti.
Il caso italiano: numeri e anomalie
L’Italia segue il trend globale ma con alcune peculiarità. I casi registrati nel 2026 sono 507 (+42%), pari al 9,6% del totale mondiale. Tuttavia emerge una forte anomalia legata all’hacktivism: in Italia questa categoria pesa per il 38,5% degli incidenti, contro il 6,4% a livello globale. Di conseguenza gli attacchi DDoS risultano molto più frequenti nel nostro paese, rappresentando il tipo di attacco dominante.
Perché i DDoS sono così visibili
Il fenomeno è in parte metodologico: il rapporto si basa su incidenti noti e attinge a open data e segnalazioni mediatiche. Secondo esperti come Nunzia Ciardi dell’Agenzia per la Cybersecurity Nazionale, in Italia anche eventi di bassa entità legati a DDoS ricevono una forte eco mediatica, contribuendo a “gonfiare” alcune percentuali.
Questo si traduce in una distribuzione della gravità diversa: il 52,5% degli incidenti italiani è classificato come di impact medio-basso, mentre i casi critical o extreme restano relativamente contenuti.
Infrastrutture critiche, dati operativi e segnali di rischio
Il rapporto sottolinea un aumento degli attacchi verso la finanza e le infrastrutture fisiche critiche — trasporti, ferrovie, aeroporti — dove l’integrazione digitale introduce nuove vulnerabilità. Un esempio concreto citato è il ransomware che nel 2026 ha colpito le Ferrovie dello Stato, bloccando servizi di biglietteria e sistemi informativi. Le tendenze osservate dai SOC di operatori come Fastweb + Vodafone mostrano inoltre un raddoppio delle infezioni da malware e oltre 390.000 IP compromessi (+116%), con botnet come android.badbox2 responsabili di una quota significativa degli eventi.
Altri segnali preoccupanti includono la crescita degli attacchi DDoS (+26%), l’aumento delle campagne multi-vettore e la persistenza di servizi obsoleti esposti su internet: la segnalazione di oltre 11.000 servizi Telnet accessibili è emblematico della distanza che ancora separa molte realtà dalle pratiche di base di hardening. Sul versante normativo, invece, misure come NIS2 e DORA stanno già contribuendo a innalzare il livello di attenzione e di compliance tra gli operatori critici.
In conclusione, il Rapporto Clusit 2026 disegna un quadro complesso: l’aumento degli incidenti è reale e trainato da fattori tecnologici e geopolitici, ma esistono anche segnali positivi, come la riduzione degli attacchi basati su vulnerabilità note in Italia e l’effetto delle normative europee. La sfida rimane aprire una cultura diffusa della cyber-resilienza, aumentare gli investimenti soprattutto tra le PMI e proseguire con pratiche di security by design per ridurre la probabilità e l’impatto degli eventi futuri.
