Uno studio QBE con Control Risks fotografa il settore delle costruzioni come primo bersaglio del ransomware nel 2025. La posta in gioco non è più la riservatezza dei dati, ma i giorni di fermo di un progetto. E l’assicurabilità passa da qui.
Le costruzioni sono diventate il settore più colpito dal ransomware: nel 2025 hanno rappresentato il 20% degli obiettivi, primo comparto in classifica secondo i dati Control Risks. È il punto di partenza di “Construction: dalla progettazione alle violazioni cyber“, lo studio realizzato da QBE insieme alla società di consulenza sul rischio Control Risks, che intercetta un passaggio già maturo nel mercato: nel cantiere digitalizzato il rischio informatico e il rischio di interruzione dell’attività si sono saldati, e chi sottoscrive lo sa.
Un settore digitalizzato in fretta e protetto poco
Il report costruisce la sua lettura su un sondaggio condotto tra venti esperti senior della practice Digital Risks di Control Risks, la struttura che si occupa di gestione del rischio, incident response e analisi forense. La convergenza che ne emerge è netta: il 79% degli intervistati indica il ransomware come la minaccia più probabile e con impatto significativo per il settore.
Il paradosso è che questa esposizione cresce proprio mentre il comparto accelera sulla digitalizzazione. Il building information modeling è passato da un mercato di circa 4,38 miliardi di dollari nel 2024 a una traiettoria che il report proietta verso 17,72 miliardi entro il 2034. Accanto al BIM avanzano i sensori IoT di cantiere e l’intelligenza artificiale applicata a progettazione e logistica. Ogni strato digitale aggiunge efficienza e allarga la superficie di attacco.
Su questo terreno lo studio individua tre fragilità strutturali. Le supply chain sono lunghe e frammentate, con decine di subappaltatori e fornitori che condividono accessi e dati. I sistemi legacy convivono con le nuove piattaforme senza essere aggiornati. E la maturità cyber resta bassa, in un settore storicamente distante dalla cultura della sicurezza informatica. Tre debolezze che, sommate, spiegano perché il construction sia salito in cima alla lista dei bersagli.
Quando l’attacco arriva ai macchinari
L’elemento che rende il rischio del cantiere diverso da quello di un ufficio è la convergenza tra tecnologie informatiche e tecnologie operative. Il ransomware non si ferma più alla rete gestionale: quando la separazione tra IT e OT è debole, può raggiungere i sistemi di controllo industriale e fermare macchinari e impianti. Il report richiama i dati Dragos secondo cui l’81% degli incidenti OT del 2025 è riconducibile a una segmentazione inadeguata tra i due ambienti.
Da qui l’impatto operativo, che è la vera chiave di lettura per chi assicura. Lo studio indica una media di 24 giorni di inattività per episodio ransomware nel 2025. Sul lato opposto sta la soglia di tolleranza delle imprese: il 77% degli intervistati colloca a cinque giorni il tempo massimo sostenibile senza accesso alla documentazione di progetto. Tra i 24 giorni del fermo tipico e i cinque giorni di resistenza operativa si apre il divario che trasforma un incidente informatico in una perdita economica diretta.
I casi citati danno concretezza alla dinamica. Lagan SCG è stata colpita dal gruppo Lockbit nel febbraio 2023, con una doppia estorsione e il furto dei dati dei dipendenti. In Interserve, nel Regno Unito, un attacco del 2020 ha comportato circa 7 milioni di sterline di ripristino a cui si è aggiunta una sanzione da 4,4 milioni di sterline dell’autorità garante ICO. Skender Construction, negli Stati Uniti, nel marzo 2024 si è salvata grazie ai backup, come riportato dal report: un episodio che indica dove passa la differenza tra un blocco gestibile e una crisi conclamata.
