DeafNews
// 2 ZERO-DAY · 8 CVE · 8 EXPLOIT NELLE ULTIME 24H
Ransomware

Europa supera USA: 684 attacchi ransomware in 4 mesi

Published: Updated: By DeafSuite team 9 min read Ransomware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
L'Europa è diventata la regione più colpita dal ransomware nel 2026: 684 attacchi in quattro mesi, +55% anno su anno. I fattori dietro lo spostamento geografico.

L'Europa ha superato gli Stati Uniti come regione con maggiore crescita ransomware nel primo trimestre 2026. Secondo i dati tracciati da Black Kite, nei primi quattro mesi dell'anno si sono contati 684 attacchi pubblicamente noti, con un incremento del 55% rispetto ai 441 dello stesso periodo del 2025. Il dato supera i 643 attacchi registrati nell'intero primo semestre 2025, segnalando un'accelerazione che i ricercatori attribuiscono a una convergenza di fattori economici e tecnologici, non a una debolezza difensiva relativa del continente.

Punti chiave
  • 684 attacchi ransomware in Europa nei primi 4 mesi del 2026 (+55% vs T1 2025), superando per ritmo di crescita il trend statunitense
  • Il 68,5% degli attacchi si concentra in UK, Germania, Francia, Italia e Spagna; l'Italia registra +92%, la Francia +119%
  • L'AI-assisted target research sposta l'attenzione degli attori malevoli verso l'Europa: "The stealer logs are there. The unpatched vulnerabilities are there. The money is there"
  • Il numero di gruppi ransomware attivi è balzato da 60 nel 2023 a 150 nel 2026, con frammentazione post-disruption e proliferazione di volume
"Globally, the US absorbs almost half of all ransomware victims. Canada and the UK have traded second place. Europe was a step behind. Now that's shifting" — Ferhat Dikbiyik, chief research and intelligence officer, Black Kite

Il mercato USA si satura, l'Europa offre "il pacchetto completo"

La spiegazione più immediata dello spostamento geografico è la saturazione del mercato statunitense. Ferhat Dikbiyik, chief research and intelligence officer di Black Kite, indica "an oversaturation of ransomware activity in the US" come motore principale della ricerca di opportunità altrove. L'Europa emerge come target ottimale perché combina ricchezza, esposizione tecnica e disponibilità di credenziali compromesse.

I dati geografici confermano la lettura. Oltre due terzi degli attacchi (68,5%) hanno colpito le cinque maggiori economie europee. La Francia ha registrato il incremento più marcato tra i grandi mercati (+119%), seguita dall'Italia (+92%) e dalla Spagna (+77%). A questi si aggiungono picchi percentuali più estremi in paesi di dimensioni minori — Turchia +433%, Romania +333%, Polonia +217% — che Black Kite classifica come privi di pattern significativo, probabilmente riflettendo base numerica bassa e variabilità statistica.

Dikbiyik sintetizza il calcolo economico degli attori malevoli in termini inequivocabili: le maggiori potenze dell'Unione europea offrono "wealth and exposure together". La domanda che pone — "The question isn't why ransomware groups target the major EU powers; it's why would you not?" — descrive una logica di mercato, non di vulnerabilità difensiva. L'Europa sta diventando target primario per la sua ricchezza aggregata e per la visibilità delle sue superfici di attacco, nonostante la maturità normativa rappresentata dalla direttiva NIS2.

AI e stealer logs: come cambia l'intelligence offensiva

Il secondo fattore trainante è tecnologico. Secondo Black Kite, gli attori malevoli stanno impiegando "AI-assisted target research" che identifica l'Europa come destinazione ottimale. Il meccanismo non implica decisione autonoma dell'intelligenza artificiale, bensé un'accelerazione della raccolta e correlazione di indicatori: credenziali trafugate disponibili nei mercati di stealer logs, vulnerabilità non patchate, e profili economici dei bersagli.

La fonte non specifica la metodologia esatta con cui l'AI viene impiegata nel target selection, né fornisce dettagli tecnici sui modelli o sui dataset utilizzati. Il dossier registra l'affermazione di Dikbiyik come dichiarazione del ricercatore, non come verifica indipendente del ruolo effettivo dell'intelligenza artificiale rispetto ad altri strumenti di intelligence offensiva.

Il dato che emerge con chiarezza è la proliferazione del numero di attori. Da 60 gruppi attivi nel 2023 — già un picco storico — si è passati a 150 nel 2026. Dikbiyik collega questa frammentazione alle operazioni di law enforcement che hanno colpito i "major players" nel periodo 2022-2025: "That created a power vacuum. What refilled the vacuum is volume". Il ransomware-as-a-service si è stratificato in un ecosistema più denso e competitivo, dove più gruppi competono per gli stessi target con tattiche standardizzate.

