Cybersecurity e PMI: la situazione in Italia secondo il Cyber Index

Cybersecurity nelle PMI: maturità reale o solo di facciata?

C’è un paradosso che attraversa le piccole e medie imprese italiane: la consapevolezza del rischio cyber cresce, ma non si traduce in azioni concrete. In un panorama dominato da pressioni geopolitiche e nuovi obblighi normativi, la cybersecurity è ormai un pilastro della governance e della reputazione aziendale, non più un semplice tecnicismo. La maturità digitale delle imprese avanza, ma resta fragile perché condizionata da più fattori: la velocità con cui aumentano gli attacchi, l’inasprimento del quadro regolatorio, la diffusione di nuove tecnologie e la complessità delle filiere, che richiedono pratiche di sicurezza omogenee e verificate.

Il rapporto Cyber Index PMI 2025

Nel triennio 2023-2025 emergono tre evidenze sullo stato della cybersecurity nelle piccole e medie imprese italiane: un ritardo strutturale persistente, un’evoluzione delle minacce più rapida delle capacità di difesa e un profondo divario tra consapevolezza teorica e preparazione tecnica. In altre parole, le imprese dichiarano politiche e attenzione, ma faticano a trasformarle in controlli operativi realmente implementati, testati e aggiornati, mentre lo scenario esterno continua a peggiorare più rapidamente dei progressi interni. In questo quadro, il Cyber Index PMI 2025 si attesta a 55/100 su un campione di 1.500 imprese.

Nel 2025 l’Agenzia Nazionale per la Cybersecurity rileva una forte crescita degli incidenti e, nello stesso periodo, quasi una PMI su quattro dichiara di avere subito almeno un attacco negli ultimi tre anni, un dato triplicato rispetto alla rilevazione precedente. Oltre alla frequenza, aumenta l’intensità degli impatti: il 2,5% ha riportato conseguenze operative o finanziarie e il 6% ha dovuto attivare interventi importanti, ossia misure straordinarie di risposta e ripristino. Il mercato reagisce alzando l’asticella: pubblica amministrazione e grandi imprese escludono progressivamente i fornitori senza una postura cyber adeguata.

La direttiva NIS2 chiama i vertici aziendali a rispondere direttamente della sicurezza e si traduce in budget più strutturati. Questo è il principale passo avanti dell’anno, ma da solo non basta: serve anche migliorare la capacità di individuazione dei rischi. I dati sono confortanti, sempre più imprese costruiscono un inventario degli asset (dal 48% al 70% in un anno), cioè l’elenco aggiornato di hardware, software, dati e account critici che dice cosa proteggere e dove intervenire. Al tempo stesso aumentano gli audit di sicurezza (al 44%), ovvero verifiche interne o esterne che controllano se le misure dichiarate esistono davvero, funzionano e sono rispettate.

Nonostante questi investimenti, la capacità di trasformare decisioni in misure operative è ancora insufficiente. Solo l’11% delle PMI gestisce le vulnerabilità e appena il 30% adotta la cifratura dei dati. Resta il nodo delle competenze: una PMI su tre non dispone di skill interne adeguate, un vuoto che spinge il ricorso verso partner esterni (salito al 29%) e aumenta anche l’attenzione alla provenienza dei fornitori, con l’11% delle imprese che vede nella dipendenza da attori extra-UE una vulnerabilità strategica. In questo quadro, la priorità è ridurre gli impatti gravi, che oggi colpiscono il 2,5% delle imprese, agendo su standard minimi e capacità di risposta effettiva.

La sfida ora è trasformare la “sicurezza di superficie” in una preparazione diffusa, consolidando le pratiche di identificazione e risposta, rafforzando competenze e governance e valorizzando leve di mercato come le polizze, prima che il prossimo shock digitale colga le imprese ancora scoperte.