Il Fortinet 2026 Global Threat Landscape Report, pubblicato il 30 aprile 2026 da FortiGuard Labs, ridisegna il quadro delle minacce informatiche globali con numeri che non lasciano spazio all’ottimismo: 640 miliardi di eventi di ricognizione, 7.831 organizzazioni colpite da ransomware (un aumento del 389% rispetto all’anno precedente) e tempi di sfruttamento delle vulnerabilità crollati a 24-48 ore. Per le aziende italiane ed europee, il messaggio è chiaro: il crimine informatico opera ora su scala industriale, con l’intelligenza artificiale che sostituisce l’intervento umano in ogni fase dell’attacco.
640 Miliardi di Attacchi: i Numeri che Definiscono il 2025
FortiGuard Labs ha monitorato il panorama globale delle minacce per tutto il 2025, e le cifre che emergono dal report 2026 descrivono un ecosistema criminale radicalmente automatizzato. Nel corso dell’anno, i sistemi di telemetria Fortinet hanno rilevato 640 miliardi di eventi di ricognizione, una cifra che testimonia quanto sistematicamente i criminali informatici mappino le superfici di attacco prima ancora di scoccare il primo colpo.
I tentativi di sfruttamento delle vulnerabilità hanno raggiunto quota 121,99 miliardi, con un incremento del 25% rispetto ai circa 97 miliardi registrati nel 2024. Nel contempo, i tentativi di brute-force sono calati del 22%, segnale che gli attaccanti stanno abbandonando le tecniche di forza bruta in favore di approcci più chirurgici: comprare credenziali rubate sul darknet piuttosto che tentare di indovinarle.
Derek Manky, Chief Security Strategist di Fortinet, ha sintetizzato la trasformazione in corso con queste parole tratte dal report: “Il rischio non è più definito dalla sofisticazione. È definito dalla velocità.” Un’affermazione che rispecchia il cambio di paradigma documentato nel report: gli attaccanti di oggi non si distinguono per la complessità tecnica degli strumenti, ma per la capacità di agire a velocità di macchina, sfruttando l’automazione per comprimere i tempi di ogni fase operativa.
La distribuzione geografica degli attacchi riflette le priorità economiche dei gruppi criminali. L’Europa occidentale, con il suo tessuto di industrie manifatturiere avanzate, piattaforme finanziarie digitali e infrastrutture critiche interconnesse, rimane uno dei bersagli più appetibili. L’Italia, settima economia mondiale, condivide questa esposizione con una struttura produttiva particolarmente vulnerabile: un manifatturiero dominato da PMI con risorse di sicurezza spesso inferiori alla media europea e una forte dipendenza da sistemi OT legacy.
Ransomware +389%: Anatomia di un’Epidemia Industrializzata
Il dato più allarmante del Fortinet 2026 Global Threat Landscape Report riguarda il ransomware: nel 2025 sono state documentate 7.831 organizzazioni vittime di estorsione, in crescita del 389% rispetto alle circa 1.600 registrate nell’anno precedente. Si tratta di un’accelerazione senza precedenti, che riflette tanto la maggiore capacità operativa dei gruppi criminali quanto la proliferazione del modello Ransomware-as-a-Service (RaaS).
Gli Stati Uniti restano il paese più colpito con 3.381 vittime, pari al 43% del totale globale. Ma l’Europa ha visto un incremento significativo degli attacchi contro manifatturiero, servizi professionali e retail. Questi tre settori hanno assorbito il volume maggiore di attacchi ransomware nel 2025. Il manifatturiero, in particolare, è diventato un bersaglio privilegiato per la sua dipendenza da sistemi OT spesso datati e difficili da aggiornare rapidamente senza interrompere la produzione.
Il meccanismo che ha reso possibile questa escalation è la convergenza tra intelligenza artificiale e mercati criminali strutturati. Come scrive Fortinet nel report: “Gli attaccanti sfruttano oggi l’IA per operare a velocità di macchina. I cicli di patch tradizionali e la risposta manuale non possono reggere il ritmo di workflow di intrusione automatizzati e industrializzati, dove le vulnerabilità vengono sfruttate in ore.”
