Il Clusit Security Summit Milano 2026 è stata l’occasione per presentare i dati aggiornati sulla sicurezza informatica in Italia, emersi durante l’illustrazione del nuovo Rapporto Clusit.
Silvio Ferrari, Manager di Cyber Security Products, Fastweb + Vodafone, intervenendo a supporto dell’analisi curata dall’associazione, ha condiviso le evidenze raccolte attraverso il monitoraggio di una delle infrastrutture di rete più estese del Paese.
I numeri presentati non si limitano a fotografare gli incidenti andati a buon fine, ma includono l’enorme mole di tentativi di attacco, un dato considerato fondamentale per intercettare i trend prima che si trasformino in disclosure pubbliche.
Indice degli argomenti
L’analisi dei flussi: 87 milioni di eventi sulla rete nazionale
La base statistica di questa analisi poggia su numeri imponenti: sono stati riconosciuti 87 milioni di eventi nocivi o malevoli.
Sebbene l’attuale perimetro di osservazione riguardi esclusivamente la rete Fastweb, è già stato pianificato per il prossimo anno l’inserimento dei dati relativi all’infrastruttura Vodafone, operazione che permetterà di ottenere una base dati ancora più ampia e di qualità superiore per le future edizioni del rapporto Clusit.
Il panorama attuale conferma una crescita generalizzata sia degli attacchi effettivi che dei semplici tentativi.
Tuttavia, oltre al volume, a preoccupare gli esperti è il cambio di passo qualitativo impresso dagli aggressori. Secondo quanto dichiarato da Ferrari, si osserva una tendenza verso quello che viene definito «cherry picking», ovvero la selezione accurata degli strumenti che garantiscono la maggiore efficacia con la minima spesa e la massima resa.
In questo scenario, l’intelligenza artificiale gioca un ruolo da protagonista, agendo come acceleratore per la raccolta di informazioni e permettendo di combinare vettori d’attacco differenti in strutture di estrema complessità. Questa evoluzione tecnologica ha ripercussioni dirette sulle attività di attribution, rendendo estremamente difficile identificare con certezza i responsabili delle offensive.
Il cavallo di Troia dell’IoT e il malware di fabbrica
Uno dei dati più significativi emersi dalla presentazione del Clusit riguarda la sicurezza dei dispositivi connessi. Quasi l’86% degli eventi registrati (l’85,69%) è riconducibile a botnet e malware che colpiscono i prodotti IoT consumer. Un dato particolarmente allarmante è la polarizzazione su un singolo malware, Android.badbox2, che da solo rappresenta oltre il 72% delle rilevazioni.
Questo tipo di minaccia viene spesso iniettato direttamente nelle catene di montaggio in fabbrica, colpendo apparati come Smart TV o Smart Box prima ancora che arrivino sul mercato.
Il rischio si estende rapidamente dall’ambiente domestico a quello professionale, poiché questi dispositivi economici finiscono spesso per popolare le sale riunioni delle aziende, creando varchi non presidiati nei perimetri di sicurezza.
Contemporaneamente, si osserva un calo di 12 punti percentuali per la piattaforma Avalanche-Andromeda, simbolo del modello Malware-as-a-Service (MaaS). Questa flessione suggerisce che gli attaccanti stiano abbandonando le piattaforme generaliste a favore di strumenti meno vari ma più efficaci e potenziati dall’AI.
La fragilità della supply chain e la necessità di adottare principi di security-by-design diventano quindi pilastri centrali, specialmente in vista dell’attuazione del Cyber Resilience Act.
Settori sotto pressione: dalla PA alla resilienza del Finance
La distribuzione degli attacchi per settori economici conferma alcune tendenze storiche e ne introduce di nuove. La Pubblica Amministrazione si attesta come il bersaglio più colpito, con il 36% degli attacchi totali. Seguono il settore dei Servizi e quello Finance, entrambi con una quota vicina al 14%.
Un’analisi incrociata dei dati permette però di evidenziare una dinamica interessante riguardante il mondo bancario e finanziario. Nonostante sia al terzo posto per volume di incidenti transitati sulla rete, il settore Finance scende al decimo posto quando si considerano gli attacchi andati effettivamente a buon fine.
