La direttiva NIS2 e le Olimpiadi Milano Cortina sono i protagonisti dell’Operational summary di ACN a febbraio 2026.

“Ma, se coglie bene l’effetto combinato NIS2–Olimpiadi, tende, a mio giudizio, almeno nell’executive summary, a sottostimare la gravità strutturale del quadro nazionale, soprattutto alla luce dell’attuale contesto geopolitico“, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

Ecco i dati dell’Agenzia confrontati con le tendenze emerse negli ultimi rapporti europei, a partire da quello italiano del Clusit 2026, e perché è ormai necessario cambiare la narrativa.

Dobbiamo trasmettere una corretta percezione del rischio cyber a tutti.

Pesano il fattore geopolitico e il combinato NIS2–Olimpiadi

A febbraio, il consueto report mensile dell’Agenzia per la Cybersicurezza Nazionale (ACN) mette in risalto un rilevante incremento degli eventi e degli incidenti cyber in Italia, in uno scenario dove dominano l’entrata in vigore degli obblighi previsti dalla direttiva NIS2 e lo svolgimento delle olimpiadi invernali di Milano Cortina 2026.

Nel mese scorso, l’ACN ha registrato436 eventi cyber (+94% rispetto ai 225 di gennaio) e 174 incidenti (+60% rispetto al mese precedente).

A determinare la crescita sia degli eventi che degli incidenti è stata senza dubbio l’estensione della platea dei soggetti Nis2 obbligati alla notifica, che ha offerto più visibilità al fenomeno. Ma gli effetti degli incidenti sono allineati con quelli che l’Agenzia ha osservato nei mesi scorsi.

Le attività DDoS, dati esposti e caselle di posta elettronica compromissione spiccano fra le maggiori minacce cyber.

In particolare, gli attacchi DDoS si sono risvegliati in concomitanza con i Giochi olimpici invernali, con campagne attribuibili agruppi filorussi sferrati contro strutture ricettive, pubbliche amministrazioni e operatori del settore trasporti.

Complessivamente però l’impatto è stato modesto, soltanto una piccola percentuale degli eventi ha temporaneamente reso indisponibili dei servizi.

Ma, secondo Paganini, trapela troppo ottimismo dal report. Infatti, “il focus su DDoS a basso impatto e sull’allargamento della platea di notificanti suggerisce una narrativa di crescita dei numeri senza reale peggioramento del rischio, in parziale contrasto con i trend emersi negli ultimi rapporti europei e italiani”.

Il confronto con il rapporto Clusit

“Il recente rapporto Clusit – continua Paganini – mostra infatti che nel 2025 gli incidenti in Italia sono cresciuti del 42%, con un contributo nazionale pari al 9,6% del campione globale. A livello globale, l’89% degli attacchi è riconducibile a cyber crime e l’84% presenta severity High/Critical/Extreme, mentre in Italia oltre il 52% degli incidenti resta classificato come Medium Low, evidenziando un mix di sotto disclosure degli episodi più gravi e persistente vulnerabilità a campagne ‘standardizzate’”.

I comparti più colpiti nell’operational summary Acn di febbraio 2026

I settori maggiormente colpiti risultamo quello tecnologico, la pubblica amministrazione locale e il manifatturiero.

Il settore tecnologico è stato nel mirino di intrusioni attraverso credenziali valide e compromissioni e-mail. La PA locale più colpita da attacchi DDoS. Invece il manifatturiero maggiormente interessato da campagne di phishing ed esposizione di dati.

Gli attacchi ransomware hanno colpito soprattutto questi stessi settori, sfruttado come vettori d’attacco credenziali già compromesse e sfruttamento di servizi di accesso remoto non configurati ad hoc.

Tuttavia “anche la centralità dei settori Gov/Mil/LE, Manufacturing, Transportation e della tecnica malware/exploit – osserva Paganini -, nel campione Clusit non sposa il focus ACN sui DDoS a basso impatto e su metriche operative (numero di alert, comunicazioni, CVE), che rischiano di attenuare la percezione del ruolo sistemico di ransomware, sfruttamento vulnerabilità e supply chain, e attacchi alle componenti OT, oggi al centro delle principali valutazioni del rischio cibernetico da parte di aziende private e enti governativi”.

Monitoraggio proattivo

Il CSIRT Italia ha provveduto a febbraio all’invio di868 comunicazioni di allertamento riferite a 1.084 servizi esposti su Internet e potenzialmente vulnerabili.

L’analisi di log provenienti da infostealer ha inoltre permesso di ideficare 12 account attribuibili a soggetti istituzionali potenzialmente compromessi, tutti già segnalati.

I principali vettori di attacco si confermano le mail, l’uso di account validi e lo sfruttamento di vulnerabilità note.

A febbraio la pubblicazione di 4.807 nuove vulnerabilità (CVE) è in leggero calo su gennaio, ma salgono i casi accompagnati da proof of concept e di quelli già oggetto di exploit attivo.

Fra le vulnerabilità più critiche spiccano quelle di Fortinet FortiClientEMS, PostgreSQL e SolarWinds Serv-U, in grado di permettere esecuzione di codice remoto o escalation di privilegi.

Infine, il CSIRT Italia ha totalizzato 4.650 comunicazioni dirette a pubbliche amministrazioni e aziende, in aumento rispetto a gennaio, confermando un panorama di minacce in evoluzione, sebbene sotto presidio operativo.

“Pur apprezzando come sempre l’operato dell’ACN, i relativi risultati, e l’enorme sforzo profuso, ritengo sia necessario includere nelle analisi periodiche aspetti critici dell’attuale panorama delle minacce, come gli attacchi ai sistemi OT“, mette in risalto Paganini.

Infatti, “il panorama delle minacce evolve rapidamente, e con esso mi aspetto chevari la narrativa dello sforzo che gli esperti del governo compiono quotidianamente, affinché si trasferisca una corretta percezione del rischio cibernetico alla popolazione“, conclude Paganini.