L’Operational Summary dell’Acn (Agenzia per la Cybersicurezza Nazionale) osserva a marzo 2026 un aumento della visibilità degli eventi e degli incidenti cyber. Il merito è da attribuire ai nuovi obblighi di notifica introdotti dalla Direttiva (UE) 2022/2555 (NIS2), il cui recepimento è avvenuto con il decreto legislativo 4 settembre 2024, n. 138.
“L’aumento degli incidenti registrati da ACN non racconta un peggioramento della sicurezza, ma qualcosa di molto più scomodo: finalmente li stiamo vedendo”, conferma Sandro Sana, Ethical Hacker e membro Comitato Scientifico Cyber 4.0.
Nonostante l’aumento delle segnalazioni, gli impatti degli incidenti sono nel complessivo stabili, allineati con la media dei mesi precedenti.
Secondo Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “il dato che colpisce di più è l’esplosione degli incidenti confermati: +81% rispetto a febbraio, da leggere in ottica positiva perché l’Italia sta finalmente imparando a vedere quello che prima non riusciva a fare”.
Ecco però perché il 2026 contrassegna il passaggio più critico.
Indice degli argomenti
Il report dell’ACN: a marzo la Nis2 rende visibili gli incidenti cyber
A marzo, durante i Giochi Paralimpici Invernali Milano Cortina 2026, l’Agenzia ha supportato le attività già assicurate per i Giochi Olimpici Invernali, in coordinamento con la Fondazione Milano Cortina 2026, attuando il protocollo d’intesa siglato nel gennaio 2025.
Il mese scorso l’Acn ha registrato 436 eventi cyber (calma piatta rispetto ai 435 del mese precedente), mentre gli incidenti rilevati sono saliti a 313 (+81% rispetto a febbraio). Ma la maggiore visibilità, frutto dell’attuazione della NIS2, ha messo le ali agli incidenti cyber.
“Il merito va alla NIS2, che ha obbligato migliaia di soggetti a notificare”, spiega Dario Fadda.
Infatti, “con la NIS2, la visibilità cresce perché cresce l’obbligo di notifica, non perché improvvisamente gli attacchi siano esplosi”, conferma Sandro Sana. Ma il punto vero è un altro, ecco quale.
Per anni la gestione del rischio cyber è avvenuta “al buio”
Esposizione di dati, compromissione di caselle email e violazioni dei livelli di servizio attesi sono le principali minacce cyber del mese di marzo.
I settori più nel mirino sono stati Telco e sanitario (colpiti da un incidente di un fornitore di servizi digitali) e manifatturiero, dove si sono verificati soprattutto esposizioni di dati e compromissioni di account di posta elettronica.
Questi tre settori sono anche stati nel periodo in esami bersaglio di attacchi ransomware, dove i vettori di compromissione sono soprattutto da attribuire allo sfruttamento di credenziali valide precedentemente rubate e all’uso di servizi di accesso remoto non impostati ad hoc.
Inoltre gruppi hacktivisti, con 7 rivendicazioni rilevate, hanno condotto contenuti eventi DDoS contro i settori tecnologico, energetico e sanitario.
“Il punto vero è un altro”, spiega Sandro Sana: “Per anni abbiamo gestito il rischio cyber ‘al buio’, oggi iniziamo a misurarlo e quando inizi a misurare, smetti di raccontarti che va tutto bene”.
“Il 2026 segna quindi il passaggio più critico: dalla percezione alla realtà, dalla compliance formale alla responsabilità operativa e lì, molti scopriranno di essere molto meno pronti di quanto pensavano”,
Vettori d’attacco e nuove CVE
A marzo CSIRT Italia ha spedito 1.977 comunicazioni di allerta a PA e aziende della constituency, in riferimento a 3.340 servizi esposti su Internet e a rischio vulnerabilità.
Supply chain (per gli impatti connessi all’incidente del fornitore di servizi digitali), posta elettronica e l’uso di account validi compromessi sono i principali vettori d’attacco.
La pubblicazione di 6.192 nuove vulnerabilità (CVE), in salita rispetto a febbraio, conta 1.281 corredate da Proof of Concept, mentre di 7 l’Acn ha rilevato uno sfruttamento attivo.
Le vulnerabilità critiche che interessano soluzioni per la gestione del traffico di rete e dell’accesso remoto, dispositivi per il monitoraggio di impianti industriali e piattaforme di gestione centralizzata delle reti.
“Un dato interessante sono infatti le CVE scoperte, considerando anche per di queste oltre 1200 hanno già un concept pubblico per sfruttarle. Su questo c’è sicuramente da non sottovalutare lo stato delle PMI italiane, in cui vediamo che il ransomware continua a diffondersi“, conclude Dario Fadda.
A marzo, il CSIRT Italia ha totalizzato7.216 comunicazioni dirette verso pubbliche amministrazioni e aziende, in forte incremento (+2.566) rispetto a febbraio. L’obiettivo è promuovere la tempestiva implementazione delle misure per mitigazione i rischi cyber.
