“Il calo di incidenti ed eventi cyber rappresenta una prima fase di assestamento successiva all’ampliamento della platea dei soggetti obbligati alla notifica dalla NIS2“.

Nel mese di aprile 2026, l’Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha evidenziato “una diminuzione degli eventi e degli incidenti cyber registrati in Italia“.

Nel periodo in esame c’è stata la registrazione di 265 eventi cyber e di 174 incidenti, con una diminuzione di entrambi del 39% rispetto ai trentuno giorni precedenti. Si registra dunque una inversione di tendenza rispetto ai primi mesi dell’anno.

Il calo ha rappresentato “una prima fase di assestamento successiva all’ampliamento della platea dei soggetti obbligati alla notifica della Direttiva NIS2“.

Principali eventi cyber

Analizzando i singoli settori, gli eventi cyber di aprile hanno interessato soprattutto tre di questi (con due cambiamenti rispetto al mese precedente). Si tratta di:

• manifatturiero.
• Tecnologico.
• Pubblica amministrazione centrale.

Il principale fattore malevole de manifatturiero è stato quello dell’esposizione dei dati. Il settore tecnologico e delle telecomunicazioni, invece, da compromissione delle caselle e-mail. La conferma, rispetto a marzo, è stata quella del manifatturiero che si trovava insieme a telecomunicazioni e sanitario.

Sempre nei 30 giorni di aprile, gli attacchi ransomware hanno interessato prevalentemente “i settori manifatturiero, trasporti e altre società private“. L’analisi degli eventi rilevati evidenzia come “i principali vettori di compromissione siano riconducibili all’utilizzo di credenziali valide, precedentemente compromesse“. E insieme, “allo sfruttamento di servizi di accesso remoto non adeguatamente configurati“.

Andamento delle minacce e principali vettori d’attacco

Rispetto al mese precedente, gli eventi sono stati 265, in diminuzione del 39% rispetto ai 435 di
marzo. Un’analoga contrazione ha riguardato il numero di incidenti, ossia 174, in diminuzione del 39% rispetto al mese precedente.

I 265 eventi cyber hanno interessato 271 soggetti nazionali. Di questi

• 219 appartenenti alla constituency.
• I restanti hanno riguardato cittadini e società private operanti in settori non critici.

Tra le principali minacce rilevate nel corso delle analisi nel mese figurano “esposizioni di dati, campagne di phishing e compromissioni di caselle di posta elettronica“. La stessa posta elettronica, sottolinea l’ACN, “si conferma il principale vettore di accesso iniziale, seguita dallo sfruttamento di credenziali valide precedentemente compromesse“.

Le comunicazioni di CSIRT Italia

Con riferimento ai 30 giorni di aprile, c’è stata la pubblicazione di 5.885 nuove vulnerabilità (CVE), anche in questo caso con un valore di merito con “la lieve diminuzione rispetto a marzo“. All’interno di questo insieme, “1.251 risultano corredate da proof of concept, mentre per 10 vulnerabilità è si è rilevato lo sfruttamento attivo“.

Una particolare attenzione è andata alle criticità riguardanti le vulnerabilità relative a Fortinet FortiClient EMS, Apache Tomcat e Red Hat Enterprise Linux 10. Tutte vulnerabilità che “potrebbero consentire esecuzione di codice da remoto o accessi non autorizzati a informazioni sensibili“. Tali vulnerabilità sono state oggetto di specifiche attività di allertamento da parte del CSIRT Italia.

Nell’ambito delle attività di monitoraggio proattivo, il CSIRT Italia ha inviato in aprile “circa 1.500 comunicazioni di allertamento relative all’esposizione su Internet di 2.212 servizi potenzialmente a rischio“. L’analisi dei log provenienti da malware di tipo infostealer ha inoltre consentito di individuare 7 account potenzialmente compromessi riconducibili a soggetti istituzionali, prontamente allertati.

Complessivamente, nel mese di aprile 2026, il CSIRT Italia “ha effettuato 7.229 comunicazioni dirette a pubbliche amministrazioni e imprese, anche in questo caso in lieve aumento rispetto a marzo“. Questo aspetto ha confermato l’intensità delle attività di prevenzione e supporto operativo svolte dall’Agenzia in un contesto di minaccia ancora elevato.

Ransomware e DDoS

In aprile 2026, “il 13% degli attacchi ransomware ha colpito soggetti critici, il 30% ha colpito soggetti a media criticità ed il restante 57% ha coinvolto altri soggetti a criticità minore“.

Con il monitoraggio di fonti aperte sempre nei 30 giorni in esame, si è permesso di individuare 28 rivendicazioni di attacchi ransomware a danno di soggetti italiani.

Sempre con riferimento al monitoraggio nel mese di aprile 2026 sono state individuate 3 rivendicazioni di attacchi DDoS in danno di soggetti italiani. Rispetto agli ultimi mesi c’è stato un importante miglioramento anche in questo aspetto.

Per approfondire

• Leggi l’Operational Summary di aprile 2026 in PDF.
• Consulta il report del 2° semestre 2025 in PDF.
• Leggi “ACN, adottata la nuova tassonomia per attuare l’obbligo di notifica degli incidenti cyber“.
• Leggi “Direttiva NIS2: messa in sicurezza delle reti e dei sistemi informativi“.

Vai al sito di Cybersecurity Italia.

L'articolo Italia, ACN: “Ad aprile diminuiscono gli incidenti cyber, -39%”. Il rapporto sembra essere il primo su CyberSecurity Italia.