In Italia, il fenomeno ha già prodotto vittime eccellenti. Il gruppo DragonForce, che il nostro sito ha documentato tra i più attivi del 2026 con 580 vittime globali, ha posizionato l’Italia al 5° posto tra i paesi più colpiti a livello europeo. Il settore manifatturiero del Nordest, i distretti della meccanica di precisione e le aziende della filiera automotive sono stati tra i bersagli più frequenti, con richieste di riscatto che si aggirano tra i 500.000 e i 5 milioni di euro per le realtà di medie dimensioni.
Il Collasso del Time-to-Exploit: da Giorni a Ore
Uno degli indicatori più preoccupanti del report è il crollo del cosiddetto time-to-exploit, il tempo che intercorre tra la divulgazione pubblica di una vulnerabilità e il suo sfruttamento attivo da parte degli attaccanti. Nel 2025, per le vulnerabilità critiche, questa finestra si è ridotta a 24-48 ore, rispetto a una media già allarmante di 4,76 giorni registrata nell’anno precedente.
Questo significa che le aziende hanno meno di due giorni per identificare, testare e applicare una patch dopo che una vulnerabilità critica diventa pubblica. Un termine che la maggior parte dei team di sicurezza aziendali, specie nelle PMI, non riesce a rispettare con i processi tradizionali di approvazione e testing. Fortinet documenta nel 2025 635 vulnerabilità attivamente sfruttate, a conferma che gli attaccanti non si limitano alle zero-day: puntano sistematicamente su CVE già note, ma non ancora risolte nelle organizzazioni bersaglio.
Il dato si incastra perfettamente con i numeri di Verizon, citati nel report: lo sfruttamento delle vulnerabilità è ormai il principale vettore di violazione al 31%, superando l’abuso di credenziali fermo al 13%. Un cambiamento di rotta che impone alle organizzazioni un approccio radicalmente diverso alla gestione delle patch, passando da cicli mensili o trimestrali a processi di risposta continua basati sul rischio effettivo.
La pressione normativa europea si allinea con questa realtà operativa. La Direttiva NIS2 in Italia impone la notifica degli incidenti significativi entro 24 ore dall’individuazione, con una relazione preliminare entro 72 ore. Se il time-to-exploit è di 24-48 ore, significa che un’organizzazione deve essere in grado di rilevare l’attacco, contenere il danno e avviare la notifica praticamente in parallelo. Questo richiede automazione, non processi manuali.
4,62 Miliardi di Stealer Log: l’Economia delle Credenziali Rubate
Parallelamente all’escalation del ransomware, il report documenta la crescita esplosiva del mercato delle credenziali rubate. Nel 2025, 4,62 miliardi di stealer log sono stati scambiati o condivisi sul darknet, con un incremento del 79,07% rispetto agli circa 1,7 miliardi del 2024. Gli stealer log rappresentano ora il 67% di tutta l’attività del dark web, superando la somma di combolist e credenziali trapelate da violazioni dirette.
I malware infostealer più attivi nell’alimentare questo mercato sono RedLine, Lumma e Vidar, tre famiglie di codice malevolo progettate per estrarre automaticamente credenziali, token di sessione, cookie e dati bancari dai dispositivi infetti. Lumma Stealer, in particolare, ha dimostrato una capacità di resilienza notevole: come abbiamo documentato nell’analisi della rinascita di Lumma Stealer nel 2026, dopo l’operazione di takedown coordinata che aveva compromesso quasi 400.000 dispositivi, il gruppo ha ripristinato le infrastrutture in meno di 30 giorni.
Il nesso con il ransomware è diretto: le credenziali raccolte dagli stealer vengono usate per l’accesso iniziale alle reti aziendali, eliminando la necessità di sfruttare vulnerabilità tecniche complesse. Questo spiega in parte il calo del 22% nei tentativi di brute-force: quando puoi comprare le credenziali a pochi euro sul darknet, non ha senso sprecare risorse di calcolo per indovinarle.
Il fenomeno si connette direttamente alla crisi delle credenziali documentata a livello globale. Come riporta la nostra analisi dei 16 miliardi di credenziali esposte nel 2026, il mercato del credential trafficking è ormai strutturato come un’industria, con piattaforme di acquisto, servizi di verifica delle credenziali e broker specializzati per settore. Un dataset di credenziali verificate di aziende manifatturiere italiane può valere migliaia di euro sul darknet.
