Check Point Research: a febbraio 2026 i volumi di attacco restano ai massimi storici. In Italia il 2,4% degli incidenti ransomware globali; la GenAI amplifica il rischio di data leakage.
Autore: Redazione SecurityOpenLab
A febbraio, in Italia, le organizzazioni hanno subìto in media 2.507 attacchi informatici a settimana: +3% rispetto a gennaio 2025 e +20,2% rispetto alla media globale di 2.086 attacchi settimanali. A livello mondiale, la crescita anno su anno si attesta al 9,6%, mentre il confronto con gennaio 2026 mostra una sostanziale stabilità (-0,2%). Sono i dati del Global Threat Intelligence Report di febbraio 2026 pubblicato da Check Point Research, che fotografa un andamento dei volumi di attacco che si mantiene stabilmente ai massimi storici, nonostante una contrazione dell'attività ransomware rispetto allo stesso periodo del 2025.
Il quadro che ne emerge è quello di una pressione strutturale, con gli attaccanti che mantengono un ritmo operativo elevato grazie all'automazione data dall’AI e dall’espansione della superficie d’attacco data dall'adozione enterprise della GenAI. Sul fronte dei settori più colpiti a livello globale, l’education si conferma in cima alla classifica, con una media di 4.749 attacchi settimanali per organizzazione (+7% anno su anno). L’ampia platea di utenti, gli ambienti ad accesso aperto e le risorse di sicurezza limitate continuano a rendere le istituzioni educative particolarmente attrattive per i threat actor.
Al secondo posto si posiziona la pubblica amministrazione, con 2.714 attacchi settimanali medi per organizzazione (+2% anno su anno): nonostante una crescita più moderata, gli enti pubblici restano un bersaglio costante per via dei servizi mission-critical e dell'elevato valore dei dati gestiti. Le telecomunicazioni occupano il terzo posto con 2.699 attacchi settimanali medi (+6% anno su anno), in un contesto in cui la dipendenza crescente dalla connettività digitale, dall'infrastruttura 5G e dai servizi cloud rende i provider telco obiettivi rilevanti per chi si è posto l’obiettivo di causare interruzioni su larga scala o accesso tramite le dipendenze nella supply chain.
Per quanto riguarda il dato italiano sul ransomware, l'Italia ha registrato nel mese di febbraio il 2,4% degli incidenti rilevati a livello mondiale, posizionandosi alla pari di Brasile, Australia e Francia nella classifica per paese. Sempre in Italia, i settori più colpiti dal ransomware sono PA, media e intrattenimento, e telecomunicazioni. A livello globale, nel mese di febbraio sono stati segnalati 629 attacchi ransomware (-32% anno su anno) ma il dato fortemente positivo è falsato da una campagna di portata eccezionale condotta a febbraio 2025 dal gruppo Clop. A netto di quell'evento, l'attività ransomware risulta sostanzialmente stabile.
L’analisi per regione vede il Nord America come l’area maggiormente colpita, con il 57% degli incidenti ransomware segnalati. Seguono Europa e APAC, entrambe al 17%. Sul fronte dei settori più colpiti da ransomware, i business services guidano la classifica con il 37% delle vittime, seguiti dai beni e servizi di consumo (13%) e dal manifatturiero industriale (9%): i primi tre settori rappresentano insieme il 59% degli incidenti segnalati, a conferma della tendenza degli attaccanti a concentrarsi su comparti dove il fermo operativo e l'esposizione dei dati si traducono direttamente in danno economico e reputazionale.
Poche le novità sul fronte dei gruppi più attivi. Anche a febbraio 2026 il RaaS Qilin guida la classifica globale con il 15% degli attacchi pubblicati, seguito da Clop con il 13% degli attacchi. Al terzo posto emerge The Gentlemen, responsabile dell'11% degli attacchi e protagonista di un raddoppio del numero di vittime rispetto al mese precedente, segnale di una rapida scalabilità operativa. Si tratta di un gruppo relativamente nuovo, osservato per la prima volta nel 2025, che applica il classico modulo della doppia estorsione. Il ransomware è scritto prevalentemente in Go e include varianti per Windows, Linux e ambienti ESXi; richiede un parametro password per l'esecuzione, per limitare i deployment accidentali e l'esposizione in ambienti di analisi. Il gruppo impiega tecniche living-off-the-land per il movimento laterale e l'escalation dei privilegi e l'evasione della detection. Complessivamente, nel mese di febbraio sono stati 49 i diversi gruppi ransomware che hanno colpito pubblicamente organizzazioni in tutto il mondo, a testimonianza della vastità e della resilienza di questo ecosistema criminale.
Un elemento trasversale a minacce, gruppi, nazionalità e settori è la GenAI, con il rischio di esposizione dei dati che l'adozione enterprise di questi strumenti continua a introdurre. Nel mese di febbraio, 1 prompt su 31 generati negli strumenti GenAI aziendali ha presentato un rischio elevato di data leakage di dati sensibili; l'88% delle organizzazioni che utilizzano regolarmente strumenti GenAI è stato impattato da questo rischio. Un ulteriore 16% dei prompt conteneva informazioni potenzialmente sensibili.
Le imprese hanno utilizzato in media 11 diversi strumenti GenAI; ogni utente enterprise ha generato mediamente 62 prompt al mese. Sebbene i volumi complessivi di prompt siano leggermente diminuiti rispetto a gennaio, la persistenza delle interazioni ad alto rischio indica lacune continue nella governance e nella visibilità. In altri termini, l’assenza di controlli centralizzati e di policy coerenti ha lasciato le organizzazioni esposte a leak di credenziali, divulgazione di dati proprietari, condivisione impropria di documenti interni ed esposizione involontaria nella supply chain.