Ad aprile 2026 calano gli eventi e gli incidenti cyber registrati in Italia. Lo certifica l'Agenzia per la Cybersicurezza Nazionale (ACN) nel suo Operational Summary mensile. Ma leggere questo dato come un segnale di distensione sarebbe un errore: il calo riflette un assestamento fisiologico dopo i picchi dei mesi precedenti, mentre il livello di minaccia rimane elevato e il sistema di obblighi NIS2 è pienamente operativo.

Come consulenti NIS2, condividiamo l'analisi di questi dati perché leggere correttamente i numeri dell'ACN fa parte di una governance della sicurezza informatica matura.

I numeri chiave di aprile 2026

265 Eventi cyber ▼ 39% vs marzo
174 Incidenti ▼ 39% vs marzo
7.229 Comunicazioni CSIRT ▲ lieve aumento
2.212 Servizi a rischio allertati ▼ vs 3.340 marzo
5.885 Nuove CVE ▼ lieve calo vs marzo
1.251 CVE con PoC exploit pubblicamente disponibili
📌 Perché calano i numeri? L'ACN lo chiarisce esplicitamente: si tratta di "una prima fase di assestamento successiva all'ampliamento della platea dei soggetti obbligati alla notifica". Non meno attacchi, ma una nuova baseline di visibilità che si stabilizza dopo il picco iniziale NIS2.

Il trend 2026: quattro mesi a confronto

Per capire il valore del dato di aprile è indispensabile il contesto dei mesi precedenti. La serie storica del 2026 racconta l'impatto progressivo dell'entrata in vigore degli obblighi di notifica NIS2.

Eventi e Incidenti Cyber in Italia — Gen/Apr 2026 (fonte: ACN Operational Summary)
0 100 200 300 400+ Gennaio 225 39 Febbraio 436 174 Marzo 436 313 Aprile 265 174
Eventi cyber
Incidenti (impatto confermato)
Incidenti (picco – marzo)

Tabella comparativa: Gen–Apr 2026

Mese Eventi Δ vs mese prec. Incidenti Δ vs mese prec. Comm. CSIRT Nuove CVE
Gennaio 2026 225 +42% 39 –13% 1.010 n.d.
Febbraio 2026 436 +94% 174 +60% 4.650 4.807
Marzo 2026 436 stabile 313 +81% 7.216 6.192
Aprile 2026 265 –39% 174 –39% 7.229 5.885

Fonte: Operational Summary ACN mensile. La comunicazione CSIRT di gennaio include solo allertamenti proattivi (1.010); da febbraio il dato comprende tutte le comunicazioni dirette.

Le minacce prevalenti ad aprile 2026

Tipologie di attacco

Le principali minacce rilevate nel mese secondo l'ACN:

  • Esposizione di dati — la tipologia più diffusa, prevalente nel settore manifatturiero
  • Campagne di phishing — con la posta elettronica confermata come principale vettore di accesso iniziale
  • Compromissioni di caselle e-mail — prevalenti nei comparti tecnologico e telecomunicazioni
  • Attacchi ransomware — concentrati nei settori manifatturiero, trasporti e società private

Settori più colpiti

Settore Minacce prevalenti Vettore principale
Manifatturiero Esposizione dati, ransomware Credenziali compromesse, accesso remoto
Tecnologico / Telecomunicazioni Compromissione caselle e-mail Phishing, account validi
Pubblica Amministrazione Centrale Esposizione dati, phishing Posta elettronica
Trasporti Ransomware Servizi di accesso remoto non configurati
Società private (altri settori) Ransomware Credenziali valide già compromesse

I vettori di compromissione

⚠ Due vettori dominano il quadro — entrambi prevenibili
  1. Credenziali valide già compromesse — account rubati tramite infostealer o violazioni pregresse, riutilizzati per accedere ai sistemi
  2. Servizi di accesso remoto non adeguatamente configurati — VPN, RDP e portali esposti senza protezioni sufficienti

La loro presenza persistente nei report mensili ACN è un segnale inequivocabile: molte organizzazioni non hanno ancora implementato controlli di base come l'autenticazione multi-fattore e la revisione periodica delle credenziali privilegiate.

Il monitoraggio proattivo del CSIRT Italia

Parallelamente alla gestione degli incidenti, il CSIRT Italia monitora attivamente la superficie di attacco esposta ad aprile 2026:

1.500 Comunicazioni allertamento su servizi esposti
2.212 Servizi a rischio esposti su Internet
7 Account istituzionali compromessi da infostealer
7.229 Comunicazioni totali a PA e imprese

Nonostante il calo degli incidenti registrati, il volume complessivo di comunicazioni CSIRT è in lieve aumento rispetto a marzo (7.229 vs 7.216). Il sistema di allertamento proattivo sta intercettando i rischi prima che si trasformino in incidenti. Per chi riceve queste comunicazioni, la risposta tempestiva non è opzionale.

