“Il quadro osservato evidenzia una ripresa degli attacchi DDoS di natura hacktivista, con impatti generalmente circoscritti”.
Nel mese di maggio 2026, l’Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha evidenziato “un aumento degli eventi e una diminuzione degli incidenti cyber registrati in Italia“. Il tutto, sempre partendo dal confronto con il mese precedente.
Nel periodo in esame c’è stata la registrazione di 390 eventi cyber (+47% rispetto ad aprile) e di 158 incidenti, con una diminuzione del 10% rispetto ai trenta giorni precedenti.
L’ACN ha sottolineato quanto particolare sia stato il rilievo che hanno assunto gli incidenti di fornitori tecnologici. Al loro interno, infatti, “la compromissione ha prodotto effetti lungo la filiera tecnologica e ha interessato più organizzazioni“.
Principali eventi cyber
Analizzando i singoli settori, gli eventi cyber di maggio hanno interessato soprattutto tre di questi (con un cambiamento rispetto al mese precedente). Si tratta di:
- tecnologico.
- Pubblica amministrazione locale.
- Manifatturiero.
Il cambiamento da segnalare, rispetto allo scorso mese, è stato quello della Pubblica amministrazione locale, rispetto a quella centrale. Dall’altro lato il Tecnologico e il Manifatturiero sono stati i due settori confermati.
Se il Tecnologico è stato interessato prevalentemente da esposizione dati, la Pubblica amministrazione locale da DDoS e il Manifatturiero da phishing. Per altro, nel corso del mese di maggio 2026, le principali minacce rilevate sono state proprio DDoS, Esposizione dati e phishing, tutte poi rivolte ad un comparto specifico rispetto agli altri.
Sempre nei 31 giorni di maggio, gli attacchi ransomware hanno interessato prevalentemente i settori Manifatturiero, vendita al dettaglio e Tecnologico.
Andamento delle minacce e principali vettori d’attacco
A maggio 2026 ci sono stati 390 eventi cyber, che hanno rappresentato un aumento del 47% rispetto al mese precedente. Questi ultimi hanno interessato – e in diversi casi più volte – 342 soggetti nazionali. Di questi:
- 272 appartenenti alla constituency.
- I restanti hanno riguardato cittadini e società private operanti in settori non critici.
Dei 390 eventi cyber, 158 hanno ricevuto la classificazione di “incidenti“, dunque portando una diminuzione del fenomeno ad una quota del 10% rispetto ad aprile.
Rispetto ad aprile, il quadro ha evidenziato la ripresa degli attacchi DDoS di natura hacktivista (dopo due mesi), che hanno avuto come conseguenze impatti generalmente circoscritti.
Dall’altro lato, si è registrata la presenza di altre tipologie di evento prevalentemente riconducibili a compromissioni abilitate da credenziali compromesse. In tali casi spesso l’acquisizione ha impiegato phishing o ingegneria sociale.
L’esposizione o l’esfiltrazione di dati si conferma uno dei principali fattori di rischio. In questi termini, al cospetto delle relative vulnerabilità, gli impatti sono vari, ossia reputazionali come pure operativi.
Le comunicazioni di CSIRT Italia
Al contempo, nei 31 giorni in esame c’è stata la pubblicazione di 7.003 nuove CVE, in aumento (+1.118) rispetto ad aprile. Di queste, 722 presentano almeno un Proof of Concept (PoC), in diminuzione (−529), e per 16 CVE c’è stato il rilevamento dello sfruttamento attivo, in aumento (+6) rispetto ad aprile.
Una particolare attenzione ha riguardato alcune vulnerabilità di rilievo che hanno interessato “prodotti e soluzioni ampiamente utilizzati in ambienti enterprise e infrastrutturali“. Tra queste, “si segnala la vulnerabilità in Exim, ossia un mail transfer agent diffuso per la gestione della posta elettronica, identificata come CVE-2026-45185“.
Nell’ambito del monitoraggio attivo si è registrato un totale di 3424 comunicazioni verso i soggetti della constituency che esponevano pubblicamente su Internet complessivamente 11984 servizi a rischio. Le comunicazioni dirette del CSIRT Italia sono state in totale 11.917, in sensibile aumento (+4.688) rispetto ad aprile.
Ransomware e DDoS
A maggio 2026, “il 3% degli attacchi ransomware ha colpito soggetti critici, il 30% ha colpito soggetti a media criticità. Il restante 67% ha coinvolto altri soggetti a criticità minore“.
Sempre in un’ottica generale, il ricorso al monitoraggio di fonti aperte nel mese di maggio 2026 ha permesso l’individuazione di 20 rivendicazioni di attacchi ransomware a danno di soggetti italiani.
A maggio 2026 sono state individuate 8 rivendicazioni di attacchi DDoS in danno di soggetti italiani. Ad aprile, però, va registrato che le rivendicazioni erano state 3.
Lo scenario geopolitico regionale e globale
A livello europeo, sottolinea l’Agenzia, assumono rilievo le valutazioni sulla maturità cyber dei settori critici e sull’attuazione operativa degli obblighi previsti dalla Direttiva NIS2. In particolare sulla:
- gestione del rischio.
- La sicurezza della supply chain.
- La rilevazione degli incidenti e alla capacità di ripristino.
Si registra, contestualmente, che proprio il contesto geopolitico – con particolare riferimento al quadrante mediorientale – continua a produrre effetti sul dominio cibernetico. Phishing, iniziative di hacktivismo, sottrazione di dati e possibili azioni di sabotaggio o attività informative ostili sono tutti collegabili alla guerra in atto.
Per approfondire
- Leggi l’Operational Summary di maggio 2026 in PDF.
- Consulta il report del 2° semestre 2025 in PDF.
- Leggi “ACN, adottata la nuova tassonomia per attuare l’obbligo di notifica degli incidenti cyber“.
- Leggi “Direttiva NIS2: messa in sicurezza delle reti e dei sistemi informativi“.
Vai al sito di Cybersecurity Italia.
L'articolo Italia, ACN: “A maggio diminuiscono gli incidenti cyber, -10%”. Il rapporto sembra essere il primo su CyberSecurity Italia.
📖 Leggi l'articolo completo originale:
https://www.cybersecitalia.it/italia-acn-a-maggio-diminuiscono-gli-incidenti-cyber-10-il-rapporto/66549/ →