{"id":226,"date":"2026-06-19T04:00:00","date_gmt":"2026-06-19T04:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/?p=226"},"modified":"2026-06-19T04:31:58","modified_gmt":"2026-06-19T04:31:58","slug":"16-miliardi-credenziali-esposte-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/19\/16-miliardi-credenziali-esposte-2026\/","title":{"rendered":"16 Miliardi di Credenziali Esposte: il Leak pi\u00f9 Grande della Storia [2026]"},"content":{"rendered":"\n

Esattamente un anno fa, il 18 giugno 2025, i ricercatori di Cybernews hanno reso pubblica la scoperta pi\u00f9 allarmante nella storia della sicurezza informatica: 16 miliardi di credenziali di accesso<\/strong> esposte in rete, raccolte da 30 database separati contenenti URL, login e password in chiaro. Un anno dopo, la maggior parte di quegli account \u00e8 ancora vulnerabile. Per gli utenti italiani, il rischio non \u00e8 passato.<\/p>\n\n\n\n

La violazione, frutto di anni di campagne di infostealer malware<\/strong>, ha coinvolto servizi usati ogni giorno da milioni di italiani: Google, Apple, Facebook, Telegram, GitHub e portali governativi. I dati esposti non erano hash crittografici: erano password in chiaro, direttamente sfruttabili dai criminali per account takeover, phishing mirato e campagne ransomware. Il team di Cybernews ha definito l’evento “un manuale per lo sfruttamento di massa”, una valutazione che a distanza di dodici mesi non ha perso nulla della sua urgenza.<\/p>\n\n\n\n

Questo articolo ricostruisce cosa \u00e8 successo, analizza il contesto italiano ed europeo, e indica le misure concrete che ogni utente e ogni organizzazione deve adottare oggi.<\/p>\n\n\n\n

La scoperta di Cybernews: 30 dataset, 16 miliardi di record<\/h2>\n\n\n\n

I ricercatori di Cybernews hanno trascorso la prima met\u00e0 del 2025 a monitorare sistematicamente repository non protetti e archivi del dark web. In sei mesi hanno identificato e analizzato 30 dataset distinti<\/strong>, ciascuno contenente tra decine di milioni e oltre 3,5 miliardi di record. Il conteggio finale ha raggiunto 16 miliardi di credenziali esposte, nella forma di combinazioni URL, login e password in chiaro.<\/p>\n\n\n\n

Il dataset pi\u00f9 grande conteneva 3,5 miliardi di record<\/strong> legati alla popolazione di lingua portoghese. Un secondo dataset comprendeva circa 455 milioni di record<\/strong> connessi a utenti russi. Un terzo, da 60 milioni di record<\/strong>, era probabilmente collegato a Telegram. Kaspersky, che ha analizzato i dati in modo indipendente, ha confermato che la struttura del database seguiva uno schema preciso: URL del servizio, poi login, poi password.<\/p>\n\n\n\n

“Questa non \u00e8 una semplice violazione”, ha dichiarato il team di Cybernews al momento della scoperta. “Con oltre 16 miliardi di record di accesso esposti, i criminali informatici dispongono ora di un accesso senza precedenti a credenziali personali utilizzabili per account takeover, furto d’identit\u00e0 e phishing altamente mirato.” Kaspersky ha descritto l’evento come “la pi\u00f9 grande fuga di dati nella storia dell’umanit\u00e0”, un titolo che, a dodici mesi di distanza, nessun altro incidente ha ancora superato.<\/p>\n\n\n\n

Non una singola violazione: come si accumula un leak da 16 miliardi<\/h2>\n\n\n\n

Un dettaglio critico distingue questo evento dalla maggior parte delle violazioni tradizionali: nessuna singola azienda \u00e8 stata hackerata<\/strong>. I 16 miliardi di credenziali non provengono da un’irruzione nei server di Google o Apple. Provengono dai dispositivi degli utenti, compromessi nel tempo da infostealer malware installati in modo silenzioso.<\/p>\n\n\n\n

