Check Point Research ha pubblicato il Global Threat Intelligence Report relativo al mese di marzo 2026, rivelando che in Italia le organizzazioni hanno subito in media 2.424 attacchi informatici a settimana, ovvero il 21,5% in più rispetto agli attacchi registrati a livello globale. Le organizzazioni di tutto il mondo hanno, infatti, subito in media 1.995 attacchi informatici a settimana. Ciò rappresenta una riduzione del 5% rispetto a marzo 2025, e del 4,36% rispetto a febbraio 2026.
Questa diminuzione suggerisce una stabilizzazione a breve termine, piuttosto che un’indicazione di una ridotta capacità degli attaccanti e riflette come l’attività delle minacce possa spostarsi tra obiettivi e tecniche, mentre gli avversari ribilanciano le campagne, testano nuovi percorsi di intrusione e sfruttano l’impronta digitale in espansione delle organizzazioni moderne.
“I risultati di marzo possono sembrare una tregua, ma gli attaccanti non hanno fatto un passo indietro: hanno semplicemente cambiato marcia”, afferma Omer Dembinsky, Data Research Manager presso Check Point Research. “Man mano che la GenAI diventa uno strumento predefinito sul posto di lavoro e i gruppi di ransomware mantengono un ritmo operativo costante, le organizzazioni dovrebbero pianificare un futuro in cui il rischio è continuo, in rapida evoluzione e sempre più modellato dall’automazione. Le organizzazioni più resilienti saranno quelle che considerano la prevenzione come un sistema: riducendo l’esposizione, applicando la governance e utilizzando una protezione basata sull’intelligenza artificiale in grado di fermare le minacce prima che si diffondano.”
I settori più colpiti in Italia nel mese di marzo 2026 risultano essere quello governativo, dei beni e servizi al pubblico e quello industriale.
A libello globale il settore dell’istruzione rimane il più attaccato, con una media di 4.632 attacchi settimanali per organizzazione. Seguono gli enti governativi con 2.582 attacchi a settimana, mentre le telecomunicazioni si sono classificate al terzo posto con 2.554 attacchi.
Il settore dell’ospitalità, dei viaggi e del tempo libero ha registrato un aumento degli attacchi del 30% su base annua, in linea con l’aumento dei viaggi primaverili ed estivi. Questo cambiamento stagionale amplia tipicamente la superficie di attacco attraverso un aumento delle transazioni digitali, una maggiore dipendenza da terze parti e un ritmo operativo più veloce — condizioni che i criminali informatici sfruttano frequentemente.
A livello regionale, l’America Latina ha registrato il volume di attacchi più elevato, con una media di 3.054 attacchi a settimana per organizzazione, mostrando un aumento su base annua. La regione APAC si è classificata al secondo posto con una media di 3.026 attacchi settimanali, seguita dall’Africa con 2.722 attacchi settimanali per organizzazione. L’Europa ha registrato 1.647 attacchi settimanali, pari a una riduzione del -7% rispetto al mese di marzo 2025, e il Nord America con 1.384 attacchi settimanali per organizzazione ha fatto registrare una flessione del -8%.
Nonostante il calo degli attacchi complessivi, il rischio legato alla GenAI continua ad aumentare. Nel mese di marzo, 1 prompt GenAI su 28 inviati da ambienti aziendali presentava un alto rischio di fuga di dati sensibili, con un impatto sul 91% delle organizzazioni che utilizzano regolarmente strumenti di GenAI. Un ulteriore 17% dei prompt conteneva informazioni potenzialmente sensibili.
A marzo ogni organizzazione ha utilizzato in media 9 diversi strumenti GenAI, mentre l’utente medio ha generato 78 prompt, sottolineando la rapidità con cui l’IA si è integrata nei flussi di lavoro quotidiani, spesso anticipando i controlli di governance e sicurezza.
Nel loro insieme, questi dati mostrano che il rischio si sta spostando dal volume degli attacchi all’impatto, con dati sensibili sempre più esposti attraverso le interazioni quotidiane con la GenAI che spesso sfuggono ai tradizionali controlli di sicurezza e governance. In effetti, le organizzazioni stanno creando nuove vie di esposizione più silenziose su larga scala, aumentando la probabilità di fuga di dati e di sfruttamento a valle anche senza una violazione convenzionale.
Il ransomware rimane una delle minacce più destabilizzanti nel mese di marzo, con 672 attacchi segnalati pubblicamente. Sebbene ciò segni un calo dell’8% rispetto a marzo 2025, rappresenta un aumento del 7% rispetto a febbraio 2026, segnalando un rinnovato slancio di mese in mese.
Il settore dei servizi alle imprese è stato quello più preso di mira, rappresentando il 35% degli incidenti di ransomware, seguito dai beni e servizi di consumo (14%) e dalla produzione industriale, che insieme rappresentano il 61% delle vittime segnalate.
In termini di attacchi ransomware per regione, la regione più colpita è stata il Nord America, rappresentando il 55% di tutti gli incidenti ransomware segnalati, seguita dall’Europa con il 24% e dall’APAC con il 12%. Sebbene il Nord America rimanga la regione più colpita, l’Europa ha registrato un notevole aumento, passando dal 17% di tutti gli attacchi segnalati nel febbraio 2026 al 24% di questo mese.
Se si considerano gli attacchi ransomware per paese, gli Stati Uniti sono stati i più colpiti, rappresentando il 52% degli attacchi ransomware segnalati, seguiti dalla Germania con il 5% e dalla Francia con il 4%. L’Italia si posiziona sesta in questa classifica con il 3,4% degli attacchi.
A marzo, l’attività del ransomware è stata guidata da un piccolo gruppo di attori altamente operativi, con Qilin che ha rappresentato il 20% degli attacchi segnalati pubblicamente, seguito da Akira e DragonForce. Nonostante questi tre gruppi da soli fossero responsabili del 40% di tutti gli incidenti segnalati, è rilevante osservare che 47 diversi gruppi di ransomware hanno colpito pubblicamente organizzazioni in tutto il mondo durante il mese.
Questa combinazione di concentrazione e frammentazione evidenzia un ecosistema di ransomware in fase di maturazione, in cui le piattaforme Ransomware as a Service consolidate continuano a crescere attraverso il reclutamento di affiliati, strumenti avanzati e funzionalità multipiattaforma, mentre un numero crescente di operatori più piccoli mantiene la pressione in tutti i settori. Il risultato è un panorama delle minacce che rimane resiliente, adattivo e difficile da smantellare, anche se i singoli gruppi salgono e scendono di importanza.