Questo scarto dimostra che le istituzioni finanziarie hanno sviluppato capacità di difesa superiori rispetto ad altri comparti.
Al contrario, si registra una crescita in doppia cifra per le offensive indirizzate ai service provider e al comparto dell’Energia, settori che restano monitorati speciali per il prosieguo del 2026.
L’evoluzione delle tecniche DDoS e il fenomeno del “Carpet Bombing”
Gli attacchi di tipo DDoS (Distributed Denial of Service) hanno registrato un incremento del 26%, mantenendo una distribuzione uniforme durante tutto l’anno. Le modalità d’attacco stanno però mutando: si prediligono eventi di minore intensità, tipicamente al di sotto dei 10 Gbps, ma caratterizzati da una maggiore frequenza e persistenza.
Un fenomeno rilevante evidenziato durante il convegno è il carpet bombing, una strategia che prevede la distribuzione degli attacchi su più target contemporaneamente.
Spesso si tratta di attacchi definiti «low and slow», progettati per rimanere sotto la soglia di rilevamento dei sistemi di difesa automatizzati, ma capaci di degradare o incapacitare la connettività dei clienti sul lungo periodo.
Vulnerabilità persistenti e il ritorno del Telnet
Sul fronte della protezione delle web application, si nota una crescita di circa un terzo dei sistemi esposti su Internet. Sebbene la tecnica della SQL Injection stia finalmente perdendo terreno, crescono di 12 punti percentuali gli attacchi basati su Cross-Site Scripting (XSS). Inoltre, l’attività dei Bot Crawler è in aumento, spinta dalla necessità di raccogliere informazioni per l’addestramento di piattaforme AI e modelli LLM, o per studiare la superficie d’attacco delle potenziali vittime.
In questo contesto di innovazione tecnologica, emerge un dato che Silvio Ferrari ha definito preoccupante: la rilevazione di oltre 11.000 indirizzi IP univoci che espongono ancora il servizio Telnet, con un incremento del 51% rispetto al 2024.
Durante l’interazione con il moderatore Alessio Pennasilico, Ferrari ha lanciato un appello diretto: «Prendiamone atto e, per favore, andiamo a chiudere tutti i servizi Telnet che troviamo».
L’aumento degli attacchi provenienti dall’Italia stessa sembra essere correlato proprio all’alto numero di botnet Android e consumer, che permettono agli attaccanti di bypassare le protezioni basate su geo-fencing.
Mail Security: tra phishing corporate e password reuse
La posta elettronica rimane uno dei vettori preferenziali per le minacce personalizzate. Il Credential Phishing sta evolvendo: le campagne non sono più blocchi statici di messaggi identici, ma sfruttano l’AI per variare costantemente il contenuto delle email, eliminando le tracce di univocità che faciliterebbero l’identificazione dell’attaccante.
Oltre al phishing massivo, che rappresenta ancora il 54% del totale, crescono le operazioni mirate alla raccolta di credenziali corporate, come le false pagine di login Microsoft. Una novità del 2026 è l’incremento (oltre l’11%) degli attacchi volti alla raccolta di credenziali di tipo consumer, una tattica che punta a sfruttare l’abitudine degli utenti al password reuse tra account personali e aziendali.
Analizzando le tattiche secondo il framework MITRE, la fase di Execution rimane prevalente (38%), trainata dalla diffusione di ransomware utilizzati per monetizzare rapidamente attraverso la double extortion. In questo panorama, l’interesse per l’esfiltrazione dati a lungo termine sembra calare, a favore di guadagni immediati.
Nonostante la crescente complessità, la nota positiva risiede nell’aumento della consapevolezza e della capacità difensiva delle aziende, spesso stimolata dalle nuove normative e da programmi di formazione dedicati ai dipendenti.
Questi interventi, uniti ai meccanismi di sostegno pubblico, stanno permettendo anche alle PMI di effettuare investimenti più oculati e strategici per la propria sicurezza informatica.