I ricercatori dell’Universit\u00e0 del Connecticut hanno spiegato il meccanismo in un’analisi pubblicata il 25 giugno 2025: “Il dataset esposto \u00e8 una curata amalgamazione di credenziali rubate, raccolte attraverso vari tipi di infostealer malware, programmi malevoli che raccolgono silenziosamente password, cookie, token e dati di sessione dai dispositivi infetti.” Non si tratta di un attacco a una piattaforma: \u00e8 il risultato cumulativo di anni di infezioni diffuse su scala globale.<\/p>\n\n\n\n

La compilazione includeva anche dati da set di credenziali gi\u00e0 circolati in precedenti violazioni, riconfezionati e arricchiti con materiale fresco. Per questo il numero ha potuto raggiungere una dimensione mai vista prima. Il confronto con RockYou2024, la pi\u00f9 grande raccolta di password uniche mai pubblicata su un forum hacker nel luglio 2024 con quasi 9,9 miliardi di voci<\/strong>, illustra l’escalation nel giro di un solo anno.<\/p>\n\n\n\n

Come funziona l’infostealer malware: il vettore dietro 16 miliardi di furti<\/h2>\n\n\n\n

Gli infostealer sono una categoria di malware progettati specificamente per sottrarre dati di accesso dai dispositivi infetti. A differenza del ransomware, che blocca i file in modo visibile, gli infostealer operano in modo silenzioso, spesso per settimane o mesi prima di essere rilevati. Questa invisibilit\u00e0 \u00e8 la loro caratteristica distintiva e la ragione per cui sono diventati il vettore di accesso iniziale preferito dai criminali informatici.<\/p>\n\n\n\n

I vettori di infezione pi\u00f9 comuni includono: allegati email malevoli, installer di software pirata, estensioni browser compromesse e aggiornamenti falsi. Una volta attivo, il malware estrae i dati salvati nel browser (password, cookie, token di sessione), li comprime in un archivio e li invia ai server di comando e controllo degli attaccanti. Famiglie di infostealer come RedLine, Raccoon Stealer e Lumma Stealer<\/strong> hanno dominato il panorama delle minacce nel 2024-2025.<\/p>\n\n\n\n

Secondo il rapporto Unit 42 2026 di Palo Alto Networks, che ha analizzato oltre 750 incidenti maggiori<\/strong> nel corso del 2025, il 90% delle violazioni<\/strong> includeva un elemento legato all’identit\u00e0 digitale compromessa. Gli infostealer rimangono il metodo di accesso iniziale pi\u00f9 efficace per i criminali informatici proprio perch\u00e9 raccolgono credenziali su vasta scala, con costi operativi bassissimi per gli attaccanti. Lo stesso rapporto rileva che nel 2025 il 22% degli incidenti<\/strong> ha visto l’esfiltrazione completarsi in meno di un’ora, rispetto al 19% del 2024: la velocit\u00e0 degli attacchi cresce ogni anno.<\/p>\n\n\n\n

I servizi colpiti: Google, Apple, Facebook e portali governativi<\/h2>\n\n\n\n

I dataset scoperti da Cybernews contenevano credenziali per praticamente ogni servizio online di rilievo. Google, Apple, Facebook, Telegram, GitHub: nessuna piattaforma principale era esclusa. Ma l’aspetto pi\u00f9 preoccupante per gli utenti italiani riguarda la presenza di credenziali per portali governativi<\/strong>, come confermato dai ricercatori dell’Universit\u00e0 del Connecticut nella loro analisi pubblicata su UConn Today.<\/p>\n\n\n\n

In Italia, questa categoria potrebbe includere credenziali per servizi come SPID, portali INPS, piattaforme sanitarie regionali o sistemi di accesso alle pubbliche amministrazioni. Molti cittadini italiani riutilizzano le stesse password su pi\u00f9 servizi, il che significa che una credenziale rubata da un servizio privato pu\u00f2 aprire l’accesso a un portale governativo, e viceversa.<\/p>\n\n\n\n

