Gli attacchi cyber rappresentano oggi una delle principali minacce per le piccole e medie imprese italiane.

Quanto queste ultime siano davvero preparate a fronteggiare questo rischio è la domanda al centro del terzo Rapporto Cyber Index PMI, l’indice promosso da Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Il rapporto monitora ogni anno il livello di maturità e consapevolezza del segmento considerato nella gestione dei rischi informatici, basandosi su un campione di oltre 1.500 imprese.

Per inquadrare correttamente lo scenario, però, vale la pena partire dall’inizio.

Cosa si intende per cyber attacco

Un cyber attacco è un’azione mirata a violare sistemi, reti o dati aziendali, sfruttando vulnerabilità tecnologiche o comportamenti umani.

Non si tratta di episodi isolati o riservati alle grandi organizzazioni: le PMI sono bersagli sempre più frequenti proprio perché spesso percepite dagli attaccanti come realtà con difese meno strutturate, ma comunque ricche di dati sensibili, accessi a filiere produttive e risorse finanziarie di valore.

Quali sono gli attacchi cyber più diffusi: dati e scenari di rischio

È in questo contesto che i numeri del Rapporto assumono tutto il loro peso.

Il livello medio di consapevolezza in materia di sicurezza digitale delle PMI italiane si attesta a 55 punti su 100, in crescita di 3 punti rispetto al 2024, ma ancora sotto la soglia di sufficienza fissata a 60. Un miglioramento reale, ma inadeguato di fronte a un contesto di rischio in continua evoluzione.

Tra le principali tipologie di attacchi cyber rientrano ransomware, malware, phishing, furti di credenziali e attacchi DDoS: minacce diverse tra loro ma accomunate dalla capacità di sfruttare debolezze nei sistemi o nei comportamenti degli utenti.

Il dato più preoccupante riguarda la diffusione degli incidenti: negli ultimi tre anni, quasi una PMI su quattro ha subito almeno una violazione informatica. Nonostante ciò, il 13% delle imprese non ritiene che i cyber attacchi possano tradursi in un rischio reale per la propria organizzazione. Un atteggiamento che espone queste realtà a conseguenze potenzialmente gravi.

Le imprese più vulnerabili agli attacchi hacker sono quelle che fanno ampio uso di strumenti digitali, quelle che operano in filiere sensibili e quelle che trattano dati personali.

In uno scenario normativo che vede l’entrata in vigore della Direttiva NIS2 — con i primi obblighi di notifica degli incidenti — chi non gestisce il rischio cyber in modo strutturato si espone non solo ad attacchi informatici, ma anche a conseguenze normative e reputazionali sempre più difficili da gestire.

Qual è l’obiettivo degli attacchi cyber

Comprendere le motivazioni di chi attacca è essenziale per valutare correttamente il rischio. Nella maggior parte dei casi gli attaccanti mirano a ottenere un vantaggio economico, sottrarre informazioni sensibili, compromettere l’operatività aziendale o sfruttare i sistemi violati per ulteriori attività illecite.

Le PMI, in questo senso, non sono bersagli di serie B. Anzi: proprio perché spesso operano come fornitori o partner di aziende più grandi, compromettere una piccola impresa può diventare il punto di ingresso verso obiettivi di maggiore valore. Un rischio che riguarda l’intera filiera, non solo la singola organizzazione colpita.

La maturità delle PMI: luci e ombre

Eppure, nonostante la chiarezza di questi scenari, la distanza tra la percezione del rischio e la capacità di gestirlo resta ampia.

Il Rapporto classifica le imprese in quattro livelli di maturità. Solo il 16% delle PMI ha un approccio “maturo” alla cyber security: dispone di una visione strategica, conosce i rischi e ha implementato strumenti efficaci di protezione.

Il 32% è “consapevole”: comprende le implicazioni degli attacchi cyber ma ha capacità operative ancora limitate. Il 38% è semplicemente “informato”, con un approccio ancora artigianale alla sicurezza. Il 14% resta “principiante”: scarsa consapevolezza e quasi nessuna misura di protezione adottata.

Per la prima volta, le imprese mature superano numericamente le principianti. È un segnale positivo. Tuttavia, il 70% delle PMI resta concentrato nei livelli intermedi, con una conoscenza del rischio che non si traduce ancora in una capacità di difesa concreta ed efficace.

