A marzo 2026, le organizzazioni italiane hanno subìto in media 2.424 attacchi informatici a settimana, superiore del 21,5% rispetto alla media globale di 1.995 attacchi settimanali. È quanto emerge dal Global Threat Intelligence Report di marzo 2026 pubblicato da Check Point Research, secondo cui i volumi mondiali mostrano una contrazione del 5% anno su anno e del 4,36% rispetto a febbraio 2026. Dati che Check Point interpreta come una stabilizzazione di breve termine; in altre parole, chi attacca ridistribuisce le campagne, testa nuovi vettori e sfrutta la superficie digitale in espansione delle organizzazioni.

Sul piano italiano, i settori più colpiti nel mese sono la pubblica amministrazione, i beni e servizi al pubblico e l'industria. Il dato sulla PA è coerente con il trend strutturale già documentato nel report annuale Check Point sull'Italia, in cui la PA figurava con 4.764 attacchi settimanali, più del doppio della media nazionale.

A livello globale il settore dell'istruzione rimane il più colpito, con una media di 4.632 attacchi settimanali per organizzazione (-6% anno su anno); seguono gli enti governativi con 2.582 attacchi (-12%) e le telecomunicazioni con 2.554 attacchi (-10%). Il dato da tenere d'occhio è quello dell'ospitalità, viaggi e tempo libero, che registra un aumento degli attacchi del 30% anno su anno: un incremento stagionale tipico del periodo primaverile-estivo, in cui la crescita delle transazioni digitali e la dipendenza da fornitori terzi ampliano la superficie d'attacco.

Sul fronte regionale, l'America Latina ha fatto registrare il volume di attacchi più alto con una media di 3.054 attacchi settimanali per organizzazione (+9% anno su anno), seguita dall'APAC a 3.026 (-4%). L'Europa si è attestata a 1.647 attacchi settimanali, con una riduzione del 7% rispetto a marzo 2025.

Il capitolo ransomware

Il ransomware è il fronte più preoccupante del mese: a marzo sono stati denunciati pubblicamente 672 attacchi, in calo dell'8% anno su anno, ma in crescita del 7% rispetto a febbraio 2026. Un segnale di rinnovato slancio operativo che si inserisce nel trend di lungo periodo analizzato in precedenti report: l'ecosistema non si sgonfia, cambia forma.

L'Italia si posiziona sesta nella classifica globale degli attacchi ransomware per paese, con il 3,4% degli incidenti rilevati a livello mondiale nel mese di riferimento. I settori più colpiti in Italia dal ransomware sono gli stessi già emersi come i più attaccati in generale: PA, beni e servizi al pubblico, industriale. A livello geografico, il Nord America concentra il 55% degli incidenti ransomware globali, ma l'Europa ha fatto registrare un balzo significativo, passando dal 17% di febbraio al 24% di marzo: un'accelerazione che merita attenzione.

Per settore, i business services guidano con il 35% delle vittime, seguiti da beni e servizi di consumo (14%) e produzione industriale (13%): i tre comparti insieme coprono il 61% degli incidenti. L'obiettivo degli attaccanti è coerente: settori dove il fermo operativo si traduce immediatamente in perdita economica e pressione a pagare il riscatto.

Sul fronte dei gruppi più attivi, marzo conferma il dominio di Qilin con il 20% degli attacchi segnalati, seguito da Akira con il 12% e DragonForce con l'8%. Questi tre attori da soli coprono il 40% degli incidenti, ma il panorama resta frammentato: in tutto, 47 diversi gruppi ransomware hanno colpito organizzazioni nel mondo durante il mese. La combinazione di concentrazione al vertice e proliferazione nella coda lunga è il segno di un ecosistema RaaS maturo, in cui le piattaforme consolidate crescono per affiliati e funzionalità mentre una costellazione di operatori minori mantiene la pressione su tutti i settori.

GenAI, il rischio invisibile

Il report di marzo conferma anche l'accelerazione del rischio di esposizione dei dati attraverso l'uso enterprise della GenAI. 1 prompt su 28 inviati da ambienti aziendali presentava un alto rischio di data leakage, con un impatto sull'91% delle organizzazioni che utilizzano regolarmente strumenti di GenAI. Un ulteriore 17% dei prompt conteneva informazioni potenzialmente sensibili.

A marzo le organizzazioni hanno utilizzato in media 9 diversi strumenti GenAI, con ogni utente che ha generato mediamente 78 prompt al mese: un'integrazione nei workflow quotidiani che spesso supera i controlli di governance e sicurezza. Il rischio non è teorico: credenziali, dati proprietari, documenti interni e informazioni di supply chain finiscono fuori perimetro senza che avvenga alcuna violazione convenzionale. È il problema della shadow AI che richiede valutazioni e azioni di contenimento mirate.