Nel 2025 il CERT-AGID ha censito 3.620 campagne malevole in Italia: ordini, fatture e pagamenti restano le esche più usate negli attacchi informatici alle PMI.
Le piccole e medie imprese italiane sono oggi uno dei principali bersagli del crimine informatico. I dati pubblicati nel 2026 confermano che gli attacchi informatici alle PMI seguono schemi ricorrenti: email che imitano ordini, fatture e solleciti di pagamento, progettate per ingannare chi si occupa di contabilità, amministrazione e acquisti. A prima vista il messaggio appare autentico, ma l'allegato o il link nascondono la minaccia. Per un'azienda con pochi addetti e senza reparto IT dedicato, un solo clic può compromettere l'operatività e bloccare la rete per giorni. Conoscere le tecniche più utilizzate negli attacchi informatici è il primo passo per ridurre il rischio.
Cosa dicono i dati 2026 sugli attacchi alle PMI
Secondo il report del CERT-AGID, le campagne malevole fanno leva soprattutto su ordini, spedizioni, pagamenti e operazioni di home banking.
Il CERT-AGID, il team dell'Agenzia per l'Italia Digitale che monitora le minacce informatiche in Italia, evidenzia un quadro chiaro: il phishing resta la tecnica di attacco più diffusa, seguito da malware e smishing via SMS. Circa il 60% dei campioni analizzati è costituito da infostealer, malware progettati per rubare credenziali e dati sensibili, mentre un altro 30% è composto da RAT (Remote Access Trojan), che consentono ai criminali di prendere il controllo remoto del dispositivo. La posta elettronica tradizionale rimane il principale veicolo di attacco, ma cresce anche l'uso della PEC. Per le PMI, il rischio nasce proprio dagli strumenti utilizzati ogni giorno per lavorare.
Secondo il report annuale del CERT-AGID, nel 2025 le campagne malevole censite in Italia sono state 3.620, di cui 328 di phishing a tema PagoPA con falsi avvisi di pagamento.
Tecniche di attacco informatico alle PMI: confronto delle minacce
| Tipo di attacco | Vettore principale | Tema dell'esca più comune | Percentuale/Diffusione | Impatto per PMI |
|---|---|---|---|---|
| Phishing | Email tradizionale e PEC | Ordini, fatture, pagamenti, PagoPA | Tecnica più diffusa (60% infostealer) | Furto credenziali e dati sensibili |
| Malware (Infostealer) | Allegati email infetti | Conferme d'ordine false, fatture fasulle | ~60% dei campioni analizzati | Sottrazione dati anagrafici e bancari |
| RAT (Remote Access Trojan) | Link e allegati malevoli | Avvisi di blocco conto, sanzioni | ~30% dei campioni analizzati | Controllo remoto totale e cifrazione dati |
| Smishing | SMS e canali alternativi | Solleciti urgenti e verifiche account | In crescita rispetto a email | Compromissione credenziali tramite mobile |
| Ransomware | Accesso da credenziali compromesse | Finto avviso di pagamento o sanzione | Spesso conseguenza di phishing | Blocco dell'operatività e richiesta riscatto |
Perché le PMI sono un bersaglio privilegiato
Le PMI combinano dati di valore e difese limitate. Spesso mancano un responsabile della sicurezza, backup collaudati e formazione: tre lacune che rendono l'attacco più semplice e redditizio.
La dimensione ridotta non protegge le aziende, anzi: gli attacchi informatici alle PMI dimostrano che anche le imprese più piccole sono obiettivi dei cybercriminali. Molte aziende si credono troppo piccole per interessare i criminali, ma proprio questa convinzione le espone a un rischio maggiore di cyber attacchi. Gli aggressori automatizzano gli invii e colpiscono migliaia di caselle insieme: basta che una minoranza cada nell'inganno. Una volta dentro la rete aziendale, cifrano i file e chiedono un riscatto oppure rivendono le credenziali. Ma il costo non è solo il riscatto. Pesano il fermo dell'attività, la perdita di fiducia dei clienti e le sanzioni per la mancata protezione dei dati.
Secondo l'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, nel 2026 il Cyber Index PMI si ferma a 55 punti su 100 e negli ultimi tre anni quasi una PMI su quattro ha subito una violazione informatica.
L'indice è un benchmark costruito su oltre 1.500 imprese: il divario tra consapevolezza e misure concrete resta ampio. I punti deboli più comuni sono sempre gli stessi:
- Dati sensibili: anagrafiche clienti e credenziali bancarie hanno valore immediato sul mercato illecito.
