Maggio 2026 da record: oltre 450 attacchi cyber contro cittadini, banche e PA

Maggio 2026 entra tra i mesi più intensi mai registrati dal punto di vista della minaccia informatica in Italia. Le quattro sintesi settimanali pubblicate dal CERT-AGID mostrano un quadro caratterizzato da oltre 450 campagne malevole, una pressione costante contro cittadini, imprese, istituzioni e clienti bancari che conferma la maturità raggiunta dall’ecosistema criminale specializzato nel phishing e nella distribuzione di malware. I cybercriminali hanno sfruttato temi particolarmente efficaci sul pubblico italiano come PagoPA, SEND, INPS, rimborsi fiscali, comunicazioni bancarie, rinnovi di servizi digitali e notifiche amministrative. Il risultato è stato un flusso continuo di email fraudolente, SMS di smishing, allegati compressi contenenti malware e siti clone costruiti per sottrarre credenziali, dati finanziari e informazioni personali. Le statistiche del mese mostrano come il vettore umano continui a rappresentare il bersaglio principale degli attaccanti, che preferiscono convincere la vittima ad aprire un allegato o cliccare un link piuttosto che sfruttare vulnerabilità tecniche complesse. In questo scenario emergono famiglie malware come AgentTesla, Remcos, XWorm, FormBook, QuasarRAT, SnakeKeylogger, TrickMo e numerose varianti distribuite attraverso campagne costruite specificamente per il contesto italiano.

La prima settimana apre il mese con oltre cento campagne malevole

La prima settimana di maggio rappresenta già un segnale preoccupante. Il CERT-AGID registra 131 campagne malevole, delle quali 96 indirizzate specificamente all’Italia. Il tema dominante è quello delle multe, utilizzato in almeno ventiquattro campagne di phishing che sfruttano il marchio PagoPA per simulare notifiche ufficiali di contravvenzioni non saldate. Le email vengono costruite con una grafica credibile e invitano la vittima a effettuare un pagamento immediato per evitare ulteriori sanzioni. Parallelamente cresce il fenomeno del banking phishing, con diciassette campagne rivolte a clienti di Intesa Sanpaolo, Nexi, PayPal e altri operatori finanziari. Gli attaccanti non si limitano al furto di credenziali, ma iniziano a utilizzare malware mobili come TrickMo e RelayNFC, diffusi tramite SMS che invitano a scaricare applicazioni Android contraffatte. Un’altra direttrice di attacco è rappresentata dalle false comunicazioni INPS, utilizzate per promuovere inesistenti bonus carburante e incentivi economici. In questo caso viene sfruttata la piattaforma criminale Darcula, un servizio di phishing-as-a-service particolarmente efficace nella raccolta di dati di pagamento. Le campagne a tema ordine e spedizione continuano invece a distribuire malware come FormBook, AgentTesla, Remcos e XWorm, nascosti all’interno di archivi RAR, ZIP e 7Z. La settimana si chiude con oltre 1382 indicatori di compromissione individuati dagli analisti del CERT, segnale della forte attività criminale in corso.

PagoPA diventa il marchio più sfruttato dagli attaccanti

Uno degli elementi più significativi emersi durante tutto il mese riguarda l’utilizzo sistematico del marchio PagoPA. Gli attaccanti comprendono perfettamente che milioni di italiani hanno familiarità con la piattaforma e che una comunicazione riguardante una multa o un pagamento amministrativo può generare immediatamente ansia e urgenza. Il phishing moderno non punta più soltanto sulla credibilità tecnica, ma soprattutto sulla pressione psicologica. Ricevere una comunicazione che segnala una presunta sanzione amministrativa induce molte persone ad agire rapidamente senza effettuare verifiche. Le campagne osservate dal CERT-AGID mostrano una crescente professionalizzazione delle infrastrutture criminali. I siti clone replicano perfettamente loghi, colori e percorsi di autenticazione ufficiali. Le email utilizzano domini compromessi o servizi temporanei per evitare i filtri antispam. Gli SMS arrivano spesso da numerazioni apparentemente legittime e sfruttano tecniche di spoofing per aumentare la fiducia della vittima. L’efficacia di queste operazioni spiega perché il tema delle multe resti dominante per tutto il mese.