Confronto con CrowdStrike: Convergenza sui Tempi di Risposta
Il Fortinet 2026 Global Threat Landscape Report non è l’unica fonte a documentare l’accelerazione delle minacce. Il CrowdStrike 2026 Global Threat Report dipinge un quadro complementare, con metriche che convergono sullo stesso messaggio: il vantaggio temporale dei difensori si sta azzerando.
| Metrica | Fortinet 2026 Report | CrowdStrike 2026 Report |
|---|---|---|
| Tentativi di exploitation (2025) | 121,99 miliardi (+25% YoY) | N/D |
| Tempo medio di breakout eCrime | N/D | 29 minuti (-65% vs 2024) |
| Caso più rapido di breakout | N/D | 27 secondi |
| Vittime ransomware (2025) | 7.831 (+389% YoY) | N/D |
| Attacchi da avversari con IA | Industrializzati, machine speed | +89% YoY |
| Attacchi senza malware | Dominanti (credential abuse) | 82% dei rilevamenti |
| Vulnerabilità sfruttate attivamente | 635 | +42% zero-day pre-disclosure |
| Time-to-exploit post-CVE | 24-48 ore (critici) | Ore o giorni |
| Stealer log sul darknet | 4,62 miliardi (+79,07%) | N/D |
| Principale vettore di accesso iniziale | Credential abuse (67% dark web) | Credential abuse (login, non intrusione) |
I dati CrowdStrike evidenziano che il tempo medio di breakout dell’eCrime, cioè il tempo tra l’accesso iniziale e il movimento laterale all’interno della rete vittima, è sceso a soli 29 minuti, con un picco di 27 secondi per il caso più rapido documentato nel 2025. Questo dato, combinato con la finestra di 24-48 ore per il time-to-exploit di Fortinet, crea uno scenario in cui ogni processo di risposta manuale è strutturalmente inadeguato.
Impatto sull’Europa: Trasporti e Infrastrutture Critiche nel Mirino
Il report Fortinet si inserisce in un contesto europeo già segnato da tensioni crescenti sulle infrastrutture critiche. Secondo l’ENISA Threat Landscape 2024, il settore dei trasporti è stato il secondo più colpito in Europa, rappresentando l’11% degli incidenti cyber totali e il 15% di quelli specificamente diretti all’UE. Per due anni consecutivi, il livello di minaccia per il settore è rimasto “sostanziale” secondo la classificazione ENISA.
È proprio su questa vulnerabilità che ENISA ha concentrato il suo più recente esercizio pan-europeo: il Cyber Europe 2026, svoltosi il 10 e 11 giugno 2026, ha simulato una perturbazione su larga scala dei sistemi ferroviari e marittimi interconnessi dell’Unione Europea. L’ottava edizione dell’esercizio, coordinata dall’agenzia europea, ha coinvolto tutti gli Stati membri in uno scenario di crisi multipla simultanea: incidenti che colpivano contemporaneamente ferrovia e navigazione in diverse nazioni, creando un ambiente di crisi complesso che richiedeva risposta coordinata.
Come abbiamo documentato nella nostra analisi del Cyber Europe 2026, l’esercizio ha coinvolto circa 5.000 esperti di sicurezza e ha rivelato le fragilità specifiche di infrastrutture che combinano sistemi OT legacy con tecnologie digitali moderne. Il report NIS360 2024 di ENISA classifica il settore marittimo nella “risk zone” di maturità-criticità, mentre quello ferroviario si trova al limite di quella zona, suggerendo che c’è margine significativo di miglioramento.
La Commissione Europea stessa ha subito un attacco informatico il 24 marzo 2026, che ha compromesso l’infrastruttura cloud che ospita la piattaforma Europa. L’incidente, documentato dal CSIS (Center for Strategic and International Studies), ha sottolineato che nessuna organizzazione, nemmeno le istituzioni europee centrali, è immune dal panorama di minacce delineato dal report Fortinet.
NIS2, DORA e Cyber Resilience Act: il Framework Europeo di Risposta
La risposta europea alla minaccia crescente si articola su tre livelli normativi che stanno progressivamente trasformando il panorama della compliance per le aziende italiane ed europee. La Direttiva NIS2, in vigore dal 17 ottobre 2024, estende gli obblighi di sicurezza informatica a circa 12.000 organizzazioni italiane, imponendo misure di gestione del rischio, notifica degli incidenti entro 24 ore e responsabilità diretta dei vertici aziendali.
