IL’indagine dell’Acn, il Cyber Index PMI 2025, giunto alla terza edizione, osserva un aumento della consapevolezza, tuttavia si registra una polarizzazione fra le poche mature e le troppe esposte ai rischi. Infatti non si colma il gap di maturità tra piccole e medie imprese italiane soprattutto per gestire il rischio cyber.

Inoltre si registra un’asimmetria nell’evoluzione. Infatti migliorano governance ed approccio strategico, mentre le Pmi arrancano nell’individuare analiticamente i rischi e nell’implementare contromisure per mitigarli. Del resto, secondo l’anteprimas del Rapporto Clusit, a fronte di un +49% di aumento di cyber attacchi a livello mondiale, l’Italia segna il record del +42%, a testimonianza che il nostro Paese rimane nel mirino dei cyber criminali. 

“Il 2025 ha rappresentato un vero punto di svolta nelle relazioni geopolitiche e nel progresso tecnologico rendendo le minacce cyber ancor più sofisticate e complesse da gestire. Lo scenario rischia di inasprirsi ulteriormente nonostante il livello record che ha già raggiunto: negli ultimi 3 anni quasi una PMI su quattro ha subito una violazione informatica”, ha dichiarato Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.

Ecco qual è lo scenario del tessuto imprenditoriale tricolore.

Cyber Index PMI 2025: l’indice di maturità delle Pmi

Promosso da Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la collaborazione istituzionale dell’Agenzia per la Cybersicurezza Nazionale, lo studio riporta l’indice che misura il livello di consapevolezza e maturità delle Pmi nella gestione dei cyber rischi. 

Il rapporto monitora nel corso del tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano ovvero la “capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati“.

Le raggiungono un punteggio di 55 su 100, pur restando ancora al di sotto della soglia di sufficienza.

Nonostante l’incremento del 3% rispetto al 2024 (e del 4% sul 2023), le piccole e medie imprese italiane non sono ancora riuscite a conseguire il punteggio di 60 su 100 su un campione di oltre 1.500 imprese.

La polarizzazione, inoltre, tra un gruppo contenuto di aziende più mature e un numero enorme di imprese ancora esposte ai rischi cyber misura il divario di maturità tra piccole e medie imprese italiane

“Il grande lavoro che si è compiuto con il Cyber Index PMI (…) al suo terzo anno di rilevazione ci restituisce risultati incoraggianti”, afferma : “Segno che la proficua collaborazione con Generali e Confindustria sta supportando in maniera funzionale le attività delle piccole e medie imprese nel settore della cybersicurezza. Le PMI rappresentano un asse portante dell’economia del Paese, la loro sensibilità ed attenzione verso il rischio cyber, da cui consegue il miglioramento della postura cibernetica italiana, è un segnale importante”, afferma Bruno Frattasi, Direttore Generale Agenzia per la Cybersicurezza Nazionale.

Tre dimensioni dell’analisi

Sono tre gli aspetti del report:

• approccio strategico;
• identificazione;
• attuazione.

L’approccio strategico concerne la possibilità di coinvolgere il management, di definire investimenti ad hoc e di formalizzazre le responsabilità cyber.

L’identificazione rappresenta la capacità di fotografare e capire il fenomeno cyber, individuando le minacce, mappando gli asset e valutando i rischi.

Infine l’attuazione permette di misurare l’introduzione di strumenti, processi e soluzioni per la mitigazione del rischio e risposta agli incidenti.

Più consapevolezza in materia di sicurezza digitale per le PMI anche se i margini di miglioramento restano notevoli.

Presentato il Cyber Index PMI 2025, terza edizione, sulla consapevolezza e la maturità cyber delle piccole e medie imprese (PMI) italiane.

L’obiettivo dello studio è quello di monitorare nel tempo l’evoluzione della postura di sicurezza del tessuto imprenditoriale italiano. Postura, da intendersi come “capacità di governare il rischio cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti adeguati“.

L’iniziativa è di Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la collaborazione istituzionale dell’Agenzia per la Cybersicurezza Nazionale.

Il terzo anno di rilevazione

il Cyber Index PMI è elaborato sulla base di tre dimensioni:

• approccio strategico, che riguarda il coinvolgimento del management, la definizione di investimenti dedicati e la formalizzazione delle responsabilità in materia di sicurezza digitale.
• Identificazione, ovvero la capacità di comprendere il fenomeno cyber, individuare le minacce, mappare gli asset e valutare i rischi in modo strutturato.
• Attuazione, che misura l’introduzione di strumenti, processi e soluzioni operative per mitigare il rischio e rispondere agli incidenti.

Nel terzo anno di rilevazione, le piccole e medie imprese italiane raggiungono un livello di consapevolezza in materia di sicurezza digitale pari a 55 punti su 100. Questo punteggio equivale ad un incremento di 3 punti rispetto al 2024 e di 4 punti rispetto al 2023, su un campione di oltre 1.500 imprese.

Pur non raggiungendo la soglia di sufficienza fissata a 60 su 100, tale maturazione evidenzia una marcata polarizzazione tra un nucleo ristretto di imprese più mature e una vasta platea ancora esposta ai rischi.

I progressi

Nel Report, l’approccio strategico consegue la piena sufficienza. Il merito va a un’attenzione superiore alla governance del rischio e alla capacità di pianificare gli investimenti. In questo campo, infatti, le Pmi italiane raggiungono un punteggio medio di 62 su 100 (+6 punti percentuali rispetto al 2024).

Alcune criticità si presentano nelle fasi seguenti del percorso. Cresce la consapevolezza del rischio, tuttavia, numerose Pmi non riescono a declinare la strategia in priorità operativa. Soffrono l’assenza di attività di identificazione. Infatti raggiungono un punteggio medio di 47 su 100 (+2 punti rispetto al 2024, ma ancora sotto la sufficienza).

La dimensione dell’attuazione infine ammonta a 57 punti su 100, senza progressi rispetto all’anno precedente. Dunque l’introduzione di misure di protezione va più lentamente rispetto alla definizione delle strategie. 

I 4 livelli di maturità Cyber Index PMI 2025

Le Pmi presentano quattro livelli di maturità:

• il 14% è a livello principiante con scarsa consapevolezza dei rischi cyber e implementazione delle misure di protezione;
• il 16% è invece matura con un approccio strategico alla materia, è consapevole appieno dei rischi e adotta misure di attuazione concernenti persone, processi e tecnologie;
• il 32% si definisce consapevole, per capire gli effetti dei rischi cyber, ma la capacità operativa è ridotta;
• il 38% risulta informato. Non è del tiutto consapevole dei rischi e degli strumenti da mettere in campo e il suo approccio è “artigianale“.

“Il 2025 ha rappresentato un vero punto di svolta nelle relazioni geopolitiche e nel progresso tecnologico rendendo le minacce cyber ancor più sofisticate e complesse da gestire”, commenta Alessandro Piva.

“Lo scenario rischia di inasprirsi ulteriormente nonostante il livello record che ha già raggiunto: negli ultimi tre anni quasi una PMI su quattro ha subito una violazione informatica. Il livello di consapevolezza e preparazione delle imprese migliora, ma ancora non ha raggiunto i risultati sperati. È importante reagire come sistema Italia e Europa per garantire un livello comune di preparazione sufficiente ad affrontare un rischio che diventa sempre più operativo”, conclude Piva.