Nel mese di maggio 2026 l’Italia è entrata nel mirino di una campagna che, secondo il rapporto mensile di Horus, la piattaforma di Cyber Threat Intelligence AI-driven di Netgroup, ha visto il collettivo filorusso NoName057(16) rivendicare attacchi contro enti locali, porti, compagnie assicurative ed infrastrutture critiche nazionali. Il quadro si inserisce in un contesto più ampio e molto più pesante: il cyberspazio globale ha superato quota 116.000 attacchi informatici, con il ransomware ancora in testa alla minaccia.
In Italia gli episodi censiti sono stati oltre 2600, valore che colloca il Paese al quarto posto nella graduatoria mondiale. Davanti compaiono gli Stati Uniti, con oltre 53.000 attacchi, la Germania con oltre 3000 e la Francia con oltre 2800. A completare la classifica figurano Spagna, Canada e Regno Unito.
La tipologia più diffusa resta il ransomware, con 73.000 casi pari al 63% del totale. Si tratta del meccanismo che blocca o crittografa i dati delle vittime in cambio di un riscatto, ma il modello oggi più ricorrente è quello della “doppia estorsione”: alla cifratura dei sistemi si affianca la minaccia di divulgare i dati sottratti, aumentando la pressione sulle organizzazioni colpite. Il rapporto segnala anche una crescita continua dei data leak e della compravendita di credenziali e informazioni riservate su dark web e forum clandestini.
Quanto ai settori più esposti, il manifatturiero guida la classifica con quasi 30.000 attacchi, seguono retail, tecnologia e sanità. Particolarmente marcato l’aumento degli episodi contro l’istruzione, che supera 9600 attacchi in un solo mese: università e centri di ricerca risultano bersagli appetibili per la presenza di dati sensibili, come brevetti, ricerche, anagrafi di studenti e docenti, e per infrastrutture informatiche spesso vulnerabili. In rialzo anche le offensive contro i comparti legale e governativo.
Il dossier di Horus evidenzia inoltre la crescente sovrapposizione tra criminalità informatica e tensione geopolitica. NoName057(16), attivo in diversi Paesi europei con finalità esplicitamente destabilizzanti, ha intensificato le proprie campagne contro l’Italia in coincidenza con il dibattito pubblico sul sostegno all’Ucraina. Il monitoraggio continuo di fonti Osint, dark web e deep web, insieme alle capacità predittive basate sull’intelligenza artificiale della piattaforma, ha consentito di seguire queste attività in tempo reale e di individuare i vettori d’attacco prima che producessero danni sistemici.
“Il dato di maggio conferma che il cyber è ormai un dominio stabile del confronto globale. Non si tratta di singoli episodi, ma di un ecosistema strutturato in cui criminalità organizzata, tensioni geopolitiche e hacktivismo si intrecciano con logiche industriali. La vera evoluzione è nella capacità di colpire più settori in parallelo, con tecniche sempre più sofisticate e accessibili”, dichiara Giuseppe Mocerino, presidente di Netgroup.
“Per imprese ed istituzioni questo significa passare definitivamente da una logica difensiva ad una di intelligence permanente: monitorare, correlare i segnali ed anticipare le minacce. Le superfici d'attacco restano troppo ampie, soprattutto nelle filiere energetica, manifatturiera e logistico-finanziaria. Nessun settore può permettersi di considerarsi al riparo”, aggiunge il presidente.
“Il livello di rischio nei prossimi mesi resta elevato. Tre le tendenze da tenere sotto osservazione: la crescita degli attacchi ad istruzione e ricerca, l'uso dell'intelligenza artificiale come strumento offensivo, e il consolidamento dell'Italia come bersaglio dichiarato. Serve un salto di qualità nella risposta, con maggiore condivisione delle informazioni tra pubblico e privato ed investimenti adeguati in difesa avanzata”, conclude Mocerino.