Argomenti trattati
La situazione della cybersecurity in Italia è entrata in una fase di trasformazione che richiede attenzione immediata. Un report congiunto dei centri di competenza di Fastweb e Vodafone insieme agli specialisti di 7Layers che ha monitorato oltre sette milioni di indirizzi pubblici registra un incremento del 26% degli eventi di sicurezza, che superano gli 87 milioni nel 2026. Questo quadro mette in evidenza non solo l’aumento degli attacchi, ma anche l’allargamento della superficie esposta, con la Pubblica amministrazione in cima alla lista dei bersagli, seguita dai servizi e da settori critici come l’energia.
Dietro i numeri emergono tendenze precise: gli aggressori privilegiano operazioni più mirate e strumenti automatizzati, mentre le vulnerabilità legate alle configurazioni di base e alle filiere hardware-software favoriscono la proliferazione delle minacce. Il documento mette in luce come l’uso dell’intelligenza artificiale abbia moltiplicato la capacità offensiva, rendendo le campagne di phishing più credibili e le operazioni su vasta scala più efficienti. Ne deriva la necessità di un approccio strutturale che integri monitoraggio, formazione e verifiche sulla supply chain.
Botnet e dispositivi compromessi
Un dato chiave del report riguarda il raddoppio degli indirizzi compromessi, che superano i 390.000. Questo fenomeno testimonia la diffusione di botnet costruite su larga scala, spesso alimentate da dispositivi Android a basso costo e da catene di approvvigionamento vulnerabili. La famiglia android.badbox2 domina lo scenario con oltre il 70% delle infezioni, mentre varianti come android.vo1d e android.vo1d2 contribuiscono alla propagazione. Il risultato è che i dispositivi domestici, grazie a configurazioni di fabbrica non corrette, diventano un punto debole strutturale dell’intero ecosistema digitale.
Configurazioni e superficie d’attacco
Il rapporto segnala che oltre 31.000 dispositivi che offrono servizi critici risultano esposti su Internet, con un aumento delle interfacce attaccabili come Telnet, SMB e RDP. Queste porte aperte restano vettori privilegiati per ottenere l’accesso iniziale alle reti. Nonostante una lieve riduzione delle inserzioni in blocklist in alcune aree, le zone ad alta densità digitale mantengono tassi elevati di compromissione: Milano, Roma e Napoli guidano le classifiche, mentre il Sud mostra una crescita della diffusione più rapida rispetto al Centro-Nord.
DDoS, phishing e minacce alle applicazioni
Nel 2026 gli attacchi DDoS hanno raggiunto quasi 6.000 episodi, con la Pubblica amministrazione ancora tra i principali bersagli, seguita dai servizi e dal gioco online. Si osserva un aumento degli attacchi indirizzati all’energia e ai provider, che indica una strategia di pressione sulle infrastrutture critiche. La tecnica prevalente rimane la DNS amplification (circa il 60% dei casi), mentre gli attacchi multi-vettore sono saliti dal 10% a oltre il 27%. Parallelamente è emersa la pratica del carpet bombing, pensata per saturare ampie porzioni di rete, e la diffusione di offerte di DDoS-as-a-Service che abbassano la barriera d’ingresso per attori meno strutturati.
Phishing e vulnerabilità delle applicazioni web
Il phishing conferma il suo ruolo centrale: le campagne mirate aumentano di circa dieci punti percentuali, spesso supportate da strumenti di generazione automatica dei contenuti. I messaggi diventano più convincenti e difficili da distinguere, con il malware veicolato via e-mail che punta su tool di accesso remoto persistenti come ScreenConnect e su downloader diffusi come SocGholish. Gli allegati infetti tendono a diminuire leggermente, ma gli URL malevoli rimangono stabili e il 73% delle campagne risulta mirato. Sul fronte delle applicazioni web crescono gli attacchi XSS fino a quasi il 27% delle attività intercettate, aumentano i traversal di directory e si osserva una diffusione delle injection di file e di moduli PHP.
Quadro regolatorio, impatti settoriali e indicazioni per il futuro
Le frodi basate sul furto d’identità, utilizzate anche per attivare contratti fittizi nel settore energia, segnano una crescita preoccupante. Alcuni interventi regolatori, come i filtri sull’ CLI spoofing introdotti da Agcom, hanno però contribuito a mitigare parte del problema. Secondo 7Layers, la fase di execution rappresenta il 38% delle attività malevole: l’accesso iniziale non aumenta nei volumi ma diventa più difficile da intercettare per l’uso di phishing avanzato e vulnerabilità zero-day. Il report Clusit presentato contestualmente evidenzia un record globale di attacchi rilevanti (5.265, +49%) e un’incidenza italiana pari al 9,6% del totale con 507 incidenti (42% in più rispetto al 2026). I settori maggiormente colpiti includono governativo, manifatturiero, servizi ICT e finanziario, con crescite marcate che richiedono maggiore collaborazione pubblico-privato, investimenti in tecnologie di difesa, formazione e controlli stringenti sulle componenti importate per contenere il rischio nel 2026.