C’è poi una dimensione geopolitica che tocca il settore per prossimità. Nel 2024 attori filo-russi hanno colpito infrastrutture idriche in Danimarca, con alcune centinaia di famiglie rimaste senza acqua per alcune ore, e nel 2025 una diga in Norvegia. Le imprese edili che lavorano su infrastrutture critiche finiscono spesso tra le vittime collaterali di attacchi pensati per altri obiettivi.
La resilienza informatica entra nei bandi
La spinta normativa completa il quadro e cambia la natura della posta in gioco. La direttiva NIS2, recepita in Italia con il D.Lgs 138/2024, estende gli obblighi di sicurezza lungo la supply chain e raggiunge le imprese di costruzione impegnate su progetti infrastrutturali. In Italia pesano anche le linee guida dell’Agenzia per la Cybersicurezza Nazionale, mentre a livello internazionale si muovono gli aggiornamenti britannici e il CCSPA canadese.
Il risultato è che dimostrare resilienza informatica sta diventando un prerequisito per aggiudicarsi le commesse, non più soltanto un requisito tecnico. La sicurezza cyber entra nei capitolati e nella valutazione dei fornitori, e diventa un fattore competitivo prima ancora che assicurativo. È la stessa dinamica già osservata con l’avvio della terza fase attuativa della NIS2, che trasforma la compliance in un requisito di assicurabilità e sposta il ruolo del broker dalla vendita della polizza all’analisi del rischio.
Il gap italiano è doppio
Sul mercato interno il ritardo si misura su due piani distinti. La penetrazione della copertura cyber resta sotto il 10% delle imprese, e la maturità organizzativa è bassa. Non è solo un problema di polizze mancanti, ma di aziende che non hanno ancora costruito i presidi che rendono un rischio sottoscrivibile. È lo stesso ritardo che emerge dalla fotografia del mercato cyber globale, dove l’Italia resta un bacino ampio e ancora largamente scoperto e in cui QBE figura tra i player della classifica con una quota dell’1,96%.
Il fenomeno si ancora al territorio con i numeri della survey nazionale condotta da QBE Italia a maggio 2026 su 400 aziende tra 100 e 2.000 dipendenti. Sul suo campione, il 47% ha subito un attacco negli ultimi dodici mesi, in crescita rispetto al 44% del 2025, e il 58% delle imprese colpite riconosce minacce provenienti dalla supply chain. Sono metriche riferite a quel campione, non all’universo delle imprese italiane, e vanno lette per quello che indicano: la catena di fornitura è già percepita come vettore di rischio da chi l’attacco lo ha subito.
In questo contesto QBE presidia il mercato italiano con QCyberProtect, prodotto cyber corredato da servizi di prevenzione e risposta. Il posizionamento aiuta a leggere il senso dello studio: un lavoro tecnico che accompagna una presenza crescente sul segmento corporate e upper-middle, una direzione già leggibile nei recenti innesti sul portafoglio financial, specialty e management lines.
Assicurare il tempo di ripristino, non solo il dato
La lettura che chiude il report è affidata a Stefano Pompeo, Cyber Senior Underwriter di QBE Italia. Il senso è chiaro: nel construction ciò che si assicura è ormai una combinazione sempre più stretta tra rischio informatico e rischio di interruzione dell’attività. Le imprese, osserva, sono meno interessate alle minacce astratte e più alle conseguenze concrete, per quanto tempo si fermano, con quale impatto sui progetti e con quanta rapidità tornano operative.
È il punto in cui il collocamento della polizza smette di bastare. Portare un’impresa edile verso l’assicurabilità significa lavorare a monte sulla segmentazione tra IT e OT, sui backup, sulla mappatura dei sistemi legacy, sui piani di incident response effettivamente testati e sulla valutazione dei fornitori. E significa mettere la business interruption al centro del ragionamento, con tempi di ripristino realistici anziché soltanto misure di prevenzione. Nel cantiere digitale il valore non si gioca sul dato rubato, ma sui giorni in cui il lavoro si ferma.