Le vulnerabilità: 5.885 nuove CVE ad aprile

Indicatore CVE Febbraio 2026 Marzo 2026 Aprile 2026
Nuove CVE pubblicate 4.807 6.192 5.885
CVE con Proof of Concept 1.109 1.281 1.251
CVE con sfruttamento attivo 13 7 10

Vulnerabilità critiche segnalate dal CSIRT Italia ad aprile 2026

Prodotto Tipologia di rischio Livello
Fortinet FortiClient EMS Esecuzione di codice da remoto (RCE) Critico
Apache Tomcat Esecuzione di codice da remoto (RCE) Critico
Red Hat Enterprise Linux 10 Accesso non autorizzato a informazioni sensibili Alto
🔴 Attenzione: 1.251 CVE con exploit pubblicamente disponibile Per queste vulnerabilità esiste già codice di attacco funzionante in circolazione. La finestra tra divulgazione e sfruttamento attivo si misura in ore. Per i soggetti NIS2, la gestione delle vulnerabilità è una misura di sicurezza di base prevista dalla normativa, non una best practice opzionale.

Le implicazioni per le organizzazioni NIS2

Il perimetro si è ampliato: verificate il vostro status

A metà aprile 2026, ACN ha trasmesso le comunicazioni di inclusione nel perimetro NIS a oltre 20.000 organizzazioni, di cui oltre 5.000 qualificate come essenziali. Se avete ricevuto questa comunicazione, siete formalmente soggetti agli obblighi. Se non siete certi del vostro status, è il momento di verificarlo sulla piattaforma ACN.

Le quattro categorie di incidenti soggetti a notifica

Categoria Descrizione Soggetti
IS-1 Perdita di riservatezza verso l'esterno di dati digitali Importanti + Essenziali
IS-2 Perdita di integrità con impatto verso l'esterno Importanti + Essenziali
IS-3 Violazione dei livelli di servizio attesi (DE.CM-01) Importanti + Essenziali
IS-4 Accesso non autorizzato o con abuso dei privilegi Solo Essenziali

La timeline di notifica (obbligatoria)

Evidenza

T0 — Acquisizione evidenza dell'incidente

Il clock inizia da questo momento, non dalla scoperta tardiva. Cruciale avere processi interni di rilevazione.

+24 ore

Pre-notifica obbligatoria (Early Warning)

Segnalazione tempestiva al CSIRT Italia del sospetto di evento malevolo o con potenziale impatto transfrontaliero.

+72 ore

Notifica completa dell'incidente

Documentazione dettagliata dell'evento, degli impatti e delle azioni intraprese.

31 ott 2026

Inizio fase ispettiva ACN

Da questa data ACN può avviare verifiche: richieste documentali, valutazione misure tecniche/organizzative, audit on site.

30 giu 2026

⚠ Scadenza categorizzazione attività e servizi

I soggetti NIS devono completare la categorizzazione sulla piattaforma ACN entro questa data (Determinazione 155238 del 20 aprile 2026).

Cosa fare adesso: la checklist operativa

Sulla base del quadro ACN di aprile 2026, queste sono le priorità operative per le organizzazioni NIS2:

1
Verificate il vostro status NIS Avete ricevuto la comunicazione di inclusione di aprile 2026? Siete nell'elenco essenziali o importanti? Controllate sulla piattaforma ACN.
2
Completate la categorizzazione entro il 30 giugno 2026 Scadenza non prorogabile. La Determinazione 155238 del 20 aprile 2026 definisce le dieci macro-aree su cui classificare attività e servizi (impatto minimo/basso/medio/alto).
3
Auditare le credenziali e abilitare l'MFA Le credenziali compromesse sono il primo vettore di accesso. Revisione account privilegiati, disabilitazione accessi inutilizzati, MFA ovunque.
4
Mettere in sicurezza i servizi di accesso remoto VPN, RDP, portali di accesso: verificare configurazioni, limitare esposizione su Internet, monitorare i log di accesso.
5
Applicare le patch critiche senza ritardi Fortinet FortiClient EMS, Apache Tomcat e RHEL 10 sono tra le priorità di aprile. Con 1.251 CVE con PoC disponibili, la finestra di esposizione è minima.
6
Testare il processo di notifica incidenti Sapete riconoscere un IS-1, IS-2, IS-3 o IS-4? Chi firma la notifica? È disponibile h24? Avete la procedura scritta e testata?

Conclusione

I dati di aprile 2026 non segnalano una riduzione della minaccia. Segnalano che il sistema di monitoraggio italiano si sta assestando su una nuova normalità — più trasparente, più esigente, e pienamente operativa. Il volume di comunicazioni CSIRT rimane alto (7.229), il numero di CVE con exploit pubblico è rilevante (1.251) e la fase ispettiva di ottobre 2026 si avvicina.

Per le organizzazioni soggette a NIS2, il messaggio è chiaro: la finestra per completare l'adeguamento è aperta, ma non lo resterà a lungo. La conformità si dimostra con processi documentati e testati — non si improvvisa quando arriva l'audit.

💬 Avete bisogno di supporto? Se state affrontando la categorizzazione NIS2, la strutturazione del processo di notifica incidenti o l'analisi del vostro perimetro di rischio, siamo a disposizione. Lavoriamo come consulenti NIS2 con PA e aziende private.
📄
Fonti ufficiali
Operational Summary ACN — Aprile 2026 (PDF ufficiale ACN)
Serie storica: Operational Summary ACN Gennaio–Marzo 2026 (archivio ACN)
Determinazione ACN 155238 del 20 aprile 2026 — categorizzazione attività NIS