Più pressione offensiva, ma difese più efficaci. È la sintesi del Threat Intelligence Report  dell'Osservatorio Cybersecurity di Exprivia relativo al primo trimestre 2026, da cui si apprende che tra gennaio e marzo in Italia sono stati registrati 1.207 fenomeni complessivi tra attacchi, incidenti e violazioni di privacy (+40% rispetto allo stesso periodo del 2025 e quarto trimestre consecutivo al di sopra delle 1.000 unità). Nel dettaglio, l’Osservatorio ha annotato 1.043 attacchi, 129 incidenti (ossia attacchi che hanno causato danni perché non sono stati bloccati per tempo) e 35 violazioni della privacy.

Rispetto al primo trimestre 2025, gli attacchi sono aumentati di 413 unità, ma gli incidenti sono diminuiti di 88 casi, passando da 217 a 129 (-40%). Per Exprivia questo è il segnale più rilevante del fatto che gli investimenti in sicurezza e gli adeguamenti normativi degli ultimi due anni stanno producendo risultati misurabili.

Sul piano geografico, la novità rilevante è l'omogeneità della distribuzione: il gap storico tra Nord e Sud si è ridotto a poche decine di casi in termini assoluti, con Nord a 1.144 attacchi, il Centro a 1.120 e Sud a 1.097 fenomeni. Rapportato alla popolazione, però, il Centro Italia risulta l'area proporzionalmente più esposta, con 96 casi per milione di abitanti, più del doppio del Nord, che si ferma a 42.

La distribuzione settoriale riflette una logica di monetizzazione diretta. Il comparto Finance assorbe il 43% dei fenomeni rilevati nel trimestre e si conferma il bersaglio principale per via dell'elevato valore economico delle informazioni trattate. Seguono Software/Hardware con circa il 25% e Retail con il 10%. La Pubblica Amministrazione si attesta intorno al 7%, che è un dato comunque significativo considerando la mole di dati sensibili che custodisce.

Sul fronte delle tecniche di attacco, il phishing e il social engineering totalizzano 732 casi, quasi il triplo rispetto al primo trimestre del 2025 (281 casi). È il dato che più di ogni altro spiega la contrapposizione fra attacchi in crescita e incidenti in calo: le campagne aumentano in volume ma vengono intercettate con maggiore efficienza. L'AI generativa è coinvolta nel 41% degli eventi rilevati (in lieve calo rispetto al picco del 44% del secondo trimestre 2025). Il malware conta 372 casi e tra le famiglie più diffuse ci sono i RAT (Remote Access Trojan) pari a oltre il 42% del totale, seguiti da infostealer (77 casi) e ransomware (66 casi), in un mix orientato ad accesso persistente, furto di credenziali ed estorsione.

Il furto di dati si conferma la categoria di danno prevalente con 1.053 occorrenze, a conferma del valore strategico che le informazioni hanno assunto per il cybercrime. Il danno economico diretto si ferma a 66 casi, l'interruzione di servizi a 25. Un dettaglio indicativo del report è quello relativo al quantum computing: il 9% degli incidenti rilevati (rispetto all'8,5% del trimestre precedente) presenta caratteristiche riconducibili alla minaccia quantistica, a conferma del fatto che la strategia harvest now, decrypt later non è più solo un rischio teorico.

Ultimo ma non meno importante, l'analisi del perimetro digitale ha identificato oltre 12 milioni di indirizzi IPv4 connessi, di cui circa 88.000 riferibili a dispositivi IoT specifici. Le telecamere si confermano i dispositivi più critici: il 31% di quelle censite presenta vulnerabilità. I dispositivi medicali e i PLC industriali seguono entrambi al 29%.