Più attacchi, ma meno incidenti. È il dato che emerge dal nuovo Threat Intelligence Report del primo trimestre 2026 dell’Osservatorio Cybersecurity di Exprivia, presentato a Bologna in occasione dell’evento “Threat Intelligence, AI & Quantum: l’evoluzione dell’attacco”, presso Confindustria Emilia Area Centro.
Tra gennaio e marzo in Italia si sono registrati 1.207 fenomeni tra attacchi, incidenti e violazioni privacy, in crescita del 40% rispetto al primo trimestre del 2025. Un volume che da quattro trimestri consecutivi supera stabilmente le 1.000 unità. Eppure, gli incidenti, ovvero gli attacchi effettivamente andati a buon fine, sono scesi del 40% (da 217 a 129). Un risultato che, secondo l’indagine, riflette l’effetto cumulativo degli investimenti in sicurezza e dell’adeguamento delle organizzazioni italiane alle normative europee recenti, come NIS2 e DORA.
I numeri e la geografia
Più in particolare, nel primo trimestre 2026 sono stati rilevati 1.043 attacchi, 129 incidenti e 35 violazioni privacy: 413 attacchi in più rispetto al primo trimestre 2025, con 88 incidenti in meno. Una dinamica che, pur confermando una pressione strutturale del cybercrime sul Paese, segnala per la prima volta un cambio di passo nella capacità di intercettare le minacce. Il cybercrime resta la motivazione dominante (ca. 96% dei casi) con finalità prevalentemente economiche legate a frodi, estorsioni e furto di credenziali. Il furto dei dati si conferma infatti il danno più frequente con 1.053 occorrenze, a riprova del valore strategico ormai assunto dalle informazioni.
Sotto il profilo geografico, il dato nuovo è l’omogeneità. Il gap tra Nord, Centro e Sud (un tempo netto a favore delle aree più industrializzate) si è ridotto a poche decine di casi. Rapportando però i dati alla popolazione, il Centro Italia risulta l’area proporzionalmente più colpita, con 96 casi per milione di abitanti, oltre il doppio del Nord (42).
Un nuovo perimetro
Le modalità più frequenti sono il furto di credenziali per entrare negli account aziendali, l’abuso di accessi a servizi come posta elettronica e suite di produttività in cloud, e lo spostamento progressivo degli attaccanti all’interno delle infrastrutture digitali delle organizzazioni colpite.
Sul fronte del quantum computing, il 9% degli incidenti (l’8,5% nel trimestre precedente) presenta caratteristiche riconducibili a minacce di tipo quantistico. Non perché esistano già attacchi quantistici operativi, ma perché alcuni gruppi criminali hanno iniziato a praticare la strategia “harvest now, decrypt later”, ovvero la sottrazione “oggi” di dati cifrati per poterli decifrare “domani”, quando i computer quantistici saranno abbastanza potenti da spezzare gli algoritmi crittografici in uso.
“Il quadro che emerge dal primo trimestre dell’anno è incoraggiante da un lato e severo dall’altro – dichiara Domenico Raguseo, direttore Cybersecurity di Exprivia, che quest’anno celebra i 20 anni dalla nascita del brand. – Per la prima volta vediamo con chiarezza che la pressione offensiva continua a crescere ma gli incidenti effettivi calano in modo netto. È il segnale che gli investimenti in sicurezza e gli adeguamenti normativi degli ultimi due anni stanno producendo risultati misurabili. Al tempo stesso, però, gli attaccanti hanno già aperto un nuovo fronte, usano l’AI per rendere il phishing più credibile e iniziano già a guardare all’era dei computer quantistici. Per non perdere il vantaggio appena guadagnato, la difesa deve seguire la minaccia dove sta andando, non aspettarla dov’era”.
I settori più colpiti: Finance ancora in testa
In continuità con l’anno precedente, il settore Finance resta il bersaglio principale dei cybercriminali, raccogliendo da solo il 43% dei fenomeni rilevati nel trimestre, complice l’elevato valore economico delle informazioni gestite e la facilità di monetizzazione diretta, confermando la forte pressione che banche e istituzioni finanziarie subiscono. Seguono il settore Software/Hardware (25%), segno che chi fornisce tecnologie digitali – soprattutto su larga scala – è un bersaglio sempre più frequente; al terzo posto l’ambito Retail (10%), che gestisce un’ampia mole di dati sensibili scambiati sul web, come pagamenti e credenziali degli utenti.
Phishing e AI guidano le minacce
Sul fronte delle tecniche, il phishing resta il principale vettore di attacco con oltre 700 casi, quasi il triplo rispetto allo stesso periodo dell’anno precedente. È il dato che più di ogni altro spiega perché la pressione offensiva resti così alta, nonostante il calo degli incidenti. L’AI generativa, coinvolta nel 41% degli eventi rilevati, permette agli attaccanti di produrre campagne di phishing su scala industriale, con messaggi sempre più credibili, personalizzati e difficili da riconoscere come fraudolenti. Il malware segue a 372 casi, con i RAT (Remote Access Trojan, programmi che permettono il controllo remoto e silenzioso di un dispositivo) come famiglia più diffusa con 155 occorrenze, ovvero oltre il 40% del totale. Seguono infostealer e ransomware, un mix che conferma l’orientamento del cybercrime verso accesso persistente nei sistemi colpiti, raccolta di credenziali ed estorsione.
I dispositivi connessi: telecamere e quelli medicali ancora i più vulnerabili
Sul fronte IoT, l’Osservatorio ha individuato oltre 12 milioni di indirizzi IPv4 connessi in Italia nel trimestre, di cui circa 88.000 riferibili a dispositivi IoT specifici, in calo del 6% rispetto al trimestre precedente. Una riduzione che, in sé, è una buona notizia, poichè meno dispositivi esposti significa minore superficie di attacco. Le telecamere si confermano i dispositivi più vulnerabili, con il 31% di quelle censite che presenta criticità di sicurezza; seguono i dispositivi medicali e i PLC industriali, entrambi al 29%.
