Il dato che colpisce, nel report del CERT-AGID relativo a febbraio 2026, non è soltanto la quantità, ma la qualità della ripetizione. 279 campagne malevole in un solo mese, con 173 mirate agli utenti italiani e 106 campagne generiche che comunque impattano il territorio, descrivono un fenomeno che non assomiglia più a un’ondata episodica, ma a un rumore di fondo organizzato, metodico, industriale. A corredo, 2601 indicatori di compromissione condivisi con enti accreditati, segno che la risposta non può essere soltanto reattiva: serve una catena di difesa che anticipi i pattern e neutralizzi i vettori prima che diventino “normali” nella vita digitale degli utenti. Dentro questo volume, emergono tre elementi che spiegano perché febbraio 2026 sia stato, per l’Italia, un mese ad alta pressione. Il primo è la centralità di temi quotidiani ad alta credibilità, in particolare multe e pagamenti che imitano flussi pubblici e para-pubblici. Il secondo è la continuità delle campagne di banking phishing, che colpiscono brand ad alta penetrazione e giocano sull’urgenza. Il terzo è la crescita di una componente “mobile-first” fatta di smishing e APK malevoli, in cui l’utente viene spinto a installare qualcosa che, nella narrativa dell’attaccante, appare come una verifica, un aggiornamento, un documento da visualizzare.
Cosa leggere
Panoramica generale: numeri che descrivono una pressione costante
Il report quantifica la superficie d’attacco con un conteggio netto: 279 campagne nel mese. La distinzione tra campagne “mirate” e “generiche” non va letta come una differenza di pericolosità, ma di stile operativo. Le 173 campagne mirate sfruttano in modo più diretto brand e temi italiani, mentre le 106 generiche adottano format più internazionali che però si adattano bene anche al contesto nazionale, soprattutto quando passano da canali come email e SMS dove il filtro cognitivo è più debole. I 2601 IOC rappresentano la parte “operativa” del lavoro del CERT-AGID: non solo conteggio, ma tracciabilità. È qui che la difesa può diventare concreta, perché l’indicatore non è una frase, è un oggetto: un hash, un dominio, un pattern di URL, un artefatto. E quando gli indicatori vengono condivisi con enti accreditati, l’effetto potenziale non è soltanto informativo, ma di interdizione, a patto che le organizzazioni li applichino davvero a livello di SIEM, EDR, gateway mail e controlli DNS. La scansione settimanale mostra un calo progressivo nel corso del mese, ma non un vero “rientro”. La settimana 7–13 febbraio registra 108 campagne, la 14–20 scende a 98, la 21–27 arriva a 73. È un andamento che può suggerire cicli di distribuzione e ricalibrazione: inizio mese ad alta intensità, poi ottimizzazione, poi selezione dei target più vulnerabili. In parallelo, il numero dei temi sfruttati supera spesso quota 24 a settimana, un segnale di sperimentazione continua e di capacità di adattarsi rapidamente a ciò che “funziona” meglio.
I temi dominanti: la truffa che imita la routine
Il tema delle multe emerge come dominante, con campagne che simulano comunicazioni di pagamento e sanzioni, spesso usando il brand PagoPA come elemento di legittimazione. Qui il punto non è soltanto la grafica: è l’aderenza a un comportamento reale. Un avviso di pagamento, nel 2026, è una cosa plausibile per un’ampia fetta di popolazione. L’attaccante non deve inventare un mondo, deve replicare il più possibile quello esistente, inserendosi in una routine digitale già normalizzata. Il banking phishing resta un asse centrale: compaiono istituti come Intesa Sanpaolo, ING, BPM, ma anche realtà come Banca Profilo, BNL e servizi collegati ai pagamenti come SumUp. La logica è consolidata: l’utente viene spinto a “verificare”, “sbloccare”, “confermare”, spesso dentro finestre temporali strette e con un linguaggio che simula l’urgenza operativa delle banche. Il risultato è la sottrazione delle credenziali, ma sempre più spesso il flusso chiede anche dati aggiuntivi che abilitano frodi successive, inclusi codici, recapiti e informazioni di contesto. Accanto a multe e banking, i pagamenti legati a servizi quotidiani diventano un cavallo di Troia particolarmente efficace. Nel report è citata la pressione su Autostrade per l’Italia, con smishing che invita a risolvere un presunto problema di pagamento tramite link malevoli. Qui la forza sta nell’immediatezza: l’SMS arriva sul dispositivo che l’utente usa per pagare, spostarsi, gestire l’autenticazione. L’attacco sfrutta il fatto che il telefono è, per molte persone, il punto unico di accesso a tutto.
Vettori e formati: email come canale primario, SMS come acceleratore
Secondo la sintesi, la email veicola la maggior parte delle campagne, con un ricorso massiccio ad allegati compressi e documenti che mascherano l’esecuzione di payload. I formati ricorrenti includono ZIP e RAR, ma si osservano anche DOCX, 7Z, GZ, TAR, LZ, XLS e componenti specifici come XLAM associati a certe famiglie. Questo aspetto è importante perché mostra quanto l’attaccante continui a contare sul comportamento umano: aprire un allegato, estrarre un archivio, abilitare contenuti, “vedere” un documento. L’SMS entra come canale di accelerazione, soprattutto per l’universo Android, dove lo smishing spinge al download di APK malevoli. È un passaggio di maturità dell’ecosistema criminale: non basta più rubare credenziali via web, bisogna occupare il dispositivo. E quando l’attaccante ottiene un foothold sul telefono, la catena di valore cresce, perché si aprono possibilità di intercettazione, overlay, furto di OTP e accesso a dati personali.