La seconda settimana conferma la crescita del phishing bancario

Nella seconda settimana il numero totale di campagne scende leggermente a 104, ma il livello di sofisticazione continua ad aumentare. Le operazioni con target italiano sono 73, mentre il phishing a tema multe raggiunge quota ventisei campagne. Accanto a PagoPA cresce ulteriormente il fenomeno del banking phishing, che coinvolge clienti di Intesa Sanpaolo, Klarna, BNL e altri operatori finanziari. In diversi casi le campagne non si limitano alla raccolta delle credenziali, ma tentano di installare malware mobili come Copybara, Herodotus e nuovamente RelayNFC, strumenti progettati per intercettare codici di autenticazione, notifiche bancarie e dati NFC utilizzati per i pagamenti contactless. Particolarmente interessante risulta la comparsa di campagne che imitano servizi di rinnovo digitale. Tra i bersagli figurano Aruba, Netflix e persino l’Università della Basilicata, il cui portale viene clonato all’interno di una pagina fraudolenta ospitata su infrastrutture apparentemente legittime. Questa strategia conferma una tendenza sempre più evidente: gli attaccanti cercano di nascondersi all’interno di piattaforme affidabili per ridurre le possibilità di rilevamento. Durante la settimana vengono raccolti 828 indicatori di compromissione, ulteriore prova della varietà delle infrastrutture utilizzate.

Malware e phishing diventano sempre più integrati

L’analisi delle campagne di maggio evidenzia un cambiamento significativo nelle tattiche utilizzate dai criminali informatici. In passato phishing e malware erano spesso attività separate. Oggi le due componenti vengono combinate all’interno della stessa operazione. L’obiettivo iniziale può essere il furto delle credenziali, ma il sistema viene spesso completato con l’installazione di un RAT o di un keylogger che consente agli attaccanti di mantenere accesso persistente alla macchina compromessa. Malware come AgentTesla, Remcos, XWorm e FormBook restano protagonisti perché offrono funzionalità molto versatili. Possono rubare password salvate nei browser, catturare schermate, registrare tasti digitati e trasmettere informazioni verso server di comando e controllo. La presenza di questi strumenti all’interno di allegati compressi continua a rappresentare una delle tecniche più efficaci per aggirare i controlli automatici. Gli archivi ZIP, RAR e 7Z consentono infatti di nascondere payload malevoli e ridurre la probabilità che vengano immediatamente bloccati dai gateway di posta elettronica.

La terza settimana introduce SEND nelle campagne sulle multe

La terza settimana di maggio rappresenta uno dei momenti più interessanti dal punto di vista evolutivo. Le campagne totali sono 94, con 75 orientate verso obiettivi italiani. Il tema delle multe raggiunge il suo picco con 46 campagne, grazie all’introduzione di riferimenti al sistema SEND, la piattaforma per le notifiche digitali della pubblica amministrazione. Gli attaccanti dimostrano una straordinaria capacità di adattamento ai cambiamenti normativi e tecnologici del Paese. Ogni nuovo servizio pubblico viene rapidamente osservato e trasformato in un possibile vettore di ingegneria sociale. Accanto alle frodi PagoPA compaiono così email che simulano notifiche digitali ufficiali e invitano la vittima a verificare documenti o procedere a pagamenti urgenti. Sul fronte bancario continuano le campagne contro Intesa Sanpaolo, Klarna, Banco BPM e PayPal, accompagnate dalla diffusione di malware come AntiDot e QuasarRAT. Anche il settore universitario torna nel mirino attraverso una falsa pagina dedicata all’Università degli Studi di Bari Aldo Moro, ospitata sulla piattaforma Weebly. Gli oltre 1014 indicatori di compromissione identificati durante la settimana dimostrano la dimensione industriale delle operazioni osservate.

