Parlare di una su tre non è più una formula allarmistica ma la misura reale di un fenomeno che ha raggiunto dimensioni strutturali. Secondo i più rapporti del Clusit, del CERT-AgID e di analisi condotte da Crif e PwC, oltre il 36% delle imprese italiane ha subito nell’ultimo anno almeno un episodio di frode o di attacco informatico, con un incremento superiore al 20% rispetto al biennio precedente. La tendenza è omogenea a livello europeo: in Germania si parla di un danno stimato di circa 300 miliardi di euro l’anno, mentre nel Regno Unito il 43% delle aziende ha segnalato violazioni o compromissioni di dati, segno che la cybercriminalità è diventata un fenomeno economico prima ancora che tecnologico.
L’Italia si colloca oggi fra i Paesi più esposti, complice un tessuto produttivo dominato da PMI che faticano a mantenere standard di sicurezza adeguati e una crescente ibridazione dei sistemi informativi dovuta al cloud, allo smart working e all’interconnessione di filiere e fornitori. Non esiste più un confine fisso tra esterno e interno: i dati viaggiano fra dispositivi personali, piattaforme SaaS, email e marketplace, generando un perimetro digitale liquido in cui ogni varco può trasformarsi in una breccia.
Le tecniche di attacco più diffuse
Gli esperti concordano su un punto: la triade ransomware-phishing-BEC (Business Email Compromise) è responsabile della stragrande maggioranza degli incidenti segnalati nel 2024 e nei primi mesi del 2025. Il ransomware, in particolare, rimane l’arma preferita dai gruppi criminali organizzati, responsabile di oltre il 40% degli attacchi gravi rilevati in Italia secondo il Clusit. Gli hacker penetrano nei sistemi, cifravano dati sensibili e backup, e chiedono riscatti in criptovaluta minacciando di diffondere informazioni riservate o progetti industriali. È la cosiddetta doppia estorsione, una pratica che rende la difesa più complessa perché il danno non si limita al blocco operativo ma si estende alla reputazione e alla compliance normativa (GDPR in primis).
Il phishing, in tutte le sue varianti (email, SMS, social, QR code, messaggistica istantanea), è la principale porta d’ingresso. Nel 2024, oltre il 70% degli attacchi riusciti è iniziato con un’email malevola: un link camuffato, un allegato con macro infette o una pagina clonata sufficiente a sottrarre credenziali aziendali. A questo si affianca il BEC, ossia l’inganno attraverso cui gli attaccanti impersonano un dirigente o un fornitore per convincere un dipendente a eseguire un bonifico fraudolento. Solo in Italia, secondo i dati dell’ABI Lab, i bonifici falsificati hanno superato 65 milioni di euro nel secondo semestre 2024, con un incremento del 61% rispetto al semestre precedente.
La combinazione di queste tecniche, unite a un crescente uso di AI generativa per scrivere email persuasive o imitare voci e volti di manager, ha innalzato la credibilità degli attacchi e reso sempre più sottile la linea che separa la frode tradizionale da quella digitale.
L’evoluzione del cybercrimine
L’intelligenza artificiale sta diventando una leva anche per i criminali. Gli stessi strumenti di machine learning che le aziende utilizzano per prevenire intrusioni e analizzare anomalie vengono ora impiegati in senso inverso: modelli linguistici che generano email impeccabili, deepfake vocali di CEO che ordinano pagamenti urgenti, chatbot malevoli capaci di rispondere in tempo reale alle verifiche dei dipendenti. Un recente studio di ENISA, l’Agenzia europea per la cybersecurity, stima che nel 2025 circa un attacco su sei sarà supportato da tecniche di AI offensiva.
Le nuove frontiere della frode si muovono anche lungo il confine dell’identità digitale. L’espansione del cloud ibrido e dei servizi di autenticazione condivisi ha moltiplicato i punti d’accesso: un singolo furto di credenziali può aprire decine di porte laterali. E quando la protezione non si basa su autenticazione multifattore o su politiche di least privilege, il passaggio dall’errore umano alla compromissione totale può essere questione di minuti.
