Incidenti in aumento, impatti più severi e filiere digitali più esposte trasformano la sicurezza informatica in una variabile centrale per consulenza, underwriting e continuità operativa
Il Rapporto Clusit 2026 fotografa un mercato del rischio informatico sempre meno episodico e sempre più strutturale. La nuova edizione, dedicata agli incidenti del 2025 a livello globale e italiano, integra anche le analisi di Fastweb + Vodafone, Polizia Postale, Akamai e un focus sul settore finance. Per il mercato assicurativo il dato di fondo è chiaro: il cyber non può più essere letto come una copertura accessoria, ma come un fattore che incide sulla continuità aziendale, sulla solidità delle filiere e sulla qualità delle informazioni usate in sottoscrizione.
Un’accelerazione che cambia la misurazione del rischio
Nel 2025 Clusit ha censito 5.265 incidenti cyber rilevanti, con un incremento del 48,7% rispetto all’anno precedente. Nel periodo 2021-2025 gli incidenti registrati sono stati 16.123, mentre il confronto con il 2021 mostra una crescita del 157%. La media mensile è salita da 171 incidenti nel 2021 a 439 nel 2025, segnalando un cambio di scala che interessa tutte le organizzazioni, non solo quelle ad alta intensità tecnologica.
La matrice prevalente resta il cybercrime, responsabile dell’89,3% degli incidenti censiti nel 2025. È un dato che pesa direttamente sulla valutazione assicurativa: non si tratta solo di attacchi sofisticati contro grandi gruppi, ma di un’economia criminale organizzata, capace di scalare campagne su più settori e di sfruttare debolezze ricorrenti nei processi digitali delle imprese.
La categoria “Multiple Targets” rappresenta il 23,5% degli incidenti, seguita da Gov / Mil / LE al 12,2%, Healthcare al 10,6%, Manufacturing al 7,6%, ICT al 7,1% e Financial / Insurance al 6,3%. Il settore Financial / Insurance, pur perdendo posizioni nella graduatoria globale, registra comunque un aumento del 27% degli incidenti in valore assoluto rispetto al 2024.
La frequenza non basta più: conta la qualità degli impatti
La lettura assicurativa del Rapporto passa soprattutto dalla severità. Clusit segnala un peggioramento progressivo degli impatti e un aumento del 9% della gravità media rispetto al 2024. Nel 2025 gli incidenti classificati come “High” rappresentano il 55,6% del totale, quelli “Critical” il 28,2% e la nuova categoria “Extreme” il 2,7%. In pratica, circa un incidente su tre si colloca nelle fasce più gravi.
Per chi sottoscrive o distribuisce coperture cyber, questo sposta il baricentro dalla semplice presenza di misure tecniche alla capacità dell’impresa di dimostrare resilienza. Business continuity, gestione delle patch, inventario degli asset ICT, controllo degli accessi, monitoraggio degli incidenti e piani di risposta diventano elementi che incidono sulla qualità del rischio, sulle condizioni di copertura e sulla sostenibilità del portafoglio.
Anche le tecniche di attacco confermano la necessità di una valutazione più profonda. Nel 2025, per il 33,4% degli incidenti la tecnica non è stata resa pubblica. Tra quelle note, il malware resta al primo posto con il 24,9%, seguito dallo sfruttamento di vulnerabilità al 16,5% e da phishing e social engineering al 9,9%. L’opacità tecnica delle disclosure riduce la capacità del mercato di leggere pienamente le cause degli eventi e rende ancora più rilevante la raccolta di informazioni puntuali in fase assuntiva.
Finance, assicurazioni e PMI dentro lo stesso perimetro di esposizione
Il focus finance del Rapporto evidenzia un punto decisivo: banche, assicurazioni e operatori dei pagamenti restano esposti perché concentrano risorse economiche, dati sensibili, infrastrutture identitarie e sistemi core complessi. Nella prefazione, Clusit rileva che gli attacchi contro piattaforme di trading, pagamenti digitali e identità non minacciano solo i singoli operatori, ma possono incidere sulla stabilità del sistema finanziario.
La minaccia non riguarda solo gli operatori regolamentati. La Polizia Postale segnala che le tecniche criminali colpiscono cittadini, PMI e grandi imprese, con phishing, smishing, vishing, Business Email Compromise e CEO fraud tra le dinamiche più ricorrenti nel financial cybercrime. Per le PMI, spesso meno strutturate nella sicurezza interna, il rischio si traduce in frodi sui pagamenti, furto di credenziali, interruzione operativa e danni reputazionali.
Anche l’analisi Fastweb + Vodafone sulla situazione italiana conferma la pressione sui canali digitali. Nel 2025 gli IP univoci infetti osservati nell’Autonomous System di Fastweb + Vodafone sono più che raddoppiati, passando da 180.486 a 390.525. Nell’ambito email, le minacce veicolate tramite URL rappresentano l’89,5% dei messaggi malevoli, mentre il phishing pesa per il 70,7% delle categorie rilevate.
DORA, NIS2 e fornitori ICT spingono la cyber governance nel mercato assicurativo
Il Rapporto dedica attenzione anche alla supply chain ICT, ormai centrale nelle normative europee. La sicurezza della filiera digitale è indicata come uno dei pilastri della Direttiva NIS2 e della normativa DORA, che impone a banche, assicurazioni e altre entità finanziarie di rafforzare resilienza operativa e sicurezza informatica.
DORA, in particolare, porta la gestione dei fornitori ICT dentro un quadro più rigoroso: valutazione precontrattuale, due diligence, presidio dei subfornitori, gestione degli incidenti, test di sicurezza e documentazione dei rischi. Nel Rapporto si sottolinea che la normativa guarda anche alle conseguenze di un incidente lungo la catena di fornitura, includendo rischi operativi, giuridici, informatici e reputazionali.
Per compagnie, MGA e broker specializzati nel corporate, questo scenario rende più stretto il legame tra compliance e assicurabilità. Le imprese non devono solo acquistare una copertura, ma dimostrare di avere una governance coerente con la propria esposizione digitale. La qualità dei contratti con fornitori cloud, gestori di servizi IT, outsourcer, piattaforme gestionali e provider di sicurezza può diventare un fattore rilevante nella valutazione del rischio.
Il nuovo spazio consulenziale per broker e intermediari
La crescita del cyber risk apre una fase più tecnica per la distribuzione assicurativa. Il broker non è chiamato solo a collocare una polizza, ma a leggere insieme all’impresa la coerenza tra esposizione, misure di prevenzione, massimali, franchigie, sottolimiti, esclusioni e scenari di business interruption.
Il punto critico è la qualità delle informazioni. Questionari cyber compilati in modo superficiale, assenza di evidenze sulle misure adottate, scarsa mappatura dei fornitori critici e sottovalutazione delle dipendenze digitali possono generare disallineamenti tra aspettative del cliente, capacità assuntiva del mercato e reale risposta della copertura in caso di sinistro.
Il Rapporto Clusit 2026 conferma che il cyber è ormai un rischio aziendale trasversale. Per il mercato assicurativo, la sfida è trasformare questa consapevolezza in strumenti più solidi di analisi, prevenzione e trasferimento del rischio. La consulenza che saprà collegare tecnologia, continuità operativa, compliance e architettura della copertura avrà un ruolo sempre più rilevante nella protezione delle imprese.
Scarica il “Rapporto Clusit 2026“
