Il 9,6% degli incidenti cyber registrati a livello globale nel 2025 ha avuto come bersaglio aziende e infrastrutture italiane.

In termini assoluti, 507 attacchi gravi secondo il Rapporto Clusit 2026, contro i 357 dell’anno precedente: una crescitache colloca il Paese tra le economie avanzate più esposte alla minaccia informatica.

I dati operativi dell’Agenzia per la Cybersicurezza Nazionale confermano tale tendenza: a gennaio 2026 il CSIRT Italia ha rilevato 225 eventi cyber, il 42% in più rispetto ai 158 di dicembre 2025, con 39 incidenti a impatto confermato. Tra i settori più colpiti, il manifatturiero (19%), il tecnologico (16%) e la sanità (12%).

Aumentano gli investimenti cyber, ma non la capacità di sicurezza

Di fronte a questo scenario, la risposta del sistema produttivo è misurabile, con le aziende che stanno aumentando sempre più gli investimenti in sicurezza informatica.

Secondo Gartner, la spesa globale per la cyber security ha raggiunto 213 miliardi di dollari nel 2025, con una crescita superiore al 12% su base annua, e potrebbe arrivare quest’anno a circa 240 miliardi.

In Italia, secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, il mercato nazionale ha raggiunto 2,78 miliardi di euro nel 2025, +12% sull’anno precedente, con sette grandi aziende su dieci che prevedono un ulteriore incremento del budget nel 2026.

Tuttavia, l’aumento degli investimenti in cyber security non si traduce automaticamente in una reale capacità di sicurezza: i dati ci dicono che solo il 2% delle aziende ha implementato un modello di cyber-resilience esteso a tutta l’organizzazione, mentre la maggior parte continua a operare con sistemi di sicurezza frammentati.

Tra le PMI italiane, il Cyber Index PMI promosso dall’Agenzia per la Cybersicurezza Nazionale,rileva che solo il 15% delle PMI italiane adotta un approccio strutturato alla cybersecurity, mentre il 56% mostra livelli di consapevolezza ancora bassi o molto limitati.

Manca una visione completa del livello di resilienza

Il paradosso è che molte organizzazioni dispongono già di firewall, sistemi di protezione e soluzioni di backup, ma non hanno una visione completa del proprio livello di resilienza.

Secondo il World Economic Forum, il 54% delle grandi organizzazioni considera proprio la complessità delle infrastrutture digitali e delle supply chain uno dei principali ostacoli alla cyber-resilience, mentre il 90% non ha ancora un livello di maturità sufficiente per contrastare le minacce più avanzate.

Pertanto, più un’azienda è interconnessa, più è esposta, e più fatica a proteggersi in modo coerente. Ma questa complessità non incide solo sulla prevenzione degli attacchi, influisce soprattutto sulla capacità di ripartire quando un incidente si verifica.

Il tempo necessario per ripartire

La domanda allora diventa inevitabile: quanto tempo serve davvero alle aziende per ripartire dopo un attacco informatico? Secondo Statista, il downtime medio delle aziende statunitensi dopo un attacco ransomware è di 24 giorni e ilcosto medio per organizzazione supera 1,8 milioni di dollari, considerando fermo operativo, perdita di produttività e attività di recovery.

Per le violazioni di dati in senso più ampio,il costo medio globale sale oltre i 4 milioni di dollari. Il caso CrowdStrike del luglio 2024 offre un esempio concreto di questi ordini di grandezza: un aggiornamento software difettoso ha bloccato circa 8,5 milioni di sistemi Windows, colpendo compagnie aeree, banche e ospedali in tutto il mondo.

La causa tecnica è stata identificata rapidamente, ma il ripristino completo ha richiesto giorni e le perdite dirette per le aziende Fortune 500 sono state stimate a 5,4 miliardi di dollari, con copertura assicurativa cyber largamente insufficiente rispetto all’esposizione reale.

Conclusioni

Ciò dimostra quanto la cyber security non dipenda solamente dalla presenza di firewall o sistemi di backup per la prevenzione degli attacchi, ma anche e soprattutto dalla capacità di conoscere e testare in anticipo i propri processi di ripristino per garantire continuità operativa anche in condizioni di crisi.

In altre parole, dalla maturità della propria cyber resilience.

Normative europee come NIS2 e DORA stanno andando in questa direzione ampliando le responsabilità del management, chiedendo alle aziende non solo di proteggere i sistemi ma di dimostrare resilienza operativa e capacità di gestione degli incidenti.

Tuttavia, in uno scenario in cui gli attacchi informatici sono sempre più frequenti, la vera differenza non è tra chi viene colpito e chi no, ma tra chi riesce a ripartire rapidamente e chi rimane fermo per giorni o settimane.

È proprio nella capacità di conoscere, misurare e testare i tempi di ripartenza – e quindi ridurre drasticamente il tempo necessario per tornare operativi – che si misura oggi la maturità della cyber security aziendale.