La minaccia, però, non arriva solo dall’esterno. Il fattore umano resta la vulnerabilità più sfruttata: oltre il 79% degli attacchi riusciti trova origine in una distrazione, in un clic errato o in un controllo non eseguito. Questo dimostra che la sicurezza informatica è oggi una questione culturale e organizzativa prima ancora che tecnologica.
I settori più colpiti e le conseguenze economiche
Se fino a pochi anni fa i bersagli principali erano banche e grandi aziende ICT, oggi la mappa è più ampia. Le manifatture, i servizi finanziari, le società sanitarie e gli enti pubblici sono le aree più bersagliate, ma la logica dei criminali è ormai opportunistica: si colpisce chi è più vulnerabile, indipendentemente dal settore. In Italia, secondo l’ultimo Rapporto Clusit, oltre il 22% degli attacchi ha avuto come obiettivo aziende manifatturiere, spesso con lo scopo di interrompere la produzione e negoziare il riscatto; la sanità segue con il 17%, mentre la Pubblica Amministrazione rappresenta circa il 15% degli episodi censiti.
L’impatto economico è imponente. La Banca d’Italia calcola che le perdite dirette da frodi digitali sui pagamenti ammontano a oltre 250 milioni di euro l’anno, ma il danno indiretto – reputazionale, legale e produttivo – è almeno cinque volte superiore. I tempi medi di ripristino dopo un ransomware superano i 18 giorni lavorativi, un periodo che può compromettere la continuità operativa di interi reparti e far perdere contratti strategici.
A tutto questo si aggiunge la dimensione geopolitica: la linea fra criminalità e cyberwarfare è sempre più sfumata. Attacchi riconducibili a gruppi filostatali o ad hacker mercenari sono stati registrati in coincidenza con tensioni internazionali, segno che il cyberspazio è diventato un campo di conflitto economico in cui le imprese sono obiettivi collaterali.
Come difendersi: la nuova cultura della resilienza
Difendersi non significa più installare un antivirus o aggiornare i firewall. Oggi serve una strategia di resilienza digitale che includa prevenzione, rilevamento precoce, formazione del personale e risposta coordinata agli incidenti. L’adozione di soluzioni EDR/XDR (Endpoint Detection and Response) e di piattaforme di monitoraggio comportamentale basate su AI consente di intercettare le anomalie prima che si trasformino in disastri, ma senza una catena di comando chiara e procedure testate a freddo la reazione rischia di essere tardiva.
Gli esperti sottolineano che la prima difesa è la consapevolezza: esercitazioni periodiche di phishing simulation, aggiornamenti costanti delle policy e controlli su domini simili (look-alike) sono strumenti essenziali per ridurre il rischio. Nelle PMI, dove il budget è spesso limitato, può fare la differenza l’adesione a consorzi o servizi condivisi di cybersecurity, che offrono monitoraggio continuo a costi sostenibili.
Sul fronte normativo, l’Europa ha imboccato la via della regolamentazione attiva. La direttiva NIS2, recepita anche in Italia, impone dal 2025 obblighi più stringenti su reporting degli incidenti, gestione del rischio di filiera e resilienza dei fornitori critici. È una svolta di sistema che sposta la sicurezza da costo accessorio a requisito di business continuity.
La dimensione umana della difesa
Ogni tecnologia, per quanto sofisticata, resta inefficace se l’elemento umano non è allineato. Gli attacchi del 2025 dimostrano che la frode più devastante non passa necessariamente per una vulnerabilità tecnica, ma per la fiducia mal riposta. Simulare la voce del direttore finanziario per richiedere un bonifico, inviare un’email perfettamente scritta con un link interno o farsi passare per un consulente IT in smart working: tutte tattiche che aggirano le difese tecnologiche e colpiscono la psicologia aziendale.
La formazione deve quindi spingersi oltre il classico corso di e-learning: servono campagne immersive, simulazioni in tempo reale e meccanismi di escalation immediata per chi sospetta una truffa. Le aziende più virtuose stanno introducendo figure di Cyber Awareness Officer, responsabili di mantenere alta l’attenzione e di creare una cultura della segnalazione proattiva.
Non basta più proteggere i dati: occorre educare le persone a riconoscere l’inganno, perché nella cybercriminalità moderna l’obiettivo non è la macchina, ma chi la usa.
