Alessandro FerrariL'Italia è tra i Paesi più colpiti al mondo dai cyberattacchi. Nel 2025, secondo il Rapporto CLUSIT 2026, le aziende e le istituzioni italiane hanno subito 507 incidenti informatici gravi, contro i 357 dell'anno precedente: un aumento del 42% in un solo anno. Il 9,6% di tutti gli incidenti cyber registrati a livello globale ha colpito strutture italiane.
I casi più recenti: dagli Uffizi a Booking
Tra la fine di gennaio e l'inizio di febbraio 2026, un attacco ransomware ha compromesso una ventina di computer della rete interna della Galleria degli Uffizi di Firenze. Secondo quanto riportato da ANSA il 4 aprile 2026, i criminali hanno inviato alla direzione una richiesta di riscatto da 300.000 euro. La Procura di Firenze ha aperto un fascicolo per tentata estorsione e accesso abusivo a sistema informatico.
Ad aprile 2026, migliaia di utenti italiani di Booking.com hanno ricevuto notifiche di violazione dei dati: nomi, cognomi, indirizzi email e numeri di telefono erano stati sottratti dai sistemi della piattaforma durante un attacco informatico. Due casi molto diversi per natura — cultura e turismo — ma accomunati da una vulnerabilità di fondo che riguarda molte organizzazioni italiane.
Perché l'Italia è così esposta
Il 54% degli incidenti informatici registrati in Italia nel 2025 è stato causato dall'hacktivismo — attacchi motivati da ragioni politiche o ideologiche — che prendono di mira strutture governative, militari e di pubblica sicurezza. La restante parte è divisa tra cybercrime organizzato (ransomware, furto di dati, estorsione digitale) e spionaggio industriale.
Le cause della vulnerabilità italiana sono strutturali. Molte piccole e medie imprese — che rappresentano il 95% del tessuto produttivo nazionale — investono una quota ridotta del proprio budget IT in sicurezza informatica. I sistemi non aggiornati, l'assenza di backup verificati e la mancanza di formazione del personale sono i tre fattori di rischio più ricorrenti rilevati dai tecnici dopo ogni incidente.
Le tre minacce principali per le aziende italiane nel 2026
Ransomware. I criminali criptano i dati aziendali e chiedono un riscatto — spesso in criptovaluta — per restituire l'accesso. Il caso degli Uffizi è emblematico: una richiesta da 300.000 euro per un'istituzione culturale. Per le PMI, i costi complessivi di un attacco riuscito comprendono il downtime, il ripristino dei sistemi e le eventuali sanzioni del Garante per la protezione dei dati.
Phishing. Email e messaggi fraudolenti che imitano banche, fornitori o colleghi per sottrarre credenziali d'accesso. Nel 2025, la maggior parte delle violazioni aziendali in Italia è partita da un messaggio apparentemente legittimo. La variante "spear phishing" — personalizzata sul destinatario specifico usando dati pubblici dai social — è sempre più difficile da riconoscere senza formazione specifica.
Supply chain attack. Come nel caso dell'attacco npm via Corea del Nord del 2026, i criminali compromettono software o fornitori terzi per infiltrarsi nei sistemi dei clienti. Questo tipo di attacco è particolarmente insidioso perché aggira le difese perimetrali: l'accesso avviene attraverso una porta già aperta e fidata.
Il contesto Milano-Cortina 2026: rischio aumentato
Le Olimpiadi invernali di Milano-Cortina 2026 hanno già attirato l'attenzione di gruppi hacktivisti. Ad aprile 2026, secondo Libero Tecnologia, i siti ufficiali dei Giochi e della Farnesina sono stati oggetto di attacchi coordinati. Questo contesto aumenta il rischio di attacchi collaterali alle aziende dell'indotto olimpico: logistica, ospitalità, telecomunicazioni, fornitori istituzionali.
Le grandi manifestazioni sportive e culturali sono storicamente periodi di picco per il cybercrime: l'attenzione mediatica è alta, i sistemi vengono stressati da picchi di traffico e i team IT sono spesso sovraffollati di richieste operative.
Cosa può fare subito la tua azienda: cinque livelli di difesa
Un piano di difesa efficace si costruisce su cinque livelli:
- Aggiornamento sistemi: patch di sicurezza applicate entro pochi giorni dalla loro disponibilità, senza eccezioni per i sistemi "legacy che funzionano"
- Backup 3-2-1: tre copie dei dati critici, su due supporti diversi, di cui uno off-site o in cloud isolato dalla rete principale
- Autenticazione a due fattori (2FA): obbligatoria per tutti gli accessi aziendali, in particolare email, VPN e gestionale
- Formazione del personale: simulazioni di phishing periodiche per ridurre il rischio umano, che rimane la principale porta d'ingresso degli attacchi
- Piano di risposta agli incidenti: un documento aggiornato che stabilisce chi chiama chi, quali sistemi isolare per primi e come comunicare con clienti e autorità in caso di violazione
Il secondo punto è spesso il più trascurato: molte aziende hanno backup ma non li verificano mai. Un backup corrotto o inaccessibile non è un backup.
Il ruolo dello specialista IT in cybersecurity
Configurare e mantenere questi livelli di difesa richiede competenze specifiche che la maggior parte delle PMI non possiede internamente. Un consulente IT specializzato in cybersecurity può effettuare un assessment della vulnerabilità dell'infrastruttura, progettare il sistema di backup e il piano di risposta, formare il personale con simulazioni realistiche di attacco e monitorare la rete in modo continuativo per rilevare anomalie prima che diventino incidenti.
L'Agenzia per la Cybersicurezza Nazionale (ACN) mette a disposizione delle imprese italiane linee guida gratuite, checklist di autovalutazione e un punto di contatto per segnalare incidenti informatici. Consultare queste risorse è il primo passo — affiancarlo a uno specialista esterno è quello che fa davvero la differenza.
Su Expert Zoom trovi specialisti IT certificati in cybersecurity, pronti ad analizzare la vulnerabilità della tua azienda e a costruire un piano di difesa su misura, prima che arrivi una richiesta di riscatto da 300.000 euro.
