A maggio 2026 è aumentato in modo significativo il numero degli eventi cyber rilevati in Italia, pur senza un corrispondente incremento degli impatti più gravi. È quanto emerge dall’Operational Summary pubblicato dall’Agenzia per la Cybersicurezza Nazionale (ACN), che evidenzia come l’entrata a regime degli obblighi di notifica previsti dalla direttiva NIS2 abbia ampliato la capacità di monitoraggio del fenomeno.
Nel mese sono stati registrati 390 eventi cyber, in crescita del 47% rispetto ad aprile, mentre gli incidenti con impatto confermato sono stati 158, in calo del 10%. Gli eventi hanno coinvolto complessivamente 459 vittime, con un aumento di 113 casi rispetto al mese precedente.
Tra le principali minacce individuate figurano gli attacchi DDoS, l’esposizione di dati e il phishing. In particolare, dopo due mesi di relativa inattività, sono riprese le campagne hacktiviste basate su attacchi DDoS, che hanno colpito soprattutto amministrazioni locali, compagnie assicurative e operatori dei trasporti, causando perlopiù rallentamenti o temporanee interruzioni dei servizi online.
I settori maggiormente interessati dagli eventi cyber sono stati quello tecnologico, la pubblica amministrazione locale e il manifatturiero. Il comparto tecnologico è risultato particolarmente esposto ai casi di esposizione di dati, mentre gli enti locali sono stati bersaglio soprattutto di attacchi DDoS. Nel settore manifatturiero hanno invece prevalso le campagne di phishing.
Gli attacchi ransomware hanno colpito principalmente le aziende manifatturiere, il commercio al dettaglio e il settore tecnologico. Secondo l’ACN, i principali vettori di compromissione restano l’utilizzo di credenziali sottratte e l’accesso tramite servizi remoti non adeguatamente protetti. La posta elettronica continua infatti a rappresentare il principale punto di ingresso per gli attaccanti.
Sul fronte della prevenzione, il CSIRT Italia ha inviato 3.424 comunicazioni di allerta a pubbliche amministrazioni e imprese per segnalare quasi 12 mila servizi esposti a rischio su Internet. Inoltre, attraverso l’analisi di malware specializzati nel furto di credenziali, sono stati individuati 175 account potenzialmente compromessi appartenenti a soggetti istituzionali.
Particolarmente intensa anche l’attività di monitoraggio delle vulnerabilità informatiche. A maggio sono state censite 7.003 nuove vulnerabilità (CVE), oltre mille in più rispetto ad aprile. Tra quelle considerate più critiche figurano alcune falle che interessano software e piattaforme ampiamente utilizzati in ambito aziendale e infrastrutturale, come Exim, Cisco Catalyst SD-WAN, Apache HTTP Server e diversi prodotti Ubiquiti UniFi OS.
Nel complesso, l’Agenzia sottolinea come il panorama delle minacce continui a essere caratterizzato dall’abuso delle identità digitali, dallo sfruttamento di vulnerabilità note e dagli effetti sempre più rilevanti delle compromissioni che coinvolgono fornitori tecnologici e catene di fornitura digitali.