La caratteristica che rende questo leak eccezionalmente pericoloso rispetto alle violazioni tradizionali \u00e8 la natura dei dati esposti: password in chiaro<\/strong>, non hash crittografici. Quando una piattaforma subisce una violazione convenzionale, le password sono spesso protette con algoritmi come bcrypt o Argon2, richiedendo agli attaccanti un lavoro di cracking computazionalmente costoso. Qui, invece, le credenziali erano direttamente utilizzabili senza alcun ulteriore passaggio tecnico.<\/p>\n\n\n\n

Confronto storico: le maggiori violazioni di credenziali di sempre<\/h2>\n\n\n\n

Per comprendere la portata del leak scoperto nel giugno 2025, \u00e8 utile confrontarlo con i principali incidenti storici di esposizione di credenziali su scala globale. Il dato emerge chiaramente: nessun evento precedente si avvicina alla scala di questa compilazione.<\/p>\n\n\n\n

Anno<\/th>Evento<\/th>Record Esposti<\/th>Tipo di Dati<\/th>Origine<\/th><\/tr><\/thead>
2025<\/td>Leak Cybernews (Compilation)<\/td>16 miliardi<\/strong><\/td>Login, password in chiaro, cookie, token<\/td>Infostealer malware (30 dataset)<\/td><\/tr>
2024<\/td>RockYou2024<\/td>9,9 miliardi<\/td>Password uniche compilate<\/td>Raccolta di leak precedenti su forum hacker<\/td><\/tr>
2021<\/td>COMB (Compilation of Many Breaches)<\/td>3,2 miliardi<\/td>Email + password<\/td>Compilazione di leak multipli<\/td><\/tr>
2019<\/td>Collection #1-5<\/td>2,2 miliardi<\/td>Email + password<\/td>Compilazione di leak multipli<\/td><\/tr>
2016<\/td>Yahoo (incidente avvenuto nel 2013)<\/td>3 miliardi<\/td>Email, hash password, domande sicurezza<\/td>Accesso non autorizzato ai server Yahoo<\/td><\/tr>
2013<\/td>Adobe Systems<\/td>153 milioni<\/td>Email, password cifrate (non hash)<\/td>Accesso non autorizzato<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il dato del 2025 non \u00e8 paragonabile ai leak precedenti solo per volume. La differenza qualitativa sta nel fatto che questi 16 miliardi di record includevano dati freschi, raccolti da dispositivi attivi nel 2024-2025, non riciclati da violazioni di anni fa. Questo li rende direttamente sfruttabili per attacchi di credential stuffing contro account correnti, senza necessit\u00e0 di cracking o elaborazione.<\/p>\n\n\n\n

L’impatto sugli utenti italiani: cosa \u00e8 concretamente a rischio<\/h2>\n\n\n\n

L’Italia \u00e8 uno dei Paesi europei pi\u00f9 esposti alle campagne infostealer. Secondo il Rapporto Cybersecurity TIM 2026, il Paese ha registrato 166 attacchi significativi<\/strong> nel 2025, con un incremento del 14%<\/strong> rispetto all’anno precedente. Il settore maggiormente colpito rimane la pubblica amministrazione, seguita dal settore finanziario e sanitario. La crescita delle infezioni da infostealer ha contribuito direttamente a questo aumento.<\/p>\n\n\n\n

Per un cittadino italiano, il rischio concreto si manifesta su tre livelli distinti. Il primo \u00e8 l’account takeover<\/strong>: se le credenziali dell’account email principale sono nel dataset, un attaccante pu\u00f2 accedere alla casella, reimpostare le password degli altri servizi collegati e prendere il controllo dell’intera identit\u00e0 digitale in pochi minuti. Il secondo livello \u00e8 il furto d’identit\u00e0 finanziario<\/strong>: credenziali bancarie o per portali di pagamento permettono transazioni non autorizzate, potenzialmente irreversibili. Il terzo, pi\u00f9 subdolo, \u00e8 la profilazione per attacchi di spear phishing<\/strong>: conoscere il login di una persona su LinkedIn, il suo indirizzo email e la sua password permette di costruire messaggi ingannevoli altamente personalizzati che possono ingannare anche utenti esperti.<\/p>\n\n\n\n