Sul fronte degli investimenti, la spesa complessiva in cybersecurity in Italia ha raggiunto 2,78 miliardi di euro, con le PMI che contribuiscono per il 23% del totale. I budget IT sono in crescita: +3,3% per le piccole imprese, +5,2% per le medie, con una quota dedicata alla sicurezza che si attesta mediamente all’11%.

Strategia vs attuazione: dove si inceppano le PMI

Questi numeri, però, raccontano solo una parte della storia. Spendere di più non significa necessariamente difendersi meglio.

La cybersecurity delle PMI si misura su tre dimensioni: approccio strategico, identificazione dei rischi e attuazione delle misure operative.

La dimensione strategica è quella più avanzata, con un punteggio medio di 62 su 100: le imprese dimostrano una crescente attenzione alla governance del rischio e alla pianificazione degli investimenti.

Le criticità emergono però nelle fasi successive. La capacità di identificazione dei rischi si ferma a 47 su 100, mentre l’attuazione delle misure concrete raggiunge 57 su 100. Questo significa che molte PMI sanno che il problema esiste, ma faticano a mappare le proprie vulnerabilità e ancora di più a implementare le contromisure di sicurezza informatica necessarie.

Ed è proprio in questa zona di mezzo — tra il sapere e il fare — che alcune tipologie di attacco trovano il terreno più fertile. Il phishing è la più emblematica: non sfrutta le falle dei sistemi, ma le vulnerabilità delle persone, e lo fa nel momento esatto in cui abbassano la guardia.

Quali sono i 4 tipi di phishing a cui le PMI sono più esposte

Il phishing è una delle tecniche di attacco più diffuse e sottovalutate, perché non richiede sofisticate competenze tecniche: basta indurre un utente a cliccare su un link sbagliato o a rivelare le proprie credenziali.

Per le PMI, che raramente dispongono di sistemi di filtraggio avanzati o di programmi di formazione continua, il rischio è particolarmente elevato. Le varianti più insidiose sono quattro.

Il phishing via email è la forma più comune: messaggi apparentemente legittimi — che simulano una banca, un corriere, un ente fiscale o persino un fornitore noto — invitano il destinatario ad aprire un allegato o a cliccare su un link che porta a una pagina contraffatta. Bastano pochi secondi di disattenzione per compromettere l’accesso a sistemi aziendali critici.

Lo spear phishing è una variante mirata, costruita su misura per un singolo destinatario. L’attaccante raccoglie informazioni sull’azienda — nomi di colleghi, fornitori, progetti in corso — e confeziona un messaggio credibile e personalizzato. È più difficile da riconoscere rispetto a un tentativo generico e per questo ha un tasso di successo significativamente più alto.

Il whaling segue la stessa logica dello spear phishing, ma punta in alto: titolari, amministratori delegati, responsabili finanziari. L’obiettivo è spesso autorizzare un bonifico fraudolento o ottenere accesso a informazioni riservate. In un’impresa con pochi livelli gerarchici, una singola persona compromessa può equivalere all’intera struttura decisionale.

Lo smishing — phishing via SMS — è in crescita con la diffusione del lavoro da mobile. Il messaggio arriva sul telefono del dipendente, spesso al di fuori dei normali strumenti di sicurezza aziendali, e sfrutta l’abitudine a rispondere rapidamente ai messaggi brevi. Un link apparentemente innocuo può aprire la porta a malware o al furto di credenziali, senza che l’utente si renda conto di nulla.

Forme diverse, stesso principio: sfruttare il momento in cui un essere umano si fida di qualcosa che non dovrebbe. Il che pone una domanda concreta: da dove si comincia a costruire una difesa efficace?

Rafforzare la sicurezza digitale: da dove iniziare

Non esiste una risposta universale, ma i dati del Cyber Index PMI indicano una direzione: presidiare con rigore i fronti più espostirete, comunicazioni, credenziali — seguendo un ordine di priorità preciso.

La rete aziendale come primo perimetro da difendere

La rete aziendale è spesso il primo punto di accesso sfruttato dagli aggressori, in particolare quando i dipendenti operano da remoto o si connettono a sistemi interni da reti pubbliche o non protette. Un traffico non cifrato è intercettabile, e le conseguenze possono andare dal furto di credenziali alla compromissione di interi sistemi.

NordVPN Plus di Tinexta Infocert affronta questo rischio attraverso una crittografia di livello militare che rende il traffico online invisibile e inaccessibile a terzi, nascondendo l’indirizzo IP e proteggendo i dati sensibili anche sulle reti Wi-Fi pubbliche.

