La consapevolezza delle piccole e medie imprese italiane sui rischi informatici è in crescita, ma il percorso verso una piena maturità nella gestione della sicurezza digitale resta ancora incompleto. È il quadro che emerge dal terzo Rapporto Cyber Index PMI, iniziativa promossa da Confindustria e Generali con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership istituzionale dell’Agenzia per la Cybersicurezza Nazionale.
L’indice misura la capacità delle imprese di affrontare i rischi cyber attraverso scelte strategiche, assetti organizzativi, processi e strumenti operativi, offrendo uno sguardo strutturato sull’evoluzione della postura di sicurezza del sistema produttivo italiano.
Nel 2026 l’indicatore segna un miglioramento, raggiungendo quota 55 punti su 100 su un campione di oltre 1.500 imprese, tre punti in più rispetto all’anno precedente e quattro rispetto alla prima rilevazione. Il dato, tuttavia, resta sotto la soglia di sufficienza fissata a 60, segnalando come il processo di maturazione sia ancora in corso e caratterizzato da forti differenze tra le aziende più strutturate e quelle meno preparate ad affrontare minacce sempre più sofisticate. Solo il 16% delle PMI può essere considerato pienamente maturo nella gestione del rischio cyber, mentre la maggioranza delle imprese si colloca in livelli intermedi di consapevolezza e preparazione. Un segnale incoraggiante arriva però da un passaggio simbolico: per la prima volta il numero delle imprese “mature” supera quello delle realtà “principianti”, queste ultime in calo rispetto alle prime rilevazioni.
“Le piccole e medie imprese italiane rappresentano una componente essenziale del tessuto economico e sociale del Paese: sostenerne la capacità di affrontare le sfide legate alla trasformazione tecnologica significa rafforzare la solidità e la continuità del sistema produttivo nel lungo periodo”, osserva Barbara Lucini, Responsabile Country Sustainability & Social Responsibility di Generali Italia, sottolineando il ruolo che l’iniziativa intende svolgere nel rafforzare la cultura della prevenzione. “In questo contesto Generali interpreta il proprio ruolo di partner del Paese come un impegno concreto ad affiancare le imprese non solo attraverso soluzioni assicurative, ma anche favorendo consapevolezza, prevenzione e capacità di risposta di fronte alle minacce digitali. Con il Cyber Index PMI mettiamo a disposizione competenze, esperienza e strumenti per aiutare le aziende a comprendere la propria esposizione, gestire i rischi legati all’operatività digitale e integrare prevenzione, protezione e copertura assicurativa in un approccio responsabile e orientato al lungo periodo”.
La fotografia scattata dal rapporto evidenzia progressi soprattutto sul piano strategico. Le imprese sembrano infatti mostrare una maggiore attenzione alla governance del rischio e alla pianificazione degli investimenti in cybersecurity, con un punteggio medio di 62 su 100 per questa dimensione. Più complessa, invece, la fase successiva del percorso: la capacità di identificare in modo strutturato minacce e vulnerabilità resta ancora limitata e si ferma a 47 punti, mentre l’adozione concreta di strumenti e processi di protezione si attesta a 57 punti, senza variazioni significative rispetto all’anno precedente.
Per il sistema industriale italiano il tema non riguarda solo la sicurezza informatica in senso stretto, ma anche la competitività e l’integrazione nelle filiere produttive. “Se vogliamo che le PMI italiane colmino il gap di produttività che scontano con i principali partner europei, la trasformazione digitale è un passo necessario”, afferma Fausto Bianchi, Presidente di Piccola Industria di Confindustria. “Digitalizzare senza proteggersi, però, espone le imprese a rischi concreti: oggi chi non garantisce standard minimi di sicurezza informatica rischia di essere escluso dalle filiere produttive. Confindustria lavora su più fronti: dialoghiamo con le istituzioni nazionali ed europee per un’adozione efficace di normative come il NIS2 e il Cyber Resilience Act e informiamo le PMI sui fondi e sulle agevolazioni disponibili per la messa in sicurezza”.
Il tema della sicurezza digitale assume inoltre una dimensione più ampia, che riguarda l’autonomia tecnologica e la resilienza dell’economia europea. “La sovranità digitale europea si costruisce anche attraverso le scelte quotidiane delle imprese”, osserva Pietro Labriola, Delegato del Presidente di Confindustria per la Transizione Digitale. “Servono più trasparenza lungo la filiera tecnologica, requisiti minimi di sicurezza nei contratti e criteri di procurement che valorizzino soluzioni verificabili, affidabili e resilienti. La cybersecurity diventa una leva strategica per la competitività e un presidio fondamentale di sicurezza economica e nazionale. Il Cyber Index PMI mostra che la consapevolezza sta crescendo, ma il salto di qualità passa dall’esecuzione: governance, gestione del rischio e competenze”.
Anche sul fronte istituzionale il percorso di rafforzamento della sicurezza informatica delle imprese viene considerato centrale. “Guardo con molta soddisfazione il grande lavoro che si è compiuto con il Cyber Index PMI”, afferma Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale. “Al terzo anno di rilevazione ci restituisce risultati incoraggianti, segno che la collaborazione con Generali e Confindustria sta supportando in maniera funzionale le attività delle piccole e medie imprese nel settore della cybersicurezza. Le PMI rappresentano un asse portante dell’economia del Paese e la loro crescente attenzione verso il rischio cyber è un segnale importante”. Il direttore ricorda inoltre le iniziative messe in campo dall’Agenzia, tra cui il supporto all’attuazione della direttiva NIS2 e il coordinamento del progetto europeo Secure, che accompagna le PMI nel percorso di adeguamento al Cyber Resilience Act attraverso un finanziamento complessivo di 16,5 milioni di euro destinato alle imprese europee.
Nel frattempo lo scenario delle minacce continua a evolvere rapidamente, spinto anche dall’uso crescente dell’intelligenza artificiale da parte dei criminali informatici. “Oggi la sicurezza informatica non è più solo un tema tecnologico, ma una condizione essenziale per la competitività delle imprese”, osserva Remo Marini, Group Chief Security Officer di Assicurazioni Generali. “La diffusione dell’intelligenza artificiale sta ridefinendo opportunità e minacce nel cyberspazio, amplificando la capacità dei criminali informatici di automatizzare e rendere più sofisticati gli attacchi. Rafforzare la cultura cyber tra le PMI significa proteggere la crescita e la resilienza dell’intero sistema economico”.
Il quadro tracciato dagli analisti conferma la crescente complessità del contesto. “Il 2025 ha rappresentato un vero punto di svolta nelle relazioni geopolitiche e nel progresso tecnologico”, spiega Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. “Negli ultimi tre anni quasi una PMI su quattro ha subito una violazione informatica. Il livello di consapevolezza migliora, ma non ha ancora raggiunto i risultati sperati. La direttiva NIS2 sta trasformando la cybersecurity da questione tecnica a priorità strategica e con tutta probabilità assisteremo a un’ulteriore accelerazione degli investimenti”.
Nel tentativo di accompagnare questo processo di maturazione, prosegue anche il roadshow promosso da Generali, Confindustria e Agenzia per la Cybersicurezza Nazionale per diffondere la cultura della sicurezza informatica tra le imprese. Dopo la prima tappa dell’anno a Gallarate, in provincia di Varese, il percorso proseguirà nei prossimi mesi con incontri e workshop territoriali a Pescara e Matera, con l’obiettivo di rafforzare la consapevolezza dei rischi digitali e sostenere le PMI nel percorso di protezione dalle minacce informatiche.