A un anno dalla scoperta, l’ENISA stima che una parte significativa di quei dati circoli ancora nei mercati del dark web. Il prezzo per set di credenziali verificate si \u00e8 ridotto nel tempo, segnale che il volume disponibile supera la domanda corrente, ma questo abbassamento delle barriere di accesso allarga la platea di chi pu\u00f2 permettersi di sfruttarle.<\/p>\n\n\n\n

Le voci degli esperti: analisi e raccomandazioni<\/h2>\n\n\n\n

Chester Wisniewski, ricercatore principal di sicurezza presso Sophos, ha articolato la risposta in tre livelli in base al profilo tecnico dell’utente. Per chi ha dimestichezza con la tecnologia, la priorit\u00e0 assoluta \u00e8 attivare l’autenticazione multifattore su ogni servizio che la supporta. Per gli utenti meno avanzati, la raccomandazione \u00e8 adottare un password manager<\/strong> come Bitwarden o 1Password, che genera e memorizza password uniche per ogni account. Per chi \u00e8 ancora meno tecnico, ha suggerito pragmaticamente di annotare le password in un quaderno fisico, soluzione imperfetta ma significativamente superiore al riutilizzo della stessa password su pi\u00f9 servizi.<\/p>\n\n\n\n

Adam Fennell, esperto di sicurezza digitale, ha ricordato la regola fondamentale per prevenire il phishing conseguente a queste violazioni: “Recatevi sempre direttamente sul sito ufficiale del servizio. Non cliccate mai su link sospetti in email o messaggi di testo.” Questo consiglio \u00e8 particolarmente rilevante perch\u00e9 i criminali sfruttano sistematicamente i dati rubati per costruire email di phishing che replicano le notifiche ufficiali dei servizi colpiti, ingannando anche utenti normalmente attenti.<\/p>\n\n\n\n

I ricercatori di UConn hanno inquadrato l’evento in termini pi\u00f9 ampi: “Un dataset cos\u00ec vasto crea una condizione asimmetrica di accesso alle informazioni in cui i criminali informatici sanno pi\u00f9 cose sui vostri account di quanto non ne sappiate voi stessi.” Questa asimmetria, che persiste un anno dopo l’incidente, \u00e8 il vero fattore di pericolo. La FIDO Alliance ha usato questo evento per ribadire l’urgenza della transizione verso le passkey<\/strong>, tecnologie di accesso basate su chiavi crittografiche che rendono strutturalmente impossibile il riutilizzo di credenziali rubate perch\u00e9 non esiste una password da sottrarre.<\/p>\n\n\n\n

Verifica immediata: come sapere se le proprie credenziali sono esposte<\/h2>\n\n\n\n

Il primo passo per ogni utente italiano \u00e8 verificare se le proprie credenziali sono incluse in database di violazioni documentate. Lo strumento pi\u00f9 affidabile e gratuito \u00e8 Have I Been Pwned<\/a>, creato dal ricercatore di sicurezza Troy Hunt, che gestisce un database di oltre 15 miliardi di record compromessi. Inserendo il proprio indirizzo email si ottiene un elenco di tutte le violazioni documentate che lo coinvolgono, con la data e il tipo di dati esposti.<\/p>\n\n\n\n

Google offre uno strumento analogo integrato in Chrome e nei dispositivi Android: il Password Checkup<\/strong>, accessibile da myaccount.google.com, che confronta le password salvate con database di credenziali compromesse e segnala quelle a rischio. Apple fornisce una funzionalit\u00e0 simile nell’app Passwords di iOS e macOS, con avvisi automatici quando una password salvata compare in una violazione nota. Entrambi gli strumenti usano un processo di verifica che non trasmette le password in chiaro ai server, preservando la privacy dell’utente durante il controllo.<\/p>\n\n\n\n

