“L’aumento di marzo è riconducibile principalmente alla maggiore capacità di rilevazione e segnalazione dovuta alla NIS2, a fronte di impatti che restano complessivamente stabili“.
Nel mese di marzo 2026, l’Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha evidenziato “un incremento della visibilità degli eventi e degli incidenti cyber in Italia“. Nel periodo in esame c’è stata la registrazione di 436 eventi cyber, sostanzialmente stabili rispetto ai 435 del mese precedente. Gli incidenti rilevati sono stati 313, in aumento dell’81% rispetto a febbraio.
Tale incremento è riconducibile alla piena operatività dei nuovi obblighi di notifica introdotti dalla Direttiva (UE) 2022/2555 (NIS2), recepita con il Decreto Legislativo 4 settembre 2024, n. 138.
I numeri, oltreché gli effetti degli obblighi della Direttiva NIS2, hanno riflettuto le attività legate allo svolgimento dei Giochi Olimpici Invernali di Milano Cortina 2026.
L’Agenzia ha nuovamente ribadito che “nel corso dei Giochi non si sono registrati incidenti cyber con impatto sul regolare svolgimento delle competizioni né sull’erogazione dei servizi essenziali dell’evento“.
Principali eventi cyber
Dal punto di vista dei singoli settori, gli eventi cyber hanno interessato soprattutto tre di questi (con due cambiamenti rispetto al mese precedente). Si tratta di:
- Telecomunicazioni.
- Sanitario.
- Manifatturiero.
Più nel dettaglio, i primi due sono stati principalmente interessati da “disservizi legati a un incidente di un fornitore di servizi digitali, con conseguenti impatti sui clienti“. Per il settore manifatturiero si sono registrate prevalentemente esposizioni di dati e compromissioni di account e-mail.
Rispetto a febbraio, tra i settori più colpiti c’è stata continuità solo con il manifatturiero, che si trovava insieme al tecnologico e alla Pubblica Amministrazione locale.
Su marzo, gli attacchi ransomware hanno interessato in misura prevalente gli stessi tre comparti. Le analisi hanno rimarcato come i principali vettori di compromissione siano riconducibili all’utilizzo di credenziali valide precedentemente sottratte. Nonché, “allo sfruttamento di servizi di accesso remoto non adeguatamente configurati“.
Andamento delle minacce e principali vettori d’attacco
Rispetto al mese precedente i 436 eventi cyber hanno rappresentato una misura di equilibrio. Questi ultimi hanno interessato 343 soggetti nazionali:
- 289 appartenenti alla constituency.
- I restanti hanno riguardato cittadini e società private operanti in settori non critici.
Dei 436 eventi cyber, i 313 classificati quali “incidenti” (sempre tenendo conto dei nuovi obblighi in vogore) hanno rappresentato un aumento dell’81% rispetto a febbraio.
Se le principali minacce oggetto di osservazione includono “esposizione di dati, compromissione di caselle e-mail, disservizi operativi“, queste hanno trovato alcune specifiche vulnerabilità. Vale a dire, per marzo 2026:
- esposizione di dati.
- Compromissione di caselle di posta elettronica.
- Violazioni dei livelli di servizio attesi.
Le comunicazioni di CSIRT Italia
Con riferimento ai 31 giorni di marzo, c’è stata la pubblicazione di 6.192 nuove vulnerabilità (CVE), in aumento rispetto a febbraio. Di queste, “1.281 risultano corredate da Proof of Concept, mentre per 7 è stato rilevato uno sfruttamento attivo“.
Una particolare attenzione è andata alle vulnerabilità critiche che interessano le reti per la gestione del traffico, il monitoraggio degli impianti industriali. Le criticità individuate sono in questi termini state oggetto di specifiche attività di allertamento da parte del CSIRT Italia.
Nell’ambito del monitoraggio proattivo della superficie esposta, il CSIRT Italia ha inviato “1.977 comunicazioni di allertamento a pubbliche amministrazioni e imprese appartenenti alla constituency“. Relative queste ultime a 3.340 servizi esposti su Internet e potenzialmente vulnerabili.
L’elevato numero di vulnerabilità rilevate ha determinato “un incremento dei sistemi e servizi potenzialmente esposti“. E conseguentemente “delle attività di allertamento condotte dall’Agenzia ai sensi della normativa vigente“.
A marzo il CSIRT Italia ha effettuato complessivamente 7.216 comunicazioni dirette verso amministrazioni pubbliche e imprese. Queste hanno rappresentato un sensibile aumento (+2.566) rispetto al mese precedente, al fine di favorire l’adozione tempestiva delle misure di mitigazione.
Ransomware e DDoS
A marzo 2026, il 15% degli attacchi ransomware ha colpito soggetti critici, il 36% ha colpito soggetti a media criticità, ed il restante 48% ha coinvolto altri soggetti a criticità minore.
Con il monitoraggio da fonti aperte, nello stesso mese, c’è stata l’individuazione di 24 rivendicazioni di attacchi ransomware a danno di soggetti italiani.
Sempre nel mese in esame, gli eventi DDoS hanno colpito principalmente i settori tecnologico, energetico e sanitario. “L’attività riconducibile a gruppi hacktivisti“, sottolinea l’ACN, “si è mantenuta su livelli contenuti, con 7 rivendicazioni rilevate“.
Per approfondire
- Leggi l’Operational Summary di marzo 2026 in PDF.
- Consulta il report del 2° semestre 2025 in PDF.
- Leggi “ACN, adottata la nuova tassonomia per attuare l’obbligo di notifica degli incidenti cyber“.
- Leggi “Direttiva NIS2: messa in sicurezza delle reti e dei sistemi informativi“.
Vai al sito di Cybersecurity Italia.
L'articolo Italia, ACN: “A marzo in aumento gli incidenti cyber, +81%”. Il rapporto sembra essere il primo su CyberSecurity Italia.
📖 Leggi l'articolo completo originale:
https://www.cybersecitalia.it/italia-acn-a-marzo-in-aumento-gli-incidenti-cyber-81-il-rapporto/63338/ →