L'Italia esce dalla top 5 mondiale per ransomware nel 2025, scendendo al sesto posto. Il dato sembra un miglioramento, ma i numeri raccontano altro: in termini assoluti, gli attacchi sono raddoppiati rispetto al 2024. Le organizzazioni italiane subiscono in media 2.424 attacchi cyber a settimana, il 21,5% in più della media mondiale di 1.995.
Dal 5° al 6° posto, ma i numeri peggiorano
Il 2025 ha fatto registrare una crescita del 51% degli attacchi ransomware a livello globale, con oltre 7.100 episodi rivendicati pubblicamente da 124 gruppi criminali attivi. La minaccia è sempre più frammentata: una top 10 di gruppi concentra il 56% degli attacchi, mentre decine di soggetti minori abbassano la soglia di accesso al crimine informatico. L'Italia assorbe il 2,27% degli incidenti mondiali, secondo lo Y-Report 2026 di Yarix, che nel 2025 ha gestito oltre 522.000 eventi di sicurezza tramite il proprio Security Operations Center. Di questi, 158.000 si sono evoluti in incidenti reali, con un incremento mensile dell'8% rispetto al 2024. Gli eventi più gravi sono cresciuti del 62% su base annua.
Tre gruppi criminali concentrano oltre un terzo degli attacchi al nostro Paese: Sarcoma con 28 vittime accertate, Qilin con 19 e Akira con 10. Il Rapporto Clusit 2026 registra un aumento del 65% degli attacchi ransomware in Italia rispetto al 2024, con il Paese che assorbe il 9,6% degli incidenti globali. A livello geografico, gli Stati Uniti restano il Paese più colpito con il 52% degli attacchi mondiali, seguiti da Canada al 6%.
PMI e manifatturiero: dove l'Italia è più esposta
Il dato più rilevante riguarda la dimensione delle vittime. Le piccole imprese rappresentano il 67% del totale delle vittime italiane di ransomware, 10 punti percentuali sopra la media globale. Le medie imprese pesano per un ulteriore 18%. Il tessuto imprenditoriale italiano, storicamente dominato dalle PMI, porta con sé una vulnerabilità strutturale: budget IT ridotti, assenza di un Security Operations Center dedicato e bassa capacità di risposta amplificano l'esposizione a qualsiasi campagna criminale.
Il settore manifatturiero è il più colpito con il 17,9% degli incidenti, seguito dall'IT con l'8,3%. Le fabbriche italiane dipendono spesso da infrastrutture produttive obsolete che non possono essere aggiornate senza interrompere la produzione. Questi sistemi legacy, distribuiti su più nodi, allargano la superficie di attacco e restano vulnerabili per anni. I vettori si moltiplicano: nel 2025 i criminali hanno sfruttato falsi chatbot per distribuire malware, come documentato dall'allerta Kaspersky su siti truffa che imitano strumenti AI, mentre lo spyware Graphite ha colpito attivisti e giornalisti italiani via WhatsApp con tecniche di sorveglianza avanzata.
La mappa del rischio: Lombardia al 36% delle vittime
Il 36% di tutte le vittime ransomware nazionali è localizzato in Lombardia. Seguono Emilia-Romagna con il 13%, Lazio con l'11,6%, Veneto con il 10% e Piemonte con l'8%. La distribuzione rispecchia la densità del tessuto produttivo: le regioni con la maggiore concentrazione di imprese manifatturiere e infrastrutture critiche sono anche quelle più colpite. Per una PMI manifatturiera lombarda, il rischio non è più un'ipotesi remota ma una probabilità concreta, aggravata dall'assenza di difese adeguate.
Il 2025 ha registrato anche due picchi di campagne hacktiviste con attacchi DDoS contro obiettivi italiani: il primo tra giugno e luglio (27,7% delle campagne annuali), in coincidenza con il vertice NATO e la Conferenza sulla Ripresa dell'Ucraina ospitata a Roma il 10-11 luglio; il secondo tra settembre e ottobre (23,5%), in corrispondenza dell'anniversario del 7 ottobre. I collettivi filorussi e pro-palestinesi hanno usato queste azioni come strumento di pressione comunicativa contro istituzioni e aziende. Le conseguenze degli attacchi DDoS in Italia su istituzioni e aziende illustrano quanto profondo possa essere l'impatto su chi non è preparato.
Per le PMI del manifatturiero italiano, specie quelle concentrate nelle regioni del Nord, il rischio informatico non ha mai avuto i numeri di oggi. La posizione in classifica mondiale non è il metro corretto per misurarsi: contano gli incidenti reali, e nel 2025 hanno fatto il salto più consistente degli ultimi anni.