Per le password specifiche (senza inserirle in chiaro), Have I Been Pwned offre anche il Pwned Passwords<\/strong>, un servizio che permette di verificare se una password \u00e8 presente nel database usando solo un hash parziale. La FIDO Alliance ha pubblicato una guida dettagliata su come usare questi strumenti<\/a> dopo la scoperta del leak del giugno 2025.<\/p>\n\n\n\n

Guida pratica: 7 passi per proteggere gli account ora<\/h2>\n\n\n\n

Un anno dopo la scoperta del leak, le raccomandazioni degli esperti rimangono le stesse ma l’urgenza \u00e8 cresciuta perch\u00e9 il problema non si \u00e8 risolto da solo. Questi sette passi, in ordine di priorit\u00e0, costituiscono il piano di risposta minimo per chiunque utilizzi servizi online.<\/p>\n\n\n\n

  1. Cambiare le password critiche subito.<\/strong> Account email, banking online, SPID, portali sanitari: sono le priorit\u00e0 assolute. La nuova password deve essere unica per ogni servizio e lunga almeno 16 caratteri, con una combinazione di lettere, numeri e simboli.<\/li>
  2. Adottare un password manager.<\/strong> Bitwarden (open source, gratuito) e KeePassXC (offline, gratuito) sono le soluzioni raccomandate per la maggior parte degli utenti italiani. Un gestore elimina la necessit\u00e0 di ricordare password diverse per ogni servizio, rendendo praticabile l’uso di password uniche e complesse ovunque.<\/li>
  3. Attivare l’autenticazione a due fattori (2FA).<\/strong> Su ogni servizio che la supporta, specialmente email, banking e social media. Le app dedicate come 2FAS o Google Authenticator sono preferibili agli SMS, pi\u00f9 vulnerabili agli attacchi SIM swap.<\/li>
  4. Rimuovere le password salvate nel browser.<\/strong> Kaspersky identifica i browser come uno dei vettori principali attraverso cui gli infostealer raccolgono le credenziali. Spostare le password su un gestore dedicato riduce significativamente questa superficie di attacco.<\/li>
  5. Attivare le passkey dove disponibili.<\/strong> Google, Apple, Microsoft, GitHub e molti altri servizi supportano le passkey FIDO2, che sostituiscono la password con una chiave crittografica legata al dispositivo. Sono immuni al phishing e al credential stuffing per design, perch\u00e9 non esiste una password da rubare.<\/li>
  6. Verificare le sessioni attive.<\/strong> Su Google, Facebook e altri servizi, controllare le sessioni aperte e terminare quelle non riconoscibili. Un attaccante che ha gi\u00e0 ottenuto l’accesso pu\u00f2 mantenere una sessione attiva anche dopo il cambio password, se questa non viene revocata esplicitamente.<\/li>
  7. Proteggere il dispositivo con un antivirus aggiornato.<\/strong> Gli infostealer si diffondono tramite software pirata, allegati malevoli e aggiornamenti falsi. Una soluzione di sicurezza aggiornata riduce il rischio di nuove infezioni che alimenterebbero futuri leak.<\/li><\/ol>\n\n\n\n

    Strumenti di protezione a confronto: opzioni per gli utenti italiani<\/h2>\n\n\n\n
    Strumento<\/th>Funzione<\/th>Costo<\/th>Interfaccia in italiano<\/th>Consigliato per<\/th><\/tr><\/thead>
    Have I Been Pwned<\/td>Verifica esposizione email e password<\/td>Gratuito<\/td>No (inglese)<\/td>Primo controllo immediato<\/td><\/tr>
    Google Password Checkup<\/td>Verifica password salvate Chrome\/Android<\/td>Gratuito<\/td>Si<\/td>Utenti ecosistema Google<\/td><\/tr>
    Bitwarden<\/td>Gestore password open source (cloud)<\/td>Gratuito \/ \u20ac10\/anno premium<\/td>Si<\/td>Tutti gli utenti<\/td><\/tr>
    KeePassXC<\/td>Gestore password offline<\/td>Gratuito<\/td>Si<\/td>Utenti avanzati, nessun cloud<\/td><\/tr>
    2FAS Auth<\/td>App 2FA open source<\/td>Gratuito<\/td>Si<\/td>Autenticazione a due fattori<\/td><\/tr>
    Passkey FIDO2<\/td>Autenticazione senza password<\/td>Gratuito (integrato nei servizi)<\/td>Dipende dal servizio<\/td>Standard futuro per tutti i servizi<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Il contesto normativo italiano: GDPR, NIS2 e AgID<\/h2>\n\n\n\n

