La consapevolezza delle piccole e medie imprese italiane sui rischi cyber cresce, ma resta ancora lontana da livelli pienamente adeguati. È quanto emerge dal Cyber Index PMI 2025, l’indice che misura il livello di maturità e di preparazione delle PMI italiane nella gestione dei rischi digitali.

Il rapporto, promosso da Confindustria e Generali, con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership istituzionale dell’Agenzia per la Cybersicurezza Nazionale, monitora nel tempo la capacità delle imprese di governare il rischio cyber attraverso strategie, processi organizzativi e strumenti operativi.

Secondo i dati dell’ultima rilevazione, il livello medio di consapevolezza delle PMI italiane raggiunge 55 punti su 100, in crescita di tre punti rispetto al 2024 ma ancora sotto la soglia di sufficienza fissata a 60. Il rapporto si basa su un campione di oltre 1.500 imprese, offrendo una fotografia aggiornata della maturità cyber del sistema produttivo italiano.

Cybersecurity nelle PMI: consapevolezza in crescita ma sotto la soglia di sufficienza

L’analisi del Cyber Index PMI evidenzia una forte polarizzazione nel livello di preparazione delle imprese italiane. Accanto a un nucleo di aziende più strutturate e consapevoli dei rischi digitali, rimane una quota ampia di PMI che non dispone ancora degli strumenti necessari per gestire in modo efficace la sicurezza informatica.

Solo il 16% delle PMI ha una postura di sicurezza adeguata

Il rapporto evidenzia come solo il 16% delle PMI italiane possa essere considerato “maturo” nella gestione della sicurezza informatica, cioè capace di adottare un approccio strategico e di implementare strumenti efficaci per proteggere dati e infrastrutture digitali.

La maggioranza delle imprese si colloca ancora in livelli intermedi di maturità. Il 32% delle PMI può essere definito “consapevole“, con una buona comprensione dei rischi ma capacità operative ancora limitate, mentre il 38% rientra nella categoria delle imprese “informate“, caratterizzate da un approccio ancora poco strutturato alla sicurezza informatica. Rimane infine una quota del 14% di imprese “principianti”, con scarsa consapevolezza dei rischi cyber e una quasi totale assenza di misure di protezione.

Un elemento positivo riguarda il fatto che per la prima volta le imprese mature superano numericamente quelle principianti, segnale di un progressivo miglioramento nella diffusione della cultura della sicurezza digitale tra le PMI.

Strategia cyber in miglioramento, ma l’attuazione resta il punto critico

L’indice si basa su tre dimensioni principali: approccio strategico, identificazione dei rischi e attuazione delle misure di sicurezza. Tra queste, la componente più avanzata riguarda la strategia, che raggiunge un punteggio medio di 62 su 100, superando la soglia di sufficienza grazie a una maggiore attenzione alla governance del rischio e alla pianificazione degli investimenti da parte delle imprese.

Permangono invece criticità nelle fasi successive del percorso. La capacità di identificazione dei rischi cyber si ferma a 47 su 100, mentre la dimensione dell’attuazione delle misure operative raggiunge 57 su 100, indicando che molte PMI faticano ancora a tradurre la consapevolezza strategica in strumenti concreti di protezione.

Cybersecurity e competitività: la sfida per il sistema delle PMI

Il rapporto evidenzia come la sicurezza informatica stia assumendo un ruolo sempre più centrale per la competitività delle imprese. Negli ultimi tre anni quasi una PMI su quattro ha subito una violazione informatica, segnale di un contesto di rischio crescente alimentato dalla trasformazione digitale e dall’evoluzione delle minacce cyber.

Fausto Bianchi, Presidente di Piccola Industria Confindustria, ha dichiarato: “Se vogliamo che le PMI italiane colmino il gap di produttività che scontano con i principali partner europei, la trasformazione digitale è un passo necessario. Digitalizzare senza proteggersi, però, espone le imprese a rischi concreti: oggi chi non garantisce standard minimi di sicurezza informatica rischia di essere escluso dalle filiere produttive. Confindustria lavora su più fronti: dialoghiamo con le istituzioni nazionali ed europee per un’adozione efficace di normative cogenti come il NIS2 e il Cyber Resilience Act e informiamo le PMI sui fondi e sulle agevolazioni disponibili per la messa in sicurezza. Sostenere le piccole imprese in questo percorso non è solo una priorità di Piccola Industria, ma una condizione essenziale per la competitività dell’intero sistema Paese”.

Pietro Labriola, Delegato del Presidente di Confindustria per la Transizione Digitale, ha aggiunto: “La sovranità digitale europea si costruisce anche attraverso le scelte quotidiane delle imprese. Servono più trasparenza lungo la filiera tecnologica, requisiti minimi di sicurezza nei contratti e criteri di procurement che valorizzino soluzioni verificabili, affidabili e resilienti. È una questione di fiducia industriale e di autonomia tecnologica. In questo contesto la cybersecurity diventa una leva strategica per la competitività e un presidio fondamentale di sicurezza economica e nazionale. Per questo l’Italia deve puntare su regole chiare e stabili, su incentivi che orientino gli investimenti e su un modello di collaborazione pubblico-privato capace di rafforzare e proteggere l’intero ecosistema produttivo. Il Cyber Index PMI mostra che la consapevolezza sta crescendo, ma il salto di qualità passa dall’esecuzione attraverso governance, gestione del rischio e competenze. Come Confindustria vogliamo accompagnare le imprese in questo percorso con strumenti operativi, standard di riferimento e iniziative concrete che rendano la sicurezza accessibile a tutto il sistema produttivo, soprattutto alle realtà più piccole”.

Il ruolo della prevenzione e della gestione del rischio cyber

Secondo Barbara Lucini, Responsabile Country Sustainability & Social Responsibility di Generali Italia, la crescente esposizione delle imprese alle minacce digitali rende sempre più necessario rafforzare strumenti di prevenzione e capacità di risposta. “Le piccole e medie imprese italiane rappresentano una componente essenziale del tessuto economico e sociale del Paese: sostenerne la capacità di affrontare le sfide legate alla trasformazione tecnologica significa rafforzare la solidità e la continuità del sistema produttivo nel lungo periodo”, spiega Lucini. “In questo contesto, Generali interpreta il proprio ruolo di Partner del Paese come un impegno concreto ad affiancare le imprese, non solo attraverso soluzioni assicurative, ma anche favorendo consapevolezza, prevenzione e capacità di risposta di fronte alle minacce digitali. Con il Cyber Index PMI mettiamo a disposizione competenze, esperienza e strumenti per aiutare le aziende a comprendere la propria esposizione, a gestire i rischi legati all’operatività digitale e a integrare prevenzione, protezione e copertura assicurativa in un approccio responsabile e orientato al lungo periodo”.