Il Cyber Resilience Act (CRA), che entrerà in applicazione definitiva nel settembre 2026, estenderà ulteriormente la pressione regolatoria ai produttori di dispositivi connessi. Come documentiamo nell’analisi del Cyber Resilience Act, le sanzioni possono raggiungere i 15 milioni di euro o il 2,5% del fatturato globale. DORA, in vigore per il settore finanziario dal gennaio 2025, ha già introdotto requisiti stringenti per la resilienza operativa digitale di banche e istituzioni finanziarie.
L’articolo 20 della Direttiva NIS2 è particolarmente rilevante alla luce del report Fortinet: stabilisce che i vertici aziendali, inclusi CEO e membri del consiglio di amministrazione, devono essere formati e coinvolti attivamente nella supervisione della sicurezza informatica. Il dato che il time-to-exploit sia sceso a 24-48 ore rende questa disposizione non più un onere burocratico, ma un requisito operativo essenziale: solo strutture di governance agili possono autorizzare risposte abbastanza rapide da contenere un attacco nei tempi richiesti.
Italia: Esposizione Settoriale e Superfici di Attacco
Per l’Italia, il quadro delineato dal Fortinet 2026 Report ha implicazioni particolarmente rilevanti in ragione della struttura produttiva del paese. Il manifatturiero, identificato come il settore più colpito dal ransomware nel 2025, rappresenta circa il 15% del PIL italiano e comprende un tessuto di PMI con risorse di sicurezza informatica spesso limitate. Il “quarto capitalismo” italiano, con i suoi distretti industriali altamente specializzati, costituisce un bersaglio appetibile proprio per la concentrazione di know-how tecnico e la difficoltà di implementare patch management rigoroso su sistemi produttivi che non possono fermarsi.
Secondo i dati dell’ACN (Agenzia per la Cybersicurezza Nazionale), l’Italia ha registrato nel 2025 un aumento significativo degli incidenti segnalati, con una crescita particolare nei settori dell’energia, dei trasporti e della pubblica amministrazione. L’implementazione della NIS2 attraverso il decreto legislativo 138/2024 ha obbligato migliaia di organizzazioni a una revisione dei propri processi di sicurezza, ma la distanza tra obbligo normativo e maturità operativa rimane significativa per molte realtà.
Il report Fortinet identifica nell’abuso dell’identità digitale il vettore d’attacco dominante per le intrusioni aziendali. In un contesto come quello italiano, dove l’adozione di autenticazione multi-fattore nelle PMI rimane parziale e i sistemi di Single Sign-On spesso integrano tecnologie datate, la proliferazione degli stealer log sul darknet si traduce in un rischio concreto e immediato per decine di migliaia di aziende. Secondo il GDPR, la violazione di dati personali derivante da credenziali rubate deve essere notificata al Garante entro 72 ore: una scadenza che si sovrappone esattamente alla finestra di time-to-exploit documentata da Fortinet.
Il Ruolo dell’Intelligenza Artificiale: Arma e Superficie di Attacco
Il report Fortinet 2026 dedica ampio spazio al ruolo dell’intelligenza artificiale nella trasformazione del panorama delle minacce. “Gli attaccanti di oggi sfruttano l’IA per operare a velocità di macchina”, afferma il report, descrivendo un ecosistema in cui la ricognizione automatizzata, la weaponizzazione degli exploit e l’esecuzione degli attacchi vengono orchestrati da sistemi che non richiedono intervento umano per la maggior parte delle operazioni.
Questa trasformazione ha implicazioni profonde anche per il lato difensivo. Il CrowdStrike 2026 Global Threat Report documenta che strumenti di IA legittimi sono stati sfruttati in più di 90 organizzazioni per generare comandi malevoli e sottrarre dati sensibili. ChatGPT è stato citato nei forum criminali il 550% in più rispetto a qualsiasi altro modello di IA. La frontiera tra strumento produttivo e vettore di attacco si fa sempre più sottile.
Phil Quade, ex Chief Information Security Officer di Fortinet e già NSA official, ha commentato il trend in un’analisi relativa al report: “L’automazione non è una novità nel crimine informatico, ma la sua integrazione con modelli di linguaggio avanzati crea qualcosa di qualitativamente diverso: attaccanti che possono adattare le loro tattiche in tempo reale in base alla risposta del difensore, senza richiedere analisti umani.”
