ACN, a gennaio 2026 più eventi cyber (+42%) ma meno incidenti (-13%). Crescono le segnalazioni e l’attività di prevenzione
Gennaio si chiude con un dato che, letto in superficie, può sembrare contraddittorio: aumentano gli eventi cyber, ma diminuiscono gli incidenti. A dirlo è l’Agenzia per la Cybersicurezza Nazionale, che nel suo ultimo Operational Summary fotografa un inizio d’anno intenso per la sicurezza informatica italiana.
Nel primo mese del 2026 sono stati registrati 225 eventi cyber, il 42% in più rispetto ai 158 di dicembre. Gli incidenti, però, si fermano a 39 casi, in calo del 13% rispetto al mese precedente. Più segnalazioni, dunque, ma meno situazioni che degenerano in impatti concreti.
Una dinamica che racconta qualcosa di preciso: il sistema di monitoraggio sta intercettando di più — e prima.
Più notifiche, più visibilità
Secondo l’ACN, la crescita degli eventi è legata sia alla naturale oscillazione dei fenomeni monitorati, sia soprattutto all’aumento di circa il 75% delle notifiche ricevute dal CSIRT Italia. Un incremento che arriva in scia all’entrata in vigore dei nuovi obblighi previsti dal Decreto legislativo n. 138/2024.
Tradotto: più organizzazioni segnalano ciò che accade. E questo fa emergere una mole maggiore di eventi, anche quando non si trasformano in incidenti gravi.
Manifattura, tecnologia e sanità sotto pressione
I settori più colpiti restano quelli già noti agli osservatori:
- Manifatturiero
- Tecnologico
- Sanitario
Nel manifatturiero dominano ransomware e compromissioni di caselle e-mail, nel tecnologico malware e intrusioni, mentre la sanità continua a fare i conti con ransomware ed esposizioni di dati. Non sorprende: sono ambiti ad alta digitalizzazione, con filiere complesse e un forte interscambio di informazioni.
Il ransomware, in particolare, si conferma una minaccia trasversale. A gennaio il 16% degli attacchi ha colpito soggetti critici, il 48% realtà a media criticità e il restante 36% organizzazioni meno critiche. Una distribuzione che mostra come nessuno sia davvero fuori dal radar.
Le “porte” restano le stesse
I principali vettori di attacco non cambiano:
- e-mail,
- utilizzo di account validi,
- sfruttamento di vulnerabilità note.
Il fattore umano continua a pesare, così come la gestione non sempre tempestiva delle patch di sicurezza. Accanto a questo, l’ACN segnala che il brand abuse è stata la minaccia più rilevata nel mese: truffe costruite sfruttando marchi noti per ingannare utenti e aziende. Subito dietro, il phishing, che rimane una costante del panorama cyber.
In crescita anche le attività automatizzate di scansione delle credenziali, utilizzate per individuare password deboli o account esposti online. Un lavoro silenzioso, spesso preliminare, che prepara il terreno ad attacchi più strutturati.
Hacktivism in calo, ma l’attenzione resta alta
Un dato interessante riguarda l’hacktivism: gli eventi riconducibili a questa matrice rappresentano circa il 4% del totale, in diminuzione rispetto al 10% registrato a dicembre. Un ridimensionamento che potrebbe essere legato a contingenze specifiche, ma che non autorizza ad abbassare la guardia.
Nel mese sono state inoltre individuate 5 rivendicazioni di attacchi DDoS contro soggetti italiani.
Il lavoro dietro le quinte del CSIRT Italia
Se gli incidenti calano, molto dipende anche dall’attività di prevenzione. A gennaio il CSIRT Italia ha inviato 1.010 comunicazioni di allertamento a pubbliche amministrazioni e imprese, relative all’esposizione su Internet di 1.409 servizi a rischio.
Complessivamente, le comunicazioni dirette per segnalare potenziali compromissioni o fattori di rischio sono state 3.909, in sensibile aumento rispetto a dicembre. Inoltre, grazie all’analisi dei log di malware infostealer, sono stati individuati 17 account istituzionali potenzialmente compromessi, subito oggetto di allerta.
Anche sul fronte delle vulnerabilità il quadro è in lieve flessione: 5.144 nuove CVE pubblicate a gennaio, 731 con almeno un Proof of Concept e 7 già oggetto di sfruttamento attivo.
Un sistema più esposto o più maturo?
L’aumento del 42% degli eventi potrebbe suggerire un peggioramento della situazione. Ma il calo degli incidenti e l’incremento delle attività di monitoraggio raccontano anche un’altra storia: quella di un ecosistema che segnala di più, osserva meglio e interviene prima.
La cybersicurezza, ormai, non è solo una questione tecnica per addetti ai lavori. È un indicatore dello stato di salute digitale del Paese. E gennaio 2026 mostra un’Italia più esposta, sì ma anche più consapevole.
Maria Abate