Oltre alla VPN, la soluzione include un sistema di Threat Protection Pro che blocca malware, siti di phishing e tracker prima ancora che raggiungano il dispositivo, e un monitoraggio del dark web che segnala in tempo reale se le credenziali aziendali risultano compromesse o in circolazione sui forum degli hacker. Il tutto su un massimo di dieci dispositivi contemporaneamente, coprendo l’intera operatività dell’impresa.

Comunicazioni certificate e protette da link pericolosi

La posta elettronica è il canale attraverso cui transita la maggior parte delle comunicazioni aziendali sensibili ed è, al tempo stesso, il vettore preferito per phishing, frodi e tentativi di impersonificazione.

Un singolo attacco informatico via email può bastare per avviare una transazione fraudolenta, sottrarre dati riservati o compromettere una relazione commerciale.

I potenziamenti di sicurezza per Legalmail di Tinexta Infocert aggiungono alla PEC — già dotata di valore legale certificato — uno strato di protezione attiva: la funzione Phishing Protection analizza i link contenuti nei messaggi ricevuti e blocca quelli pericolosi prima che l’utente li apra, riducendo il rischio di compromissione anche nei confronti delle minacce più sofisticate e difficili da riconoscere.

Password robuste e monitoraggio delle violazioni

Le credenziali di accesso alla webmail aziendale sono un obiettivo ad alto valore per chi conduce attacchi informatici: una password compromessa apre l’accesso alle comunicazioni riservate dell’impresa.

Il rischio aumenta quando la stessa password viene riutilizzata su più servizi o non viene aggiornata dopo una fuga di dati, spesso senza che l’utente ne sia consapevole.

Il Password Manager di Legalmail di Tinexta Infocert risponde a questa esigenza su due livelli. Il primo è la protezione in tempo reale: il servizio monitora continuamente se la password di accesso alla webmail compare in una fuga di dati nota e avvisa l’utente non appena viene rilevato un rischio.

Il secondo è il report settimanale: una verifica periodica dello stato della password che consente all’impresa di mantenere un controllo costante sull’integrità delle proprie credenziali, senza attendere che un incidente riveli una vulnerabilità già presente da tempo.

In definitiva, integrare strumenti di protezione avanzati e monitoraggio costante è il modo più concreto per rendere la cybersecurity un pilastro stabile della crescita aziendale.

FAQ – Attacchi cyber e PMI: scenari, impatti e misure di sicurezza

1. Cosa si intende per cyber attacco?

Un cyber attacco non è solo un guasto tecnico, ma un’azione mirata a violare reti o dati sfruttando falle tecnologiche o distrazioni umane. Per una PMI, l’attacco è spesso un tentativo di utilizzare difese meno strutturate per sottrarre risorse finanziarie o colpire partner commerciali di dimensioni maggiori.

2. Quali sono le diverse forme di phishing a cui prestare attenzione?

Oltre all’email generica, esistono varianti mirate: lo Spear Phishing (personalizzato per un dipendente), il Whaling (rivolto ai vertici aziendali per frodi finanziarie) e lo Smishing (tramite SMS). Tutte queste tecniche puntano a tradire la fiducia dell’utente nel momento in cui abbassa la guardia.

3. Perché un approccio “informato” alla sicurezza spesso non basta?

Come evidenzia il Rapporto, molte imprese sanno che il rischio esiste (dimensione strategica), ma faticano a mappare le proprie vulnerabilità (dimensione operativa). Senza misure concrete, la consapevolezza teorica non si traduce in una difesa reale contro minacce in continua evoluzione.

4. Quali sono i rischi collaterali di una violazione informatica?

Oltre al danno economico diretto e al blocco dell’operatività, un’impresa colpita subisce pesanti ripercussioni reputazionali e normative. Con l’entrata in vigore della Direttiva NIS2, la mancata gestione strutturata del rischio espone l’azienda a responsabilità legali sempre più stringenti.

5. In che modo le soluzioni Tinexta InfoCert aiutano a proteggere l’azienda?

Tinexta InfoCert offre strumenti avanzati come la VPN con Threat Protection per schermare la rete, e soluzioni per la PEC (Legalmail) che includono filtri anti-phishing e password manager con monitoraggio costante delle violazioni nel dark web.