Regione Campania
Home
CSIRT Regione Campania
Cerca

Newsletter di gennaio 2026 - ext

 

Newsletter Cybersecuirty & Data Protection

Gennaio 2026

Il CSIRT di Regione Campania si impegna a condividere mensilmente una newsletter con l'obiettivo di tenere gli Enti della Constituency costantemente aggiornati sulle ultime novità in materia di sicurezza informatica e protezione dei dati che hanno impatto sui servizi regionali rivolti ai cittadini. In tale contesto, l’impegno del CSIRT di Regione Campania è volto a garantire e rafforzare la collaborazione tra i membri della Constituency, promuovendo una maggiore consapevolezza riguardo alle tematiche di sicurezza informatica.

 

CYBERSECURITY NEWS

 

Microsoft corregge 114 vulnerabilità: individuata una falla già sfruttata

Nel primo Patch Tuesday del 2026, Microsoft ha rilasciato aggiornamenti di sicurezza che correggono 114 vulnerabilità, tra cui una falla già sfruttata attivamente (CVE 2026-20805) che interessa il Desktop Window Manager e potrebbe consentire la divulgazione non autorizzata di informazioni sensibili. Otto vulnerabilità sono classificate come critiche e molte riguardano escalation di privilegi, esfiltrazione di dati e bypass di meccanismi di sicurezza. L’episodio evidenzia la crescente complessità delle superfici d’attacco legate ai sistemi Windows e l'importanza di mantenere le patch sempre aggiornate, soprattutto per le amministrazioni pubbliche e le imprese.

Per approfondire

 

 

Tentato furto dei quiz del test di Medicina: attacco phishing ai sistemi CINECA 

Un gruppo di cyber criminali ha tentato di sottrarre i quiz del test di ammissione a Medicina dell’Università di Bologna, sfruttando una campagna di phishing mirata contro studenti e operatori. Secondo CINECA, i criminali avrebbero cercato di indurre le vittime a cliccare su link fraudolenti per accedere ai sistemi riservati e ottenere i materiali della prova. L'operazione non è andata a buon fine, ma l’episodio mostra la crescente pressione del cybercrime sui sistemi universitari e sulle infrastrutture critiche della PA, spesso colpite per il valore dei dati gestiti e la loro rilevanza pubblica. 

Per approfondire

 

 

 

Phishing: finte e-mail della