    Per le organizzazioni italiane, il leak del 2025 si inserisce in un contesto normativo in rapida evoluzione. Il GDPR<\/strong> rimane lo strumento principale per le notifiche di violazione dei dati in Italia: le aziende che scoprono di essere state colpite da un infostealer hanno 72 ore<\/strong> per notificare il Garante per la Protezione dei Dati Personali, se la violazione pu\u00f2 comportare un rischio per i diritti e le libert\u00e0 delle persone fisiche. Il mancato rispetto di questo termine ha portato a sanzioni documentate in numerosi casi europei nel corso del 2025.<\/p>\n\n\n\n

    La Direttiva NIS2<\/strong>, pienamente vigente in Italia con il D.Lgs. 138\/2024, obbliga le circa 12.000 aziende nei settori essenziali e importanti a implementare misure di gestione dei rischi informatici che includono esplicitamente la protezione delle credenziali di accesso e l’autenticazione multifattore. La violazione di questi obblighi, in particolare se porta a una compromissione di dati, pu\u00f2 risultare in sanzioni fino a 10 milioni di euro<\/strong> per i soggetti essenziali. Le scadenze principali per la piena conformit\u00e0 convergono al 1\u00b0 ottobre 2026<\/strong>.<\/p>\n\n\n\n

    L’Agenzia per l’Italia Digitale (AgID)<\/strong>, nel documento “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, aggiornato nel 2025, include tra i requisiti minimi la scansione periodica delle credenziali degli utenti rispetto a database di violazioni note. Le pubbliche amministrazioni italiane che non hanno implementato queste misure rimangono esposte sia agli attacchi sia alle conseguenze regolamentari. Le risorse ufficiali sono disponibili sul portale sicurezza di AgID<\/a>.<\/p>\n\n\n\n

    L’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza) ha incluso nel suo ENISA Threat Landscape 2025<\/a> un’analisi specifica sul crescente ruolo degli infostealer come vettore primario per la raccolta di credenziali su scala industriale, evidenziando come questo fenomeno si intrecci direttamente con gli obblighi di sicurezza imposti dalla NIS2 alle organizzazioni europee.<\/p>\n\n\n\n

    Analisi tecnica: perch\u00e9 16 miliardi di credenziali restano pericolose nel 2026<\/h2>\n\n\n\n

    Potrebbe sembrare che, a distanza di un anno, le credenziali del leak del 2025 abbiano perso parte del loro valore operativo. La realt\u00e0 \u00e8 pi\u00f9 complessa e il rischio \u00e8 ancora concreto per tre ragioni specifiche.<\/p>\n\n\n\n

    La prima \u00e8 il comportamento degli utenti dopo le violazioni<\/strong>: gli studi mostrano che la maggioranza delle persone non cambia le proprie password dopo un leak, a meno di non ricevere una notifica diretta dal servizio coinvolto. Poich\u00e9 questo leak non proveniva da un singolo provider che potesse inviare email di allerta massive, la maggior parte degli interessati non ha mai ricevuto alcuna comunicazione. Questo significa che migliaia di credenziali italiane nel dataset sono probabilmente ancora attive.<\/p>\n\n\n\n