Sul fronte della difesa, la risposta all’IA offensiva richiede IA difensiva. Le piattaforme di Extended Detection and Response (XDR) di nuova generazione, integrate con modelli di machine learning per il rilevamento comportamentale anomalo, rappresentano la risposta più efficace al breakout time di 29 minuti documentato da CrowdStrike. Le organizzazioni che si affidano esclusivamente a regole statiche o a analisti SOC umani senza supporto automatizzato stanno combattendo una battaglia già persa in partenza.
Dati Chiave del Report Fortinet 2026
| Metrica | Valore 2025 | Variazione YoY | Implicazione Operativa |
|---|---|---|---|
| Eventi di ricognizione globali | 640 miliardi | N/D | Mappatura continua e sistematica delle superfici d’attacco |
| Tentativi di brute-force | 67,65 miliardi | -22% | Shift verso credential abuse: MFA è priorità |
| Tentativi di exploitation | 121,99 miliardi | +25% | Patch management automatizzato entro 24-48h |
| Vulnerabilità attivamente sfruttate | 635 CVE | N/D | Prioritizzazione basata su rischio reale, non solo CVSS |
| Organizzazioni vittima di ransomware | 7.831 | +389% | Backup immutabili e piano IR testato sono requisiti |
| Vittime USA del ransomware | 3.381 | N/D | 43% del totale; Europa in crescita rapida |
| Stealer log sul darknet | 4,62 miliardi | +79,07% | Dark web monitoring obbligatorio per le aziende NIS2 |
| Quota stealer log su dark web | 67% | N/D | Supera combolist e leak combinati |
| Time-to-exploit per CVE critici | 24-48 ore | Da 4,76 giorni | Risposta manuale strutturalmente inadeguata |
| Breakout time eCrime (CrowdStrike) | 29 minuti | -65% vs 2024 | Rilevamento e risposta automatizzati entro minuti |
Risposta del Mercato: il Settore della Sicurezza si Riorganizza
I dati del Fortinet 2026 Global Threat Landscape Report stanno avendo un impatto diretto sul mercato globale della cybersecurity. La spesa globale per la sicurezza informatica è proiettata a superare i 300 miliardi di dollari nel 2026, con una crescita accelerata nelle categorie che rispondono direttamente alle minacce documentate dal report: soluzioni di gestione dell’identità, piattaforme XDR e strumenti di Threat Intelligence automatizzati.
In Europa, il triplice impulso normativo di NIS2, DORA e Cyber Resilience Act sta creando un mercato della compliance che avvantaggia i vendor capaci di offrire soluzioni integrate e dimostrabili. Fortinet stessa, con la sua architettura Security Fabric, e CrowdStrike, con la piattaforma Falcon, sono posizionate come fornitori principali per le aziende che devono rispondere contemporaneamente alle pressioni normative e all’escalation delle minacce.
I dati sul ransomware (+389%) e sul time-to-exploit (24-48 ore) si traducono direttamente in premi assicurativi più alti e clausole di esclusione più restrittive per le polizze cyber. Secondo le stime di mercato, il segmento delle cyber assicurazioni ha raggiunto i 16 miliardi di dollari nel 2025, ma la sinistrosità crescente sta spingendo molti assicuratori a richiedere prove di conformità NIS2 e documentazione di patch management come condizione per la copertura. Organizzazioni che non possono dimostrare processi strutturati di vulnerability management rischiano di vedersi negare la copertura o applicare franchigie molto più elevate.
Anche il framework ENISA per gli esercizi di sicurezza informatica, pubblicato a febbraio 2026, risponde a questa dinamica di mercato. Come spiega la metodologia ENISA, un esercizio efficace copre sei fasi (iniziazione, progettazione, preparazione, esecuzione, valutazione e follow-up) e produce un after-action report che documenta il 100% dei risultati. Per le organizzazioni soggette a NIS2, questo tipo di documentazione è la prova concreta della governance della sicurezza richiesta dall’articolo 20 della direttiva.
Cinque Previsioni per il 2026-2027
Sulla base dei trend documentati dal Fortinet 2026 Global Threat Landscape Report e del contesto europeo, emergono cinque previsioni chiave per i prossimi 18 mesi:
1. Il mercato degli stealer log raggiungerà i 10 miliardi di record entro fine 2026. La crescita del 79% in un anno, combinata con l’adozione di IA per automatizzare la raccolta e la qualificazione delle credenziali, suggerisce che il volume potrebbe raddoppiare entro il quarto trimestre 2026. I log di qualità con credenziali aziendali verificate triplicheranno il loro valore medio sul darknet, incentivando ulteriori investimenti nell’ecosistema degli infostealer.
