Il mese di maggio è appena iniziato e ci porta a dover fare una riflessione piuttosto amara, a dir la verità, circa gli attacchi che sono avvenuti nel primo quadrimestre del 2026.
La situazione in generale
Da gennaio ad aprile, secondo quanto riportato dallo staff di RansomNews in Italia sono stati rivendicati circa 99 attacchi, ossia circa 24 attacchi al mese che corrispondono a quasi un attacco ogni 29 ore.
| Mese | Attacchi |
|---|---|
| Gennaio | 20 |
| Febbraio | 26 |
| Marzo | 25 |
| Aprile | 28 |
Dal punto di vista della loro distribuzione regionale, la situazione non cambia rispetto alla tendenza mostrata negli ultimi anni: si nota una chiara concentrazione nel nord del Paese con le regioni più note in testa alla classifica.
| Regione | Numero di attacchi |
|---|---|
| Lombardia | 32 |
| Lazio | 10 |
| Emilia-Romagna | 9 |
| Piemonte | 9 |
Questi dati confermano la tendenza di colpire le regioni più ricche (Lombardia) o in cui si concentrano maggiormente le istituzioni (il Lazio). Chiaramente tra i soggetti colpiti rientrano anche aziende che, per dimensioni e settore operativo, sono interessate dalla NIS2. Per esempio, ad inizio anno è stata colpita un’azienda operante nella fabbricazione, produzione e distribuzione di sostanze chimiche (Allegato II – Altri settori critici). Tra l’altro questo soggetto (di cui non è rilevante in questa sede fare il nome), è stato al centro di una serie d’indagini giudiziarie per inquinamento e disastro ambientale. Questa informazione è rilevante nella misura in cui la cybersecurity, per essere impostata e mantenuta, richiede disciplina e collaborazione da parte di tutta l’organizzazione a partire dai suoi vertici.
La situazione in relazione alla NIS2
Nonostante le attività d’implementazione della NIS2 stiano coinvolgendo molte organizzazioni, sarebbe bene fermarsi a riflettere su “come” stia avvenendo questa implementazione. Molte aziende, infatti, vivono le scadenze di ACN come un fastidioso obbligo a cui aderire con il minimo fastidio (e costo) possibile. È bene chiarire che in questo periodo (15 aprile – 31 maggio) i soggetti NIS sono chiamati ad effettuare l’aggiornamento annuale delle informazioni. Provando a fare un esercizio di approfondimento della percezione della cybersecurity all’interno delle aziende colpite (e impattate dalla NIS), si è provveduto a consultare documenti quali i bilanci societari e le relative relazioni di accompagnamento. È bene precisare che le singole voci potrebbero non risaltare all’occhio del lettore, perché aggregate in voci più grandi (ad es.: immobilizzazioni immateriali/materiali), tuttavia in molti casi la spesa per il comparto IT non appare nemmeno nelle relazioni di accompagnamento che, talvolta arrivano a contenere persino inesattezze o genericità tali da rendere evidente quanto poco si conosca ancora il pericolo degli attacchi cyber se non ad un livello meramente teorico.
Il caso dell’azienda informatica
A febbraio 2026 è stata colpita un’azienda di servizi informatici; per questa ragione i dati esfiltrati hanno preoccupato molto alcuni analisti considerando che si andava a toccare un’infrastruttura critica e le risultanze dell’attacco hanno mostrato (come consueto) una mala gestione dei file più delicati.
La gestione dei sistemi amministrativi era affidata a credenziali a dir poco inadeguate come riportato nello screenshot seguente, a dimostrazione che il problema non è solo dei ruoli apicali delle organizzazioni ma anche di quelli tecnici che, per l’appunto, “sperano” di non essere mai bersaglio di un attacco hacker.
Inutile dire che, in molti casi, questi file Excel sono anche corredati di tutti gli indirizzi IP (pubblici e privati) che permettono l’accesso a portali e sistemi senza nessuna forma di filtraggio. Altri esempi della “complessità” delle credenziali sono riportate nella documentazione seguente.
È bene precisare che queste credenziali erano contenute all’interno di documenti Word senza alcuna forma di protezione, problema sollevato decine di volte in questo sito e qualificato come un comportamento assolutamente inadeguato.
Conclusioni
È evidente il problema di percezione del gap culturale afferente alla sicurezza informatica nonostante tutte le iniziative promosse da organizzazioni e specialisti. Nasce quindi una riflessione anche sulla qualità di queste iniziative: sono fatte con il sincero intento di migliorare la condizione o di fare cassa vendendo un servizio mediocre? Infine è bene fare autocritica, cari colleghi informatici, molti evidentemente concepiscono una sicurezza IT basata sulla speranza e allora a loro e alle aziende protette dalla loro “professionalità” non resta che dire speriamo.
