Le differenze nelle capacità difensive che esistono tra le PMI e le grandi aziende sono ben note, con le prime che, ovviamente, possono contare su risorse molto inferiori a quella delle seconde. Il primo effetto di questa disparità è che la maggior parte degli attacchi che va a buon fine nel settore delle piccole e medie imprese è automatizzato e fa grande uso d’intelligenza artificiale. Una situazione ormai consolidata che trova conferma anche nel Cyber Protect Report 2026 di SonicWall che, però, propone un approccio interessante: invece di concentrarsi esclusivamente sulle minacce, il report analizza le lacune operative che rendono le PMI vulnerabili e individua sette errori ricorrenti.
Secondo i dati raccolti dalla rete globale di oltre un milione di sensori di sicurezza, il 2025 ha segnato un aumento del 20,8% degli attacchi di media e alta gravità, arrivando a oltre 13 miliardi di eventi. Il cambiamento più rilevante non riguarda però la frequenza, ma l’efficacia degli attacchi, sempre più orientati a sfruttare errori organizzativi e configurazioni deboli.
Attacchi più intelligenti e automatizzati mirati all'identità
Uno dei segnali più significativi evidenziati dal report è la crescita dell’automazione offensiva, con bot in grado di analizzare oltre 36.000 vulnerabilità al secondo. Questo fenomeno contribuisce a generare più della metà del traffico internet globale, mentre il traffico malevolo automatizzato rappresenta già il 37% del totale.
Come previsto non servono attacchi sofisticati per compromettere una PMI perché l’automazione consente di mettere alla prova continuamente configurazioni, credenziali e vulnerabilità note fino a individuare il punto debole. La crescita degli attacchi IoT conferma questa dinamica. Nel 2025 si sono registrati oltre 609 milioni di attacchi ai dispositivi connessi, con un incremento dell’11%. Particolarmente significativo il caso della vulnerabilità Log4j, rilevata ancora in oltre 824 milioni di occasioni a quattro anni dalla scoperta, segno che le falle note restano uno dei vettori di compromissione più efficaci.
Il report evidenzia come l’85% degli avvisi di sicurezza riguardi identità, cloud e credenziali confermando che la principale arma dei cybercriminali non sono gli zero-day ma le password rubate e gli accessi mal configurati. Per le PMI il rischio è ancora più elevato: l’88% delle violazioni subite nel 2025 è stato finalizzato al ransomware, una percentuale più che doppia rispetto alle grandi imprese. Questo dato riflette la minore maturità dei controlli di sicurezza, ma anche la maggiore convenienza economica degli attacchi contro organizzazioni con difese limitate. Secondo SonicWall, la maggior parte di queste violazioni non deriva da tecniche avanzate, ma da errori ripetuti e prevedibili nella gestione della sicurezza, che ampliano la superficie di attacco.
I sette errori fatali che espongono le PMI
Il Cyber Protect Report 2026 individua sette pattern ricorrenti che emergono costantemente nelle analisi degli incidenti e che determinano la differenza tra resilienza e compromissione. Il primo errore riguarda la mancata applicazione delle regole fondamentali, con autenticazione debole, patching incompleto e privilegi eccessivi che continuano a rappresentare il principale punto di ingresso.
Un secondo elemento critico è la sottovalutazione del rischio, tipica delle PMI in quanto si considerano obiettivi poco interessanti. Questa percezione porta a controlli incompleti e a una falsa sensazione di sicurezza che lascia spazio agli attaccanti. Un altro errore strutturale è l’eccessiva esposizione degli accessi, con reti piatte e fiducia implicita dopo l’autenticazione che permettono il movimento laterale una volta compromesso un account.
Il report evidenzia inoltre l’approccio reattivo alla sicurezza che, senza monitoraggio continuo, lascia agli attaccanti ampie finestre operative. In media, una violazione rimane inosservata per 181 giorni, un tempo sufficiente per compromettere infrastrutture e dati. Tra gli errori più diffusi emerge anche la percezione della sicurezza come un costo e quindi come qualcosa da rimandare quanto più possibile ignorando o sottovalutando grandemente le implicazioni economiche di una effrazione.
Un ulteriore elemento di rischio riguarda l’uso di modelli di accesso obsoleti, in particolare VPN con autenticazione unica e accesso esteso. Le vulnerabilità legate alle VPN sono cresciute dell’82,5%, confermando che questi sistemi restano uno dei principali vettori di intrusione. Infine, il report sottolinea il problema di privilegiare la novità rispetto all’efficacia, con aziende che acquistano nuove soluzioni senza implementarle correttamente. In questi casi, la tecnologia non riduce il rischio ma aumenta la complessità e le superfici di attacco.
Italia tra i Paesi più esposti: VoIP, IoT e istruzione sotto pressione
I dati relativi all’Italia evidenziano una forte esposizione a campagne di attacco mirate, con oltre 87 milioni di tentativi all'infrastruttura VoIP, pari al 34% delle intrusioni ad alta priorità. Questo indica una pressione sistematica sulle infrastrutture di comunicazione, spesso utilizzate per frodi e accessi non autorizzati.Il rischio è amplificato dalla diffusione dei dispositivi IoT. Oltre il 40% dei firewall monitorati risulta coinvolto in attacchi che sfruttano vulnerabilità su apparati connessi, con oltre 50 milioni di tentativi di exploit su specifiche categorie di dispositivi.
Particolarmente critico è il settore educativo, che concentra circa il 36% degli attacchi rilevati, pur rappresentando una quota limitata delle infrastrutture monitorate. In alcuni casi, il volume di attacchi per dispositivo risulta fino a 300 volte superiore alla media nazionale, evidenziando una vulnerabilità strutturale.
In chiusura, il Cyber Protect Report 2026 introduce una lettura più orientata al business: la differenza tra essere protetti o esposti non dipende dalla tecnologia ma dal modo in cui viene gestita. Questo sposta la cybersecurity da ambito tecnico a tema di governance aziendale, soprattutto nelle PMI e non è un caso che il documento sia stato progettato per essere utile anche a MSP e MSSP che possono utilizzare i dati per avviare conversazioni strategiche con i decisori aziendali.