L’ultima settimana conferma il consolidamento delle tecniche criminali

La quarta settimana non introduce rivoluzioni tattiche ma conferma la stabilizzazione delle tecniche che hanno caratterizzato tutto il mese. Le campagne malevole tornano a quota 104, con 73 obiettivi italiani. Le frodi legate a PagoPA, SEND e ai servizi bancari restano predominanti. Le famiglie malware più diffuse continuano a essere AgentTesla, Remcos, XWorm e FormBook, ormai presenti in maniera ricorrente nelle campagne osservate. Gli attaccanti mostrano una preferenza netta per gli allegati compressi e per le comunicazioni che simulano attività amministrative o finanziarie. L’obiettivo è sempre lo stesso: sfruttare la fiducia dell’utente nei confronti di soggetti istituzionali o economici percepiti come autorevoli. Il quadro finale del mese evidenzia una notevole continuità operativa. Non si tratta di attacchi isolati, ma di campagne coordinate che sfruttano infrastrutture consolidate e modelli criminali ormai industrializzati.

AgentTesla, Remcos e XWorm guidano l’ecosistema malware del mese

L’analisi delle famiglie malware rilevate dal CERT-AGID permette di comprendere meglio la natura delle minacce attive. AgentTesla continua a essere uno dei malware più diffusi grazie alla sua capacità di rubare credenziali da browser, client email e applicazioni desktop. Remcos RAT mantiene una forte presenza perché offre controllo remoto completo sui sistemi compromessi. XWorm viene utilizzato per attività di accesso remoto, furto dati e persistenza. FormBook e SnakeKeylogger restano invece strumenti privilegiati per il furto di informazioni e la registrazione delle attività dell’utente. La diffusione di queste famiglie dimostra che i criminali puntano soprattutto alla monetizzazione attraverso il furto di account, dati finanziari e accessi aziendali. Non si osservano soltanto attacchi opportunistici contro utenti privati, ma anche tentativi di compromettere organizzazioni pubbliche, università e aziende per ottenere informazioni di valore economico maggiore.

Come difendersi dalle campagne che colpiscono l’Italia

Le raccomandazioni pubblicate dal CERT-AGID mantengono un’importanza centrale perché la maggior parte delle campagne osservate sfrutta errori umani piuttosto che vulnerabilità tecniche avanzate. La verifica dell’origine delle comunicazioni resta il primo livello di difesa. Email che richiedono pagamenti urgenti, aggiornamenti di credenziali o download di allegati devono essere trattate con estrema cautela. È fondamentale controllare l’indirizzo del mittente, verificare direttamente sui portali ufficiali eventuali notifiche e non utilizzare link presenti nei messaggi ricevuti. L’adozione dell’autenticazione a due fattori riduce significativamente il rischio di compromissione degli account. Le organizzazioni devono rafforzare i sistemi di filtraggio della posta elettronica, implementare procedure di awareness periodica e monitorare costantemente gli indicatori di compromissione pubblicati dagli organismi nazionali. L’utilizzo di software aggiornati e soluzioni di protezione endpoint rappresenta un ulteriore livello di sicurezza contro malware come AgentTesla, Remcos e XWorm.

Maggio 2026 conferma la maturità del cybercrime contro l’Italia

I dati raccolti nel corso del mese mostrano un ecosistema criminale estremamente organizzato, capace di adattarsi rapidamente ai cambiamenti tecnologici e normativi italiani. L’abuso di marchi come PagoPA, INPS, SEND, istituti bancari e università dimostra che gli attaccanti studiano attentamente il contesto nazionale prima di lanciare nuove campagne. Oltre 450 operazioni malevole in quattro settimane rappresentano un volume significativo che conferma come l’Italia sia ormai un bersaglio stabile per attività di phishing, smishing e distribuzione malware. La crescita delle campagne osservate dal CERT-AGID indica che il cybercrime continua a investire risorse nella costruzione di infrastrutture sempre più credibili e difficili da distinguere dalle comunicazioni legittime. In questo scenario, consapevolezza, aggiornamento tecnologico e collaborazione tra pubblico e privato restano gli strumenti più efficaci per ridurre il successo delle operazioni criminali e limitare l’impatto economico e operativo degli attacchi.