Y-Report Yarix 2026: +62% critici, Italia 6° ransomware

Y-Report Yarix 2026: +62% critici, Italia 6° ransomware

Yarix ha presentato il 12 maggio il Y-Report 2026, l'analisi annuale sulle minacce cyber derivante dal monitoraggio di 522.486 eventi di sicurezza gestiti dal proprio SOC nel 2025. I dati consolidati mostrano un aumento del 62% degli eventi critici e una crescita del 51% dei ransomware globali. Come sottolineato da Mirko Gatto, Head of Cybersecurity di Var Group: "Gli attacchi sono diventati più veloci, frammentati e capaci di adattarsi rapidamente, sostenuti da un ecosistema criminale ormai strutturato e dall'accesso sempre più diffuso a strumenti avanzati, compresi quelli basati sull'intelligenza artificiale".

La novità geopolitica è lo scivolamento dell'Italia al sesto posto mondiale per attacchi ransomware. Per DeafNews, questa non è una vittoria ma una trappola ottica: l'Italia non è diventata più sicura, è semplicemente diventata una "carneficina" meno redditizia rispetto ai colossi statunitensi. Le gang criminali hanno spostato il mirino su mercati con capacità di riscatto superiore, ma il tessuto economico nazionale rimane sotto assedio, con tempi di attacco che si misurano ormai in minuti anziché in giorni.

Un +62% di eventi critici e 176 major incident: il SOC Yarix sotto pressione

Nel 2025 la pressione operativa sui centri di difesa è stata senza precedenti. Dei 522.486 eventi analizzati dal SOC Yarix, ben 158.316 sono evoluti in incidenti reali. Il salto qualitativo è confermato dalla crescita del 62% delle criticità su base annua. Il team di Incident Response (YIR) ha gestito 176 major incident, un incremento del 20,55% rispetto al 2024. Questo scenario conferma che la minaccia non è più solo una questione di volume, ma di efficacia delle intrusioni che colpiscono il cuore operativo delle aziende.

Il settore Manufacturing guida la classifica degli incidenti con il 17,9% dei casi, seguito dall'IT con l'8,3%. Sul fronte del furto di dati, Yarix ha mappato 1,2 miliardi di credenziali compromesse da infostealer (+35,3%), con 58.800 carte di credito italiane rintracciate nei mercati underground. Questi dati alimentano una filiera criminale dove il furto di identità diventa il precursore di attacchi ransomware massivi o frodi finanziarie complesse, sfruttando la saturazione dei sistemi di monitoraggio tradizionali.

"Il 2025 rappresenta un passaggio di maturità per il contesto cyber: non ci troviamo più soltanto di fronte a una crescita dei numeri, ma a un cambiamento profondo delle modalità con cui la minaccia si manifesta" — Mirko Gatto, Head of Cybersecurity di Var Group

Circa il 30% degli eventi monitorati si è trasformato in un incidente reale. Questa percentuale indica che una quota significativa di attacchi riesce a superare le barriere difensive iniziali. Marco Iavernaro, Global SOC Manager di Yarix, ha spiegato che gli eventi critici sono quelli che avrebbero portato a una compromissione totale, culminando spesso in Business Email Compromise (BEC). Senza l'automazione, la gestione di questi volumi sarebbe impossibile per qualsiasi team di analisti umani.

Servizi esposti e phishing AiTM: i vettori d'ingresso del ransomware

L'analisi dei 176 major incident documenta con precisione i punti di rottura. Il vettore principale è l'exploit di servizi pubblici esposti (32 casi), seguito dagli accessi tramite SSL VPN (22 casi) e dal phishing di tipo AiTM (Adversary-in-the-Middle) con 20 casi. Preoccupante il dato sui 17 casi in cui il punto di ingresso è rimasto non determinato, un segnale inequivocabile di gravi carenze nei sistemi di logging aziendali che impediscono l'analisi forense e la bonifica completa dell'ambiente.

Diego Marson, Cyber Security Officer di Yarix, descrive il ransomware come una filiera industriale. Nel 2025 sono state identificate 124 gang attive, ma la "Top 10" è responsabile del 56% degli attacchi mondiali. Il gruppo Akira è il più ricorrente nei casi gestiti da Yarix (9 incidenti), seguito da RansomHub (5) e LockBit Black (2). Molti di questi attacchi utilizzano codice malevolo scritto o offuscato tramite intelligenza artificiale per eludere le sandbox e i sistemi di rilevamento basati su firma.

Un caso eccezionale riportato dal Y-Report riguarda un attacco hardware via USB HID nel settore navale. L'incidente, attribuito a soggetti con possibili legami con strutture terroristiche e ora al vaglio delle autorità, dimostra che la minaccia non è confinata al solo perimetro digitale. La protezione delle infrastrutture fisiche e dei sistemi industriali richiede oggi un'attenzione particolare ai dispositivi periferici, che possono essere utilizzati come cavalli di Troia per bypassare intere suite di sicurezza di rete.

Perché l'Italia al 6° posto mondiale è un segnale di allerta per le PMI

L'uscita dell'Italia dalla top 5 mondiale non è un certificato di sicurezza. Secondo Yarix, lo spostamento al sesto posto indica che le gang più strutturate preferiscono target con disponibilità finanziarie superiori. Tuttavia, nel campione enterprise e mid-market monitorato (aziende con oltre 1.000 dipendenti o 50 milioni di fatturato), il 67% delle vittime di ransomware in Italia è costituito da piccole imprese. Questo dato conferma che le PMI restano il ventre molle del sistema, colpite da gruppi criminali "minori" o tramite automazione massiva.