2. Il settore manifatturiero italiano sarà il principale bersaglio europeo del ransomware nel secondo semestre 2026. La combinazione di valore economico dei distretti industriali, penetrazione limitata delle soluzioni XDR e dipendenza da OT legacy rende il manifatturiero italiano particolarmente vulnerabile. Si prevede un aumento del 40-60% degli attacchi documentati contro aziende italiane rispetto al 2025.
3. Il Cyber Resilience Act cambierà le catene di fornitura ICT in Europa. Con l’applicazione definitiva del CRA a settembre 2026, i produttori di dispositivi connessi dovranno certificare la sicurezza del software. Questo creerà pressione significativa sulle PMI tecnologiche italiane che forniscono componenti hardware e software a OEM europei, con potenziali consolidamenti di mercato e richieste di audit di sicurezza lungo tutta la supply chain.
4. I tempi di risposta umana diventeranno il collo di bottiglia principale della difesa cyber. Con il time-to-exploit sceso a 24-48 ore e il breakout time a 29 minuti, le organizzazioni senza capacità di rilevamento e risposta automatizzata (SOC H24, XDR con playbook pre-approvati) si troveranno strutturalmente incapaci di contenere le intrusioni. Entro il 2027, la quota di attacchi non contenibili con processi manuali potrebbe superare il 70% del totale.
5. Le prime sanzioni NIS2 significative arriveranno in Italia entro fine 2026. Finora ACN ha privilegiato la moral suasion nella fase iniziale di applicazione della direttiva. Con l’esaurimento del periodo di grazia e l’accumulo di incidenti non notificati correttamente, si prevede che l’autorità emetterà i primi provvedimenti sanzionatori di rilievo, con importi potenzialmente superiori ai 10 milioni di euro per i soggetti essenziali inadempienti. Questo creerà un effetto deterrente significativo per le restanti organizzazioni soggette alla direttiva.
Cosa Devono Fare le Aziende Italiane: Priorità Operative
Alla luce dei dati del Fortinet 2026 Global Threat Landscape Report e del contesto normativo europeo, le organizzazioni italiane devono concentrarsi su quattro priorità operative concrete.
Il patch management automatizzato basato sul rischio è la risposta più diretta al problema del time-to-exploit a 24-48 ore. Le organizzazioni devono implementare strumenti di vulnerability prioritization che classifichino le CVE non solo per CVSS score, ma per probabilità di sfruttamento reale (come il CVSS EPSS, Exploit Prediction Scoring System). Le patch per le vulnerabilità con EPSS elevato devono essere distribuite entro 24 ore dalla divulgazione pubblica, con procedure di testing accelerate per i sistemi più esposti.
La gestione dell’identità resistente al phishing è la seconda priorità. Con 4,62 miliardi di stealer log sul darknet, l’implementazione di autenticazione FIDO2/passkey, la rotazione periodica delle credenziali privilegiate e il monitoraggio dark web per le credenziali aziendali sono misure non più differibili. Il costo di un servizio di dark web monitoring per un’azienda media si aggira tra i 2.000 e i 10.000 euro annui: una frazione dei 3,2 milioni di euro di costo medio per incidente citato nel report.
Il rilevamento e risposta automatizzati (XDR/SIEM con playbook di risposta pre-approvati) è la risposta al breakout time di 29 minuti. Un attacco contenuto entro i primi minuti ha un impatto economico stimato in meno di 100.000 euro; un attacco che ha avuto tempo di propagarsi lateralmente può costare oltre 3,2 milioni di euro per incidente. L’investimento in un SOC gestito H24 o in una piattaforma XDR con risposta automatizzata si ripaga già al primo incidente evitato.
Infine, la governance della sicurezza a livello di board, richiesta dall’articolo 20 di NIS2, deve diventare una pratica operativa concreta. Questo significa esercizi di incident response regolari (almeno annuali), reportistica sulla postura di sicurezza portata all’attenzione del CDA, e un piano di risposta agli incidenti approvato dai vertici che includa le procedure di notifica obbligatorie previste da NIS2 e GDPR.
