Nel mese di gennaio 2026, l’Agenzia per la Cybersicurezza nazionale ha registrato più eventi cyber ma meno incidenti rispetto a dicembre.

In Italia, “nel mese di gennaio 2026 c’è stata la registrazione di 225 eventi cyber, in aumento del 42% rispetto ai 158 rilevati a dicembre“. Lo ha scritto l’Agenzia Nazionale per la Cybersicurezza (ACN) nel suo ultimo Operational Summary. C’è stata una continuità per la diminuzione del numero degli incidenti, con 39 casi, “il 13% in meno rispetto a dicembre“.

“La crescita degli eventi“, sottolinea l’Agenzia, “è riconducibile sia alla naturale oscillazione dei fenomeni monitorati sia, soprattutto, all’incremento di circa il 75% delle notifiche ricevute dal CSIRT Italia“. In quest’ultimo caso si tratta di una conseguenza relativa all’entrata in vigore dei nuovi obblighi previsti dal Decreto legislativo n. 138/2024.

Gli eventi cyber hanno interessato soprattutto tre settori:

il Manifatturiero.

Il Tecnologico.

Il Sanitario.

Più nel dettaglio, il comparto manifatturiero è stato colpito prevalentemente da ransomware e compromissioni di caselle e-mail. Dall’altro lato, il settore tecnologico si è confrontato soprattutto con malware e intrusioni, con quello sanitario da ransomware ed esposizioni di dati.

Vettori d’attacco e principali minacce cyber

Al netto della diminuzione degli incidenti, la totalità dei 225 eventi cyber ha interessato 239 soggetti con alcuni vettori di attacco principali, che in gennaio sono stati:

le e-mail.

L’utilizzo di account validi.

Lo sfruttamento di vulnerabilità note.

In termini di minacce particolarmente evidenti, il brand abuse ha rappresentato la principale di queste. “Tale fenomeno comprende pratiche fraudolente volte a sfruttare notorietà e reputazione di marchi riconosciuti per finalità illecite“.

In stretta correlazione, il phishing si è confermato come “seconda minaccia più significativa“. Parallelamente, l’Agenzia ha osservato un incremento delle attività di scansione automatizzata di credenziali. Queste attività servono all’individuazione di password deboli oppure di profili impropriamente configurati ed esposti su sistemi informatici.

L’ACN ha poi sottolineato: “Per quanto concerne i fenomeni di hacktivism, gli eventi riconducibili a tale matrice hanno rappresentato circa il 4% del totale degli eventi rilevanti. Vi è così stata una diminuzione in confronto con la quota del 10% registrata a dicembre“.

Le comunicazioni di CSIRT Italia

A gennaio 2026 sono state pubblicate 5.144 nuove CVE, presentandosi in diminuzione (−491) rispetto a dicembre. Di queste, 731 presentano almeno un Proof of Concept (PoC), in diminuzione (−24), e per 7 CVE è stato rilevato lo sfruttamento attivo, anche in questo caso in diminuzione (−7) rispetto a dicembre.

Sul fronte del monitoraggio proattivo della superficie esposta dei soggetti nazionali, nel mese di gennaio 2026 il CSIRT Italia ha inviato 1.010 comunicazioni di allertamento. In questo caso le comunicazioni erano dirette a pubbliche amministrazioni e imprese appartenenti alla constituency, relative all’esposizione su Internet di 1.409 servizi a rischio.

L’analisi dei log provenienti da malware di tipo infostealer ha inoltre consentito di individuare 17 account potenzialmente compromessi, afferenti a soggetti istituzionali, prontamente allertati.

Complessivamente, le comunicazioni dirette effettuate dal CSIRT Italia per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni e imprese italiane sono state 3.909. In questo settore numeri in crescita rispetto al mese precedente, a conferma dell’intensificazione dell’attività di prevenzione, supporto e gestione delle minacce cibernetiche a livello nazionale.

Ransomware e DDoS

A gennaio 2026, il 16% degli attacchi ransomware ha colpito soggetti critici, con un 48% che ha colpito soggetti a media criticità ed il restante 36% ha coinvolto altri soggetti a criticità minore.

Sempre nell’arco dei 31 giorni in esame, c’è stata l’individuazione di 5 rivendicazioni di attacchi DDoS in danno di soggetti italiani.

Per approfondire

Leggi l’Operational Summary di gennaio 2026 in PDF .

. Consulta il report del 2° semestre 2025 in PDF .

. Leggi “ACN, adottata la nuova tassonomia per attuare l’obbligo di notifica degli incidenti cyber“.

Seguici anche sul nostro canale WhatsApp