Supply chain e settore manifatturiero: il leverage a valle

Il terzo elemento distintivo del trend europeo è il ruolo della supply chain come moltiplicatore d'impatto. Più del 25% degli attacchi ha colpito il settore manifatturiero; il 17,8% ha bersagliato servizi professionali, scientifici e tecnici. La distribuzione settoriale non è casuale: entrambi i settori offrono accesso a valle a una rete di dipendenti e clienti.

Dikbiyik distingue due meccanismi di rischio. Il "concentration risk" si manifesta quando un singolo fornitore IT serve molteplici organizzazioni; il "cascading risk" quando il breach si propaga attraverso i livelli della catena. L'attacco a Miljödata del 23 agosto 2025 — un provider di servizi IT e HR svedese — ha esposto circa 200 comuni, università e aziende, con impatto su oltre un milione di individui. La fonte non specifica il vettore dell'attacco (ransomware o altro), ma lo cita come esemplificazione del leverage ottenibile attraverso la supply chain.

Sul settore manifatturiero, la logica è esplicitamente economica: "Disrupt a physical production line and you hand the attacker enormous leverage at the negotiating table". I servizi digitali operano con meccanismo analogo: "These firms hold direct access to client systems and data. Breach one, and every client it serves is exposed". La visibilità oltre il terzo livello della supply chain — fourth-party, fifth-party risk — rappresenta il gap strutturale che il dossier identifica come critico.

Il dwell time scende a 18 giorni: più veloci, più numerosi

Un dato apparentemente positivo richiede contestualizzazione. Secondo ShieldPage, che sintetizza dati ENISA, il dwell time medio in Europa è sceso a 18 giorni nel 2026, dai 24 del 2024. La riduzione può riflettere sia una maggiore capacità di rilevazione — in parte attribuita alla pressione normativa NIS2 — sia una compressione dei tempi operativi da parte degli attori malevoli. Black Kite non fornisce un dato equivalente di confronto, rendendo impossibile stabilire se la convergenza tra le due fonti sia metodologica o reale.

Il dato ENISA indica un aumento del 23% year-over-year degli incidenti ransomware in Europa e una crescita del 42% degli attacchi supply chain. Il ransomware rimane la top threat per il quinto anno consecutivo nel continente. La fonte non quantifica l'efficacia delle misure NIS2 nel mitigare il trend, considerando il percorso di implementazione ancora in corso.

Perché è importante

Il dossier non specifica misure correttive specifiche né raccomandazioni operative dettagliate per le organizzazioni europee. La fonte non documenta se la compliance NIS2 stia riducendo l'incidenza degli attacchi, sebbene ShieldPage suggerisca un contributo alla riduzione del dwell time. Non emergono sovrapposizioni infrastrutturali che colleghino specifici gruppi ransomware allo spostamento geografico europeo al di là dei dati aggregati.

Il punto di attrito centrale è la visibilità della supply chain. Dikbiyik afferma: "You can't manage what you can't see, and most companies can't see past their direct vendors". Il paradosso del trend 2026 è che l'Europa, con maggiore consapevolezza normativa e investimenti in cybersecurity, sta diventando più vulnerabile proprio per la sua ricchezza e per l'evoluzione dell'intelligence offensiva — non per debolezza difensiva relativa. La posta in gioco non è la presenza o assenza di regolazione, ma la profondità di visibilità oltre i confini aziendali immediati.

Il numero di gruppi attivi (150 contro 60 nel 2023) indica una competizione intensificata che può tradursi in pressione sui prezzi dei riscatti, in maggiore velocità di escalation, o in entrambi. La fonte non quantifica questi effetti. La proposizione "In an age where workflows automate themselves, what slows teams down isn't action. It's visibility" — riportata da Dikbiyik — applica il medesimo ragionamento alla difesa: l'automazione è disponibile da entrambe le parti, il differentiator è la mappa d'insieme.

FAQ

I dati Black Kite sono esaustivi?

No. La fonte traccia solo attacchi "publicly known", con probabile sottostima del fenomeno reale. La metodologia esatta di tracciamento non è dettagliata nel dossier.

L'AI sceglie autonomamente i target europei?

Il dossier documenta "AI-assisted target research", non decisione autonoma. Il ruolo effettivo dell'intelligenza artificiale nel target selection rispetto ad altri strumenti non è verificabile indipendentemente.

Qual è il rapporto tra NIS2 e il trend?

È troppo presto per valutare l'efficacia della direttiva. ShieldPage collega NIS2 alla riduzione del dwell time, ma non fornisce dati che isolino l'impatto normativo da altri fattori.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Sul tema

  • Prinz Eugen: il ransomware che cifra prima i file più recenti
  • FlowiseAI CSV Agent RCE: codice Python arbitrario con bypass autenticazione
  • ZDI-26-376: RCE in Quest NetVault Backup con bypass autenticazione

Fonti

Fonti e riferimenti
  1. darkreading.com
  2. shieldpage.com
  3. euvd.enisa.europa.eu
  4. enisa.europa.eu