    La seconda \u00e8 il credential stuffing automatizzato<\/strong>. I criminali utilizzano strumenti che testano milioni di combinazioni login\/password al secondo contro decine di servizi contemporaneamente. Anche se solo l’1% delle credenziali del leak funziona ancora su un dato servizio, stiamo parlando di 160 milioni di account<\/strong> potenzialmente compromettibili con strumenti automatici.<\/p>\n\n\n\n

    La terza \u00e8 la segmentazione del mercato criminale<\/strong>. I grandi dataset vengono venduti, divisi in subset pi\u00f9 piccoli, rivenduti a prezzi ridotti e utilizzati da attori con capacit\u00e0 diverse. Un dataset che costava migliaia di dollari a giugno 2025 pu\u00f2 essere disponibile per decine di dollari a giugno 2026, ampliando la platea di chi pu\u00f2 permettersi di sfruttarlo. L’abbassamento dei prezzi non riduce il rischio: lo distribuisce su un numero maggiore di attori.<\/p>\n\n\n\n

    5 previsioni: dove va il problema delle credenziali nel secondo semestre 2026<\/h2>\n\n\n\n

    1. Nuovo record di credenziali esposte entro fine 2026.<\/strong> La traiettoria degli infostealer non mostra segnali di rallentamento. Con la proliferazione di nuove famiglie di malware e l’espansione degli ecosistemi di Malware-as-a-Service, la prossima grande compilazione superer\u00e0 probabilmente i 16 miliardi, inglobando dati pi\u00f9 recenti e freschi. Il modello \u00e8 consolidato: i criminali accumulano dati per mesi prima di pubblicare o vendere le compilazioni.<\/p>\n\n\n\n

    2. Accelerazione dell’adozione delle passkey in Italia.<\/strong> La pressione combinata della NIS2, del Cyber Resilience Act e della crescente consapevolezza degli utenti spinger\u00e0 i principali servizi italiani (banking, sanit\u00e0, PA) a implementare il supporto FIDO2 come opzione principale di autenticazione. La transizione non sar\u00e0 completa nel 2026, ma i segnali sono gi\u00e0 visibili nelle scelte di prodotto dei principali istituti bancari italiani.<\/p>\n\n\n\n

    3. Aumento degli attacchi di phishing post-breach mirati all’Italia.<\/strong> Il subset da 60 milioni di record legati a Telegram, combinato con l’alta penetrazione di Telegram tra gli utenti italiani, creer\u00e0 le condizioni per campagne di phishing mirate che sfruttano le credenziali rubate per costruire messaggi credibili. L’Italy \u00e8 gi\u00e0 nel radar dei gruppi di phishing organizzato europeo.<\/p>\n\n\n\n

    4. Sanzioni GDPR per gestione inadeguata degli incidenti infostealer.<\/strong> Il Garante italiano per la Protezione dei Dati Personali ha gi\u00e0 avviato accertamenti su diverse organizzazioni che non hanno rispettato l’obbligo di notifica degli incidenti. Le prime sanzioni significative legate specificamente alla gestione degli infostealer sono attese nel secondo semestre 2026, con un effetto deterrente su tutte le organizzazioni che hanno sottovalutato il problema.<\/p>\n\n\n\n

    5. Consolidamento dei servizi di monitoraggio delle credenziali B2B.<\/strong> Il segmento dei servizi che monitorano in tempo reale l’esposizione delle credenziali aziendali sui mercati criminali, gi\u00e0 in crescita, vedr\u00e0 fusioni e acquisizioni significative in Europa nel corso del 2026-2027. La domanda \u00e8 trainata direttamente dagli obblighi NIS2 di gestione del rischio della supply chain: le organizzazioni devono verificare non solo le proprie credenziali ma quelle dei propri fornitori critici.<\/p>\n\n\n\n

    Risorse per verificare la propria esposizione<\/h2>\n\n\n\n

    Per accedere direttamente alle risorse di verifica e alle analisi ufficiali sull’evento, questi sono i riferimenti pi\u00f9 affidabili:<\/p>\n\n\n\n