Geograficamente, la Lombardia concentra il 36% degli attacchi ransomware nazionali, seguita da Emilia-Romagna (13%) e Lazio (10%). Parallelamente al profitto economico, cresce l'hacktivism geopolitico: i picchi di giugno e luglio (27% delle campagne) sono stati correlati al vertice NATO, mentre quelli di settembre e ottobre (23%) alle tensioni in Medio Oriente. La sicurezza aziendale è ormai una variabile dipendente dagli scacchieri internazionali, rendendo le imprese italiane bersagli collaterali di conflitti globali.

La vulnerabilità delle PMI italiane è aggravata dalla cronica mancanza di logging adeguato e di autenticazione forte. Molte realtà operano ancora con accessi remoti privi di MFA o con sistemi di backup che non garantiscono l'immutabilità dei dati. Questo "gap di igiene cyber" rende gli attacchi estremamente efficaci e veloci, lasciando poco spazio di manovra una volta che l'attaccante ha ottenuto l'accesso iniziale attraverso credenziali rubate o vulnerabilità note non patchate.

AI offensiva e difensiva: verso un SOC automatizzato

L'intelligenza artificiale ha rotto la simmetria del conflitto cyber. Se da un lato gli attaccanti la usano per generare malware polimorfico, dall'altro i difensori devono adottarla per non essere travolti. Mirko Gatto ha sottolineato come il volume degli eventi sia diventato tale da rendere indispensabile l'AI per filtrare il rumore di fondo. La strategia di Yarix prevede il passaggio da una difesa guidata dall'uomo a una "cybersecurity gestita dall'AI con supervisione umana", dove le macchine gestiscono la velocità e l'uomo la complessità decisionale.

Per rispondere a questa sfida, Yarix sta sviluppando un SOC di primo livello completamente guidato dall'AI, con una prima fase shadow che sarà operativa entro luglio. Questo sistema mira a processare i dati provenienti da endpoint, reti e identità in tempo reale, riducendo i tempi di rilevamento (MTTD). L'obiettivo è permettere agli analisti umani di intervenire solo sui 176 major incident o sulle minacce più sofisticate, eliminando i colli di bottiglia causati dai falsi positivi che oggi saturano i centri di sicurezza.

L'integrazione dell'AI difensiva è l'unica risposta possibile alla velocità dei nuovi attacchi. Il malware modulare osservato nel 2025 non si limita più a criptare i file, ma esegue analisi silenziose della rete per identificare i dati più preziosi da esfiltrare. In questo contesto, le soluzioni EDR (Endpoint Detection and Response) basate su intelligenza artificiale diventano fondamentali per identificare anomalie comportamentali che le firme dei virus tradizionali non potrebbero mai intercettare.

Cosa fare adesso

• Potenziare il logging centralizzato: È fondamentale risolvere il problema dei 17 casi con origine non determinata. Senza una visibilità completa dei log, è impossibile ricostruire la kill chain e prevenire reinfezioni persistenti nel sistema.
• Ridurre la superficie di attacco: I 32 casi di exploit su servizi esposti suggeriscono di limitare drasticamente le interfacce accessibili via internet. Ogni servizio pubblico deve essere protetto da gateway di sicurezza e monitorato in tempo reale.
• Implementare MFA resistente al phishing: I 20 casi di phishing AiTM dimostrano l'obsolescenza dell'OTP via SMS. Le aziende devono migrare verso soluzioni MFA basate su standard FIDO2 o chiavi hardware per neutralizzare l'intercettazione dei token.
• Segmentazione delle reti industriali: Con il Manufacturing colpito nel 17,9% dei casi, è urgente separare le reti IT da quelle OT. Questo impedisce ai ransomware di propagarsi dagli uffici alle linee di produzione, limitando i danni economici.
• Revisione degli accessi SSL VPN: Data la frequenza di incidenti (22 casi) legati a VPN non determinate, è necessario sottoporre questi sistemi a audit continui e patching immediato, eliminando account privilegiati non necessari.

Il Y-Report 2026 consegna un verdetto chiaro: la "vittoria" del sesto posto è un'illusione statistica che nasconde una minaccia più rapida e pericolosa. L'annuncio del nuovo SOC AI-driven di Yarix entro luglio segna il confine dell'era attuale. Per le aziende italiane, accelerare le difese non è più un'opzione, ma una necessità vitale prima che l'asimmetria tecnologica tra uomo e macchina diventi definitivamente insanabile.

Domande frequenti

L'Italia al sesto posto mondiale per ransomware significa che il Paese è più sicuro?

No. La discesa dal sesto posto riflette una redistribuzione dei target verso mercati più redditizi. Per le imprese italiane, specialmente nel campione enterprise e mid-market, la minaccia resta critica con il 67% delle vittime identificate come piccole imprese.

Quali sono stati i vettori d'ingresso più critici nel 2025?

I vettori principali documentati da Yarix sono stati gli exploit di servizi pubblici esposti (32 casi), le vulnerabilità nelle SSL VPN (22 casi) e il phishing di tipo AiTM (20 casi), spesso facilitati da identità digitali rubate.

Perché il report parla di "cybersecurity gestita dall'AI"?

Dato l'elevato volume di eventi (oltre 522.000), l'intelligenza artificiale è diventata indispensabile per filtrare i dati e accelerare la risposta. Yarix attiverà un SOC AI-driven entro luglio per gestire autonomamente il primo livello di analisi.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.wired.it/article/report-yarix-2026-intelligenza-artificiale-ai-cyberattacchi-soc/
• https://www.01net.it/yarix-y-report-2026-ai-offensiva-ransomware-attacchi-ibridi/
• https://techfromthenet.it/2026/05/12/cybersecurity-ecco-come-lai-ha-cambiato-gli-equilibri/
• https://www.cybertrends.it/y-report-2026/
• https://inno3.it/2026/05/14/yarix-evoluzione-della-minaccia-cyber-in-italia/