Nel febbraio delle Olimpiadi il boom dei cyber attacchi rilevati: cosa c’è dietro

ROMA. Nel febbraio contrassegnato dalle Olimpiadi invernali di Milano-Cortina sono pressoché raddoppiate le cyberminacce: 436 (con un «aumento del 94% rispetto alle 225 di gennaio»), in crescita del 60% a paragone del mese precedente anche il numero di incidenti (174). Lo dice l’ultimo report dell’Agenzia per la Cybersicurezza Nazionale (Acn), che però implicitamente invita a non farsi prendere dal panico: gli incrementi nel numero di eventi e incidenti di gennaio e febbraio 2026 vengono attribuiti principalmente agi effetti della attuazione della Direttiva Nis, che «ha introdotto nuovi obblighi di notifica per migliaia di soggetti italiani, a partire proprio da inizio 2026». In proporzione, insomma, gli «impatti causati dagli incidenti sono allineati alla media dei mesi precedenti». Le principali minacce: attacchi DDoS, esposizioni di dati e compromissioni di caselle di posta elettronica.

Niente allarmismo, ma il fenomeno esiste e sta diventando una sorta di nuova normalità con la quale fare i conti: del resto, non è così con i contraccolpi dei venti di guerra che moltiplicano i focolai sul mappamondo?

Il dossier dell’Agenzia dice che in febbraio sono tre i settori più bersagliati da attacchi cyber: quello tecnologico («principalmente interessato da intrusioni tramite credenziali valide e compromissioni di caselle e-mail»), la pubblica amministrazione locale (nel mirino «prevalentemente di attacchi DDoS») e il settore manifatturiero (colpito perlopiù «da phishing e esposizione dati»).

Gli “occhi tech” di Acn hanno stanato «la campagna, rivendicata da gruppi filorussi» che he avuto il suo picco massimo nei giorni a cavallo della data della cerimonia di inaugurazione dei Giochi avendo come bersaglio principale «le strutture ricettive situate nei comprensori che ospitavano le competizioni», oltre a «soggetti della pubblica amministrazione centrale e locale e operatori del settore dei trasporti». Ma in realtà l’esito è stato «complessivamente limitato», tutt’al più dimostrativo (o come test delle abilità reattive): «solo il 6% degli eventi ha determinato l’indisponibilità, comunque di natura temporanea,  dei siti web oggetto dell’attacco». Quanto agli attacchi ransomware, hanno preso di mira «prevalentemente gli stessi settori, con vettori di compromissione – informa l’Acn – riconducibili all’utilizzo di credenziali già compromesse e allo sfruttamento di servizi di accesso remoto non adeguatamente configurati».

C’è anche la dimensione del versante della prevenzione con le attività di monitoraggio proattivo: il Csirt Italia – una squadra specializzata nella “difesa” della tutela informatica – rende noto di aver «inviato 868 comunicazioni di allertamento relative a 1.084 servizi esposti su Internet e potenzialmente vulnerabili». Dall’analisi di log derivanti da malware di tipo infostealer è stato possibile «individuare 12 account riconducibili a soggetti istituzionali potenzialmente compromessi, tutti tempestivamente segnalati». Quali i principali vettori di attacco? Sempre lì si casca: le e-mail, l’utilizzo di account validi e lo sfruttamento di vulnerabilità note.

Il dossier dell’Agenzia per la Cybersicurezza nazionale indica che «a febbraio sono state pubblicate 4.807 nuove vulnerabilità (Cve)»: si registra «una lieve diminuzione rispetto a gennaio, ma con un aumento dei casi corredati da proof of concept e di quelli già oggetto di sfruttamento attivo». Complessivamente, nello scorso mese di febbraio il Csirt Italia ha «effettuato 4.650 comunicazioni dirette a pubbliche amministrazioni e imprese, in aumento rispetto al mese precedente, confermando un contesto di minaccia in evoluzione ma sotto costante presidio operativo».

A destra il numero delle minacce tipo per tipo nella lista delle prime 15. A sinistra il raffronto con la media del semestre precedente e in percentuale la differenza rispetto a quel dato

Queste tabelle sono tratte dall’ultimo report dell’Agenzia per la Cybersicurezza Nazionale