Nel 2026, il 67% delle aziende italiane ha subito almeno un furto di credenziali. La media europea è al 25%: l'Italia si colloca quasi al triplo. Lo rivela il State of Physical Security 2026 di Genetec, condotto su 7.368 professionisti della sicurezza in tutto il mondo, di cui oltre 880 in Europa.
I numeri del divario con l'Europa
Il gap non riguarda solo le credenziali. Il 55% delle organizzazioni italiane ha subito attacchi DDoS nel 2025, contro il 30% europeo, e il 55% ha registrato episodi di phishing o smishing. Si tratta di percentuali sistematicamente più alte della media UE su ogni vettore d'attacco monitorato.
Il quadro si aggrava guardando al dark web. Secondo l'analisi CRIF, l'Italia è il quinto paese al mondo per volumi di email e password rubate rivendute nei marketplace illegali. Carte di credito, accessi bancari, credenziali VPN aziendali: i dati italiani alimentano un commercio sotterraneo globale. crescita allarmante del furto di informazioni: 23 milioni di carte di credito sul dark web
Secondo il Rapporto Clusit 2026, in Italia si sono registrati 507 incidenti gravi nel 2025, il 42% in più rispetto ai 357 del 2024. Oltre due terzi ha colpito piccole e medie imprese, spesso prive di un team dedicato alla sicurezza informatica e con sistemi di autenticazione basati esclusivamente su password.
Il dato nascosto: solo il 17% se ne accorge
Il numero più preoccupante non è il 67%: è quello accanto. Solo il 17% delle organizzazioni italiane dichiara di aver rilevato un aumento degli incidenti di sicurezza nel 2025. La media europea è al 33%. Il divario indica che la maggior parte dei furti di credenziali avviene in silenzio, senza che le aziende colpite se ne accorgano in tempi utili.
Il Cost of Data Breach Report 2025 di IBM quantifica il ritardo: le aziende italiane impiegano in media 218 giorni per identificare una violazione attiva. Ogni giorno di ritardo significa accesso prolungato ai sistemi da parte degli attaccanti, esfiltrazione continua di dati e tempo per monetizzare le credenziali sui mercati illegali. Il costo medio per incidente in Italia è di 4,73 milioni di euro, in crescita del 23% rispetto al 2023.
A complicare il rilevamento è l'evoluzione degli strumenti. Gli infostealer (malware progettati per raccogliere credenziali salvate nei browser e nelle applicazioni) vengono distribuiti tramite campagne di phishing sempre più difficili da distinguere da comunicazioni legittime. Il ENISA Threat Landscape 2025 - principali minacce informatiche in Europa li identifica come il vettore prevalente per il furto di credenziali nell'ultimo anno a livello europeo.
NIS2 e PMI: l'obbligo che molte aziende non conoscono
Dal lato normativo, la Direttiva NIS2, recepita in Italia nel 2024, amplia gli obblighi di cybersicurezza a migliaia di organizzazioni che prima non vi rientravano: fornitori di servizi digitali, aziende manifatturiere essenziali, operatori della supply chain critica. Gli obblighi includono politiche di autenticazione robusta, gestione delle identità digitali e procedure di notifica degli incidenti. le implicazioni della regolamentazione digitale europea per le aziende
Il problema è che molte PMI italiane non sanno ancora di rientrare in quel perimetro. La consapevolezza normativa resta bassa proprio nel segmento che registra il maggior numero di violazioni. L'autenticazione multifattore è la misura più efficace per bloccare gli accessi non autorizzati basati su credenziali rubate, ma la sua adozione tra le aziende sotto i 250 dipendenti rimane marginale. Per chi è già in perimetro NIS2 e non si è ancora adeguato, le sanzioni possono arrivare fino al 2% del fatturato annuo globale.
Il World Password Day esiste da oltre dieci anni. Nel 2026, il furto di credenziali non si è ridotto: si è moltiplicato, automatizzato e reso sempre più difficile da individuare. Per le aziende italiane, la domanda non è più "siamo protetti?", ma "abbiamo la capacità di accorgerci quando non lo siamo?"