- Difese frammentate: antivirus non aggiornati e password deboli restano i punti di ingresso più comuni.
- Poca formazione: senza addestramento il personale fatica a riconoscere un'email fraudolenta.
Come ridurre il rischio in azienda
Poche misure di base coprono gran parte delle minacce: aggiornare i sistemi, attivare l'autenticazione a più fattori, eseguire backup regolari e garantire la formazione del personale.
Non serve un budget elevato per migliorare il livello di sicurezza aziendale. La priorità è proteggere gli accessi con l'autenticazione a più fattori e mantenere copie dei dati separate dalla rete principale, così da evitare che un attacco ransomware comprometta anche i backup. La formazione periodica del personale sul phishing aiuta a ridurre errori e clic rischiosi. Sul piano normativo, le imprese coinvolte dalla direttiva NIS2 (Network and Information Security 2) devono adottare misure minime e notificare gli incidenti: conviene verificare per tempo se la propria azienda rientra tra i soggetti interessati.
Per approfondire puoi consultare la guida alla sicurezza informatica per le PMI, le regole descritte negli obblighi NIS2 per le PMI e le opportunità dei voucher per cloud e cybersecurity.
Difese essenziali contro gli attacchi informatici alle PMI
Autenticazione a più fattori (MFA)
Protegge gli accessi richiedendo una seconda verifica oltre alla password, riducendo significativamente il rischio di compromissione delle credenziali rubate dal phishing.
Pro
- Blocca il 99% degli accessi non autorizzati anche con password compromessa
- Facile da implementare per il personale
- Costo contenuto o gratuito per molte piattaforme
Contro
- Richiede un processo di configurazione iniziale
- Aggiunge pochi secondi a ogni accesso
- Dipende dalla responsabilità dell'utente nel proteggersi da SIM swapping
Backup automatici e isolati
Copie dei dati conservate separate dalla rete principale impediscono che un attacco ransomware comprometta anche i backup, garantendo la continuità operativa.
Pro
- Consente il ripristino rapido senza pagare riscatti
- Protegge da perdita accidentale e cancellazione malevola
- Soluzioni automatizzate richiedono intervento manuale minimo
Contro
- Richiede uno spazio storage aggiuntivo
- Necessita di verifica periodica della corretta esecuzione
- Il ripristino completo può richiedere tempo secondo il volume di dati
Aggiornamenti sistemi e antivirus
Patch e aggiornamenti regolari chiudono le vulnerabilità che gli attaccanti sfruttano, mentre l'antivirus aggiornato riconosce le minacce più recenti.
Pro
- Elimina le falle di sicurezza note
- Spesso automatizzabile per ridurre l'intervento manuale
- Costo generalmente minimo o incluso nelle licenze esistenti
Contro
- Richiede pianificazione per evitare interruzioni operative
- Non protegge da minacce zero-day sconosciute
Formazione periodica sul phishing
Formazione del personale per riconoscere email fraudolente (ordini falsi, fatture, PagoPA) riduce gli errori e i clic rischiosi che permettono l'infiltrazione iniziale.
Pro
- Trasforma il personale da punto debole a difesa attiva
- Costo molto basso rispetto al danno da attacco
- Aumenta la consapevolezza e la responsabilità collettiva
Contro
- Richiede aggiornamenti regolari per nuove tecniche
- Non tutti i dipendenti mantengono attenzione costante
- I risultati non sono misurabili nel breve termine
In sintesi: aggiornamenti, autenticazione forte, backup isolati e personale formato bastano a fermare gran parte delle campagne osservate dal CERT-AGID. Una rete stabile e ben configurata rende tutto più semplice.
Domande frequenti sugli attacchi informatici alle PMI
Il phishing via email è la minaccia più diffusa, seguito da malware e smishing via SMS. Le esche più comuni imitano ordini, fatture, solleciti di pagamento e avvisi PagoPA, secondo i dati CERT-AGID 2025.
Sì. Gli attacchi sono automatizzati e colpiscono in massa, quindi anche un'attività con pochi addetti può essere coinvolta. La dimensione ridotta spesso coincide con difese più deboli.
Attivare l'autenticazione a più fattori, impostare backup automatici e isolati, aggiornare sistemi e antivirus e formare il personale sul phishing. Sono misure a basso costo ad alto impatto.