Approfondimenti Correlati
Copertura Correlata
- Cyber Europe 2026: 5.000 Esperti Testano la Risposta UE su Ferrovie e Porti
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- 16 Miliardi di Credenziali Esposte: il Leak più Grande della Storia [2026]
- DragonForce: 580 Vittime nel 2026, Italia al 5° Posto
- GDPR 2026: €7,1 Miliardi di Sanzioni, TikTok €530M e 443 Violazioni al Giorno
- Cyber Resilience Act: 83 Giorni alla Scadenza, Sanzioni fino a €15M [2026]
Domande Frequenti
Cos’è il Fortinet 2026 Global Threat Landscape Report?
È il rapporto annuale pubblicato da FortiGuard Labs, il team di threat intelligence di Fortinet, che analizza le minacce informatiche globali dell’anno precedente. Il report 2026, pubblicato il 30 aprile 2026, copre i dati di telemetria del 2025 e documenta le principali tendenze in termini di ransomware, vulnerabilità sfruttate, credential theft e attività del darknet. È disponibile gratuitamente sul sito Fortinet ed è considerato uno dei riferimenti principali nel settore della cybersecurity.
Perché il ransomware è aumentato del 389% in un solo anno?
La crescita è il risultato di tre fattori convergenti: la proliferazione del modello Ransomware-as-a-Service (RaaS) che abbassa la barriera tecnica, l’automazione basata su IA che permette di scalare le operazioni, e la disponibilità di 4,62 miliardi di credenziali rubate che facilitano l’accesso iniziale alle reti bersaglio. Il crollo del time-to-exploit a 24-48 ore ha reso più difficile per le organizzazioni correggere le vulnerabilità prima che vengano sfruttate.
Cosa significa “time-to-exploit di 24-48 ore” per la mia azienda?
Significa che dopo la pubblicazione di una vulnerabilità critica, avete meno di due giorni per applicare la patch prima che i sistemi automatizzati degli attaccanti inizino a sfruttarla. Questo richiede un processo di patch management automatizzato, con procedure di testing accelerate per i sistemi critici e catene di approvazione pre-definite che non blocchino l’intervento tecnico per giorni.
Quali settori italiani sono più a rischio secondo il report?
Il manifatturiero è in cima alla lista, identificato come il settore più colpito dal ransomware a livello globale nel 2025. In Italia, questo si traduce in rischio elevato per i distretti industriali del Nord e del Centro. Il settore dei trasporti (ferrovia, porti, logistica) è il secondo più colpito in Europa secondo ENISA, e la pubblica amministrazione italiana rimane un bersaglio ricorrente per i gruppi di attaccanti geopoliticamente motivati.
Come si collegano questi dati alla Direttiva NIS2?
I dati del report Fortinet forniscono la giustificazione tecnica per i requisiti NIS2. Il time-to-exploit a 24-48 ore giustifica l’obbligo di patch management rapido. La crescita degli stealer log giustifica i requisiti di gestione dell’identità e autenticazione forte. Il breakout time di 29 minuti giustifica l’obbligo di sistemi di rilevamento e risposta agli incidenti. La notifica obbligatoria entro 24 ore di NIS2 si allinea con la finestra temporale in cui un attacco può ancora essere contenuto.
Cosa sono gli stealer log e come posso sapere se le credenziali della mia azienda sono esposte?
Gli stealer log sono file generati da malware infostealer (come RedLine, Lumma o Vidar) che raccolgono automaticamente credenziali, cookie di sessione e dati bancari dai dispositivi infetti. Con 4,62 miliardi di log circolanti sul darknet, la probabilità che credenziali aziendali siano esposte è concreta. Strumenti di dark web monitoring possono monitorare la presenza dei domini aziendali nelle credenziali in circolazione e allertare in tempo reale. Molti servizi MDR (Managed Detection and Response) includono questa funzionalità.
Quale differenza c’è tra il report Fortinet e il report CrowdStrike?
Entrambi analizzano il panorama globale delle minacce, ma con angolature diverse. Il report Fortinet si basa sulla telemetria FortiGuard (traffico di rete e segnalazioni endpoint) e fornisce dati di scala sugli attacchi (miliardi di eventi), con forte focus su ransomware e credential economy. Il report CrowdStrike si basa sulla telemetria Falcon (endpoint detection) e fornisce metriche comportamentali dettagliate, come il breakout time. Usati insieme, offrono una visione complementare e completa del threat landscape 2025.