Famiglie malware: la varietà come strategia e la ripetizione come metodo
Il report evidenzia che le famiglie malware arrivano fino a 17, un numero che indica un portafoglio operativo più che una singola campagna. Tra le presenze più ricorrenti spiccano Remcos, FormBook e una componente mobile associata a Copybara, con la presenza anche di stealer e keylogger come VipKeylogger e PhantomStealer, oltre a XWorm e AgentTesla in diverse combinazioni tematiche e di formato. Remcos compare come una delle famiglie più insistenti, associata a diversi temi e a formati compressi che puntano a bypassare controlli superficiali e a ridurre la visibilità dell’oggetto malevolo in fase di consegna. FormBook mantiene la sua efficacia quando veicolato in documenti che ingannano l’utente e attivano catene di esecuzione “silenziose”. XWorm e altri RAT si inseriscono nel segmento in cui l’obiettivo non è solo rubare un dato, ma ottenere controllo remoto, persistenza e capacità di muovere ulteriori moduli. La presenza di stealer e keylogger va letta in chiave economica: rubare credenziali è solo il primo livello. Le credenziali possono essere rivendute, usate per account takeover, o combinate con dati di contesto per frodi più sofisticate. In questo senso, la crescita di campagne che puntano su documenti personali e anagrafica completa diventa un moltiplicatore.
Eventi di interesse: INPS, upload di documenti e l’industrializzazione della verifica finta
Tra gli elementi più delicati compaiono le campagne a tema INPS, che nel report vengono descritte come frodi capaci di spingere l’utente a caricare documenti sensibili. Qui il salto è qualitativo: non si tratta solo di una password, ma di un pacchetto identitario che può includere carta d’identità, tessera sanitaria, patente, buste paga, fino a elementi come selfie o documenti fiscali citati nel flusso. È un tipo di sottrazione che apre scenari di frode più lunghi e persistenti, perché un documento rubato non “scade” come una password cambiata in fretta. Il report richiama anche l’evoluzione verso phishing adattivo, con spoofing di domini e meccanismi che imitano barriere di sicurezza. Il caso dei CAPTCHA finti è emblematico: l’utente interpreta il CAPTCHA come prova di legittimità, mentre l’attaccante lo usa come passaggio per esfiltrare credenziali, anche tramite canali come bot su Telegram. È un ribaltamento psicologico semplice e potente: la sicurezza simulata diventa leva di compromissione.
Smishing e mobile: quando la frode entra nel dispositivo
Il segmento mobile, nel report, è quello che merita la maggiore attenzione perché sposta l’attacco dalla sessione web al controllo del device. Le campagne che veicolano APK malevoli sfruttano la stessa grammatica di sempre, ma con una capacità maggiore di persistenza. Se l’utente installa, il malware può diventare una presenza continua, e la difesa diventa più complicata perché coinvolge permessi, overlay, accessibilità, e talvolta interazioni con servizi bancari e notifiche. In questo contesto, la citazione di famiglie come Copybara e altre componenti Android segnala che il canale SMS resta una porta privilegiata, soprattutto quando l’attaccante usa brand ad alta credibilità o servizi che gli utenti percepiscono come “di passaggio obbligato”. Il rischio non è solo personale: quando un dispositivo è compromesso, può diventare una fonte di propagazione verso contatti e reti, amplificando l’impatto.
Brand e superfici: non solo nomi noti, ma anche webmail “neutra”
Un’altra dinamica che emerge è l’ampiezza del perimetro: oltre 26 brand coinvolti, con una menzione significativa alle webmail non brandizzate. Questa componente è spesso sottovalutata, ma è coerente con la strategia degli attaccanti: quando il brand forte è troppo presidiato, si passa a superfici più neutre, meno riconoscibili, più difficili da bloccare con filtri semplici. La webmail generica, l’hosting, il pannello di controllo, i domini di rinnovo, diventano un ecosistema parallelo di truffe che colpisce tanto i privati quanto le micro-imprese. Qui la variabile critica non è solo la somiglianza grafica, ma la capacità di far credere all’utente che il problema sia “tecnico” e richieda un’azione immediata: rinnovare, confermare, evitare sospensioni. È la stessa psicologia che rende efficaci le campagne banking, ma applicata a un piano più infrastrutturale.
Cosa raccontano davvero questi numeri
Il punto, alla fine, è che febbraio 2026 fotografa un’Italia in cui la frode digitale si appoggia su tre pilastri: normalità dei temi, comodità dei canali, varietà dei payload. L’attaccante non inventa scenari alieni, replica routine: una multa, un pagamento, una banca, un ente. Usa canali a basso attrito: email e SMS. E quando serve, cambia famiglia malware, formato, tecniche di consegna, mantenendo costante l’obiettivo: ottenere credenziali, controllo remoto, identità e accesso persistente. Il lavoro del CERT-AGID, con la raccolta di campagne e IOC, mostra la parte “visibile” della difesa nazionale: tracciamento, condivisione, contromisure. Ma il report, implicitamente, evidenzia anche un limite strutturale: finché l’utente resta l’anello più facile da spingere all’azione, l’attacco continuerà a scegliere l’inganno come vettore primario. Ed è per questo che le campagne non diminuiscono davvero: cambiano pelle, non smettono.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
