Nel mese di gennaio, l’ACN (Agenzia per la Cybersicurezza Nazionale) ha visto un aumento significativo degli eventi (+42%) e un calo importante degli incidenti.

Secondo Pierluigi Paganini, analista di cyber security e Ceo Cybhorus, “il rapporto di dell’Agenzia per la Cybersicurezza Nazionale conferma alcune tendenze emerse nei principali report nazionali e internazionali degli ultimi mesi”. Ecco quali, mentre “l’incremento degli eventi registrati è legato ai nuovi obblighi di notifica, che hanno spinto più organizzazioni a segnalare anomalie e tentativi di attacco”, continua il nostro cyber esperto.

“Un dato sicuramente interessante di questo inizio 2026 è che i numeri crescono perché finalmente si notifica di più, non perché ‘all’improvviso’ il Paese sia diventato più appetibile per gli attaccanti”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Acn: i dati di gennaio 2026

Mentre crescono le notifiche ricevute dal CSIRT Italia, l’Acn ha rilevato a gennaio 225 eventi (in crescita del 42% rispetto ai 158 rilevati a dicembre) e 39 incidenti (in declino del 13% rispetto al mese precedente).

“Da osservatore esterno, il vero dato politico è l’aumento degli eventi a fronte di incidenti in calo: significa che detection e triage funzionano meglio, mentre la superficie d’attacco continua ad espandersi”, avverte Dario Fadda.

Ransomware e compromissioni di caselle mail colpiscono il manifatturiero, malware e intrusioni colpiscono il settore tecnologico, mentre quello sanitario è nel mirino di ransomware ed esposizioni di dati.

“Sul fronte ransomware, il focus su manifatturiero, tecnologico e sanitario conferma che il tessuto produttivo critico italiano è ancora troppo dipendente da credenziali deboli e servizi di accesso remoto configurati in modo approssimativo: dai dati della piattaforma Ransomfeed il mese di gennaio vede 20 rivendicazioni attive contro target italiani, un grande aumento del +185% rispetto allo stesso periodo del 2025“, spiega Dario Fadda.

I settori più colpiti

Settore manifatturiero, tecnologico e sanitario sono i più colpiti. Superano quota 3.900 le comunicazioni dirette del CSIRT Italia e 1.010 gli allertamenti per servizi esposti.

“A livello settoriale la conferma dei comparti più colpiti, manifatturiero, tecnologico, sanitario e pubblica amministrazione, rispecchia quanto osservato nei rapporti Clusit e nelle analisi di sicurezza, secondo cui industria, PA e servizi critici sono tra gli obiettivi più vulnerabili, sia per esposizione sia per impatto potenziale”, sottolinea Paganini.

Gli eventi attribuibili a matrice hacktivista detengono circa il 4% del numero complessivo degli eventi rilevanti, in ulteriore declino rispetto al 10% di dicembre.

“L’aumento degli eventi cyber non sempre coincide con una crescita degli incidenti con impatto confermato, ma riflette anche una maggiore capacità di monitoraggio e notifica da parte del CSIRT Italia e l’entrata in vigore del d.lgs. 138/2024, che ha incrementato le segnalazioni ricevute”, spiega Paganini.

Infatti sale il numero degli eventi non solo a causa dell’oscillazione naturale dei fenomeni sotto monitoraggio, ma soprattutto grazie all’aumento di circa il 75% delle notifiche ricevute dal CSIRT Italia, dopo che sono entrati in vigore i nuovi obblighi previsti dal Decreto legislativo n. 138/2024, con cui è stata recepita in Italia la Direttiva NIS 2.

Le principali minacce

A gennaio, la principale tipologia di minaccia è stato il brand abuse, il fenomeno di abuso del marchio che include pratiche illecite che, sfruttando la popolarità e la reputazione di brand riconosciuti per finalità fraudolente.

Al secondo posto, e strettamente legato al brand abuse, si piazza il phishing che si conferma come la seconda cyber minaccia più rilevante.

In parallelo, si nota un aumento dell‘automatizzazione delle scansioni di credenziali per individuare password deboli o account configurati in. maniera impropria e dunque esposti su sistemi informatici.

“Le principali minacce restano phishing, brand abuse, attacchi ransomware, scansione automatizzata di credenziali e compromissione di caselle email, che secondo altri report rappresentano oltre la maggioranza delle tipologie osservate in Italia”, conferma Paganini.

L’analisi dei log che provengono da malware di tipo infostealer ha inoltre permesso di identificare 17 account potenzialmente compromessi, riconducibili a soggetti istituzionali, subito avvertiti.

“Questa dinamica è coerente con il quadro nazionale del 2025, in cui nel primo semestre si un sensibile aumento (+53%) rispetto al 2024, pur con una crescita più contenuta degli incidenti confermati (+98%) grazie alle attività di prevenzione e risposta”, commenta Paganini: “Analogamente, nel secondo semestre 2025 gli incidenti sono diminuiti del 25% rispetto all’anno precedente, mentre gli eventi aumentati di circa il 30%, segno della maturazione delle capacità di rilevamento”.

Mail, uso di account validi e sfruttamento di vulnerabilità già conosciute rappresentano i principali vettori di attacco.

“L’attenzione al phishing e al furto di credenziali è inoltre confermata dagli studi globali come l’IBM X-Force 2025, che registra un aumento significativo di infostealer e uso di account validi negli attacchi“, mette in evidenza Paganini.

Le misure di prevenzione, monitoraggio e risposta

Le 3.909 comunicazioni dirette effettuate dal CSIRT Italia per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni e imprese italiane, in forte aumento rispetto al mese precedente, confermano l’intensificazione dell’attività di prevenzione, supporto e gestione delle minacce cibernetiche a livello nazionale.

“Il dato sulle oltre mille comunicazioni proattive del CSIRT è un cambio di paradigma rilevante, soprattutto se accompagnato, nel grande universo delle Pmi, da una capacità tecnica e budget adeguati, per evitare che resti come rumore di fondo”, mette in guardia Dario Fadda.

“L’aspetto positivo è che il calo degli incidenti, a fronte dell’aumento degli eventi, suggerisce che le misure di prevenzione, monitoraggio e risposta stiano migliorando l’efficacia complessiva delle difese nazionali, anche se la persistenza del phishing e dei ransomware indica che la minaccia rimane elevata. Una strategia di difesa efficace dovrà quindi continuare a puntare su monitoraggio proattivo, awareness e resilienza delle infrastrutture critiche“, conclude Paganini.