Nel mese di aprile 2026 l’Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha evidenziato una diminuzione degli eventi e degli incidenti cyber registrati in Italia, dopo l’incremento osservato nei primi mesi dell’anno in concomitanza con la progressiva entrata a regime degli obblighi di notifica previsti dalla direttiva NIS2, la normativa europea sulla cybersicurezza che impone standard di sicurezza e obblighi di notifica degli incidenti più severi per aziende e Pubbliche Amministrazioni.
Nel periodo in esame sono stati registrati 265 eventi cyber e 174 incidenti, entrambi in diminuzione del 39% rispetto al mese precedente. Il calo rappresenta una prima fase di assestamento successiva all’ampliamento della platea dei soggetti obbligati alla notifica. Tra le principali minacce rilevate nel mese figurano esposizioni di dati, campagne di phishing e compromissioni di caselle di posta elettronica.
Il dato posiziona l’Italia dietro Stati Uniti (3.399 attacchi), Regno Unito (361), Germania (333), Canada (259) e Francia (180), ma davanti a Spagna (154), Brasile (145), India (136) e Australia (127).
L’industria manifatturiera è il settore maggiormente colpito, con 27 aziende finite nel mirino dei criminali. Subito dopo il comparto tecnologico, con 16 attacchi, e la sanità, con 7 casi registrati. Il settore manifatturiero è stato colpito prevalentemente da episodi di esposizione dati, mentre il comparto tecnologico e delle telecomunicazioni da compromissioni di caselle e-mail. La posta elettronica si conferma infatti il principale vettore di accesso iniziale, seguita dallo sfruttamento di credenziali valide precedentemente compromesse.
Nell’ambito delle attività di monitoraggio proattivo, il CSIRT Italia (Computer Security Incident Response Team) ha inviato nel mese di aprile circa 1.500 comunicazioni di allertamento relative all’esposizione su Internet di 2.212 servizi potenzialmente a rischio.
Sono state pubblicate 5.885 nuove CVE (le vulnerabilità e le esposizioni comuni), in diminuzione (−307) rispetto a marzo. Di queste, 1.251 presentano almeno un Proof of Concept (PoC, la dimostrazione dell’esistenza di vulnerabilità in un software o in un sistema informatico), in diminuzione (−30), e per 10 CVE è stato rilevato lo sfruttamento attivo, stabile (+3) rispetto a marzo.
