Rapporto Clusit 2026: finanza e infrastrutture critiche sotto attacco. Serve una cultura diffusa della cyber resilienza

Come ogni anno, a marzo viene presentata la nuova edizione del Rapporto Clusit, un documento stilato da professionisti della sicurezza informatica che analizza tutti gli incidenti informatici di dominio pubblico avvenuti nel 2025. Come intuibile, aumentano il numero delle violazioni così come la loro frequenza, e cresce anche la gravità degli incidenti. 

L'edizione 2026 del rapporto evidenzia come, anche a causa delle tensioni geopolitiche, il settore finanziario sia sempre più bersagliato, e aumentano in maniera decisa gli attacchi contro le infrastrutture fisiche critiche: ferrovie, trasporti aeroportuali, flotte, evidenziando come gli incidenti cyber in tali contesti non siano più una possibilità remota, ma una realtà che richiede strategie avanzate di prevenzione, monitoraggio continuo e un approccio di tipo "security by design". 

Sul fronte positivo, va segnalato che le norme UE come DORA e NIS 2 stanno avendo un impatto positivo, facendo crescere sia la consapevolezza sia le azioni mirate a prevenire incidenti gravi.

Il report Clusit 2026 in sintesi

Che gli incidenti siano in crescita non stupisce: a livello globale gli incidenti gravi salgono a 5.265. Due però i dati che preoccupano: prima di tutto la crescita in percentuale, con un balzo del 48,7% sull’anno precedente e che in cinque anni porta la media mensile da 171 a 439 eventi (+256%). Il secondo dato che merita attenzione è la gravità degli incidenti:  l'84% degli incidenti ha un impatto definito come "High" o "Critical". Non solo: da quest'anno Clusit ha introdotto la categoria "Extreme", che rappresenta il 2,7% del totale e che indica eventi con conseguenze devastanti e sistemiche. La scelta di introdurla è dovuta al fatto che in precedenza erano molto rari eventi di questo tipo, mentre dal 2025 si sono intensificati.

L’Italia segue il trend con 507 incidenti, pari al 9,6% del totale, in aumento del 42%. La categoria "Extreme" nel Bel Paese pesa meno della media globale, solo lo 0,6%, e include nello specifico tre eventi. 

Il motore che anima questi operazioni malevole resta il cybercrimine, che pesa per l’89,3% degli attacchi nel mondo, ma nel contesto italiano emerge una dinamica diversa: qui la quota si ferma al 61% e cresce in modo più contenuto, mentre esplode l’hacktivism, che raggiunge il 38,7% (contro il 5,8% globale) e segna un +145%, spesso legato a tensioni geopolitiche.

Sul piano settoriale, a livello globale dominano i bersagli multipli (23,5%), seguiti da governativo/militare (12,2%) e sanità (10,6%), con il manifatturiero in forte accelerazione (+79%). In Italia, invece, torna al centro il comparto governativo e militare (28,4%, +290%), seguito da manifattura (12,6%) e trasporti e logistica (12%, +134,6%). Cambia anche il profilo tecnico degli attacchi: nel mondo prevalgono malware (24,9%), vulnerabilità (16,5%) e phishing (9,9%), mentre nel nostro Paese dominano i DDoS (38,5%), coerentemente con l’ascesa dell’hacktivism, seguiti da malware (22,7%) e tecniche di social engineering (12,4%). Sul fronte dell’impatto, l’84% degli incidenti globali è classificato come high o critical, con l’introduzione della nuova categoria “extreme” (2,7%) per eventi sistemici.

In Italia la distribuzione è più frammentata: prevalgono attacchi medium/low (52,5%), mentre i casi critical si fermano al 7,7%, segnale di una superficie d’attacco ancora esposta anche a minacce poco sofisticate.

I dati dell'osservatorio di Fastweb + Vodafone

Da qualche anno il Rapporto Clusit dedica spazio anche alle informazioni raccolte dal Security Operations Center di Fastweb + Vodafone e dai centri 7Layer. In questo caso sono contati non solo gli attacchi andati a buon fine, ma anche i tentativi falliti. 

Sul fronte malware si registra un raddoppio delle infezioni, con oltre 390 mila IP compromessi (+116%), ma con una forte concentrazione: la botnet android.badbox2 da sola genera il 72% degli eventi, sfruttando vulnerabilità strutturali nei dispositivi IoT a basso costo basati su firmware insicuri.

Parallelamente, gli attacchi DDoS crescono del 26% e diventano più sofisticati: aumentano le campagne multi-vettore (dal 11% al 27%) e si diffondono tecniche come il carpet bombing, mentre la Pubblica Amministrazione resta il target principale. L’e-mail si conferma vettore critico ma evolve: il 73% dei messaggi è altamente mirato e personalizzato grazie all’uso dell’IA, con il phishing corporate che domina (89,5%) e l’abuso di strumenti legittimi come ScreenConnect per distribuire malware. Peggiora anche la postura applicativa: +31% di sistemi esposti senza protezioni, con Telnet in crescita e attacchi XSS in testa (27%).

Sul fronte frodi, prevalgono i furti d’identità per attivazioni illecite nei settori Telco ed energia, mentre i filtri anti-spoofing AGCOM riducono le chiamate fraudolente internazionali. Le analisi MDR di 7Layers confermano infine un salto qualitativo: dominano le tecniche di execution (l'eseguire malware sui sistemi delle vittime)e cresce l’uso di protocolli e piattaforme legittime, da HTTPS a Teams e Slack, per nascondere le comunicazioni con i server di comando e controllo. Il risultato è un perimetro sempre più sfumato, dove attacco e traffico legittimo tendono a sovrapporsi.

Infrastrutture critiche minacciate: gli attacchi si estendono al fronte fisico

Trasporto ferroviario, mobilità urbana e aviazione civile emergono come esempi emblematici di una trasformazione digitale che amplia in modo significativo la superficie di attacco. Nell'ambito ferroviario, l’adozione di IoT, cloud e intelligenza artificiale sta migliorando l’efficienza operativa, ma l’integrazione tra sistemi IT e OT introduce nuove vulnerabilità: tecniche di spoofing e jamming possono compromettere il segnalamento e la continuità del servizio, mentre persistono criticità strutturali come sistemi legacy, scarsa segmentazione di rete e autenticazione debole.

Il ransomware che nel 2025 ha colpito Ferrovie dello Stato, bloccando biglietteria e sistemi informativi, è un segnale concreto di questa esposizione. Sul fronte normativo, la NIS2 qualifica le reti ferroviarie come infrastrutture essenziali e impone requisiti stringenti di governance, in attesa dello standard IEC 63452.

Nell’aviazione civile, invece, la cybersecurity si affianca a safety e security come terzo pilastro: il regolamento europeo Part-IS (UE 2023/203), operativo dal 2026, obbliga tutti gli attori a dotarsi di sistemi di gestione della sicurezza delle informazioni orientati agli impatti operativi. Gli aeroporti devono presidiare i sistemi critici e la supply chain ICT, mentre le compagnie aeree sono chiamate a gestire i rischi legati ad aeromobili sempre più software-defined e connessi.

In entrambi i settori, la sicurezza informatica smette di essere un tema tecnico e diventa una leva di governance per garantire continuità dei servizi e sicurezza fisica.

IA e cybersecurity: opportunità e minaccia

L’intelligenza artificiale emerge come un fattore di discontinuità nel panorama della cybersecurity, capace di ridefinire in profondità sia le tecniche di attacco sia le strategie difensive. Sul fronte offensivo, l’IA si configura come un moltiplicatore di forza per il cybercrime: consente di automatizzare campagne di phishing sempre più credibili e personalizzate, di sviluppare malware ed exploit con tempi drasticamente ridotti – fino ai cosiddetti “one-day exploits” – e di costruire sofisticate frodi basate su contenuti sintetici, come deepfake audio e video utilizzati per attacchi di "CEO fraud", nei quali si impersonano alti dirigenti. Non solo. Framework come VoidLink, tra i primi esempi documentati di malware generato quasi interamente da modelli di IA, segnalano un cambio di paradigma anche nella produzione del codice malevolo, mentre tecniche avanzate permettono di eludere i sistemi di difesa comportamentale e rendere più efficaci le campagne di credential harvesting, mirate a sottrarre credenziali di accesso.

Parallelamente, l'IA viene adottata per rafforzare la difesa, con l’evoluzione verso modelli di Security Operations Center sempre più autonomi. I cosiddetti Agentic SOC sfruttano l’IA per automatizzare il triage degli alert e la gestione operativa degli incidenti, riducendo fino al 75% il carico di lavoro degli analisti e arrivando a gestire in autonomia oltre il 97% degli eventi di sicurezza.

Si afferma inoltre il paradigma dell’AI Detection & Response, che non solo utilizza algoritmi intelligenti per proteggere le infrastrutture, ma introduce meccanismi specifici per difendere gli stessi sistemi di IA da minacce emergenti come prompt injection e model poisoning. In questo contesto, la threat intelligence evolve da approccio reattivo a predittivo, grazie alla capacità di correlare grandi volumi di dati e individuare pattern di attacco in anticipo.

L’adozione diffusa dell’IA, già adottata da circa il 60% delle imprese, apre però nuove superfici di rischio. Fenomeni come il “vibe coding”, ovvero lo sviluppo software assistito da IA, possono introdurre vulnerabilità difficili da individuare e problemi legati alla proprietà intellettuale. Allo stesso tempo, l’uso non governato di strumenti di IA generativa (la cosiddetta shadow AI) espone le aziende a rischi concreti di strazione dati, con dipendenti che inseriscono inconsapevolmente informazioni sensibili nei prompt.

A questo si aggiunge il tema della fiducia delegata agli agenti intelligenti: senza un approccio strutturato basato su principi Zero Trust, gli stessi sistemi di IA possono trasformarsi in vettori privilegiati per attacchi e furti di identità.

Sul piano normativo e di governance, il quadro è in rapida evoluzione. L’AI Act europeo introduce obblighi stringenti in termini di trasparenza, robustezza e gestione del rischio, soprattutto per i sistemi classificati come ad alto impatto. Parallelamente, si rafforzano le pratiche di validazione e certificazione, con l’adozione di framework come l’OWASP AI Testing Guide per il testing della sicurezza dei modelli e standard come ISO 42001 per la gestione dell’IA, affiancati alla consolidata ISO 27001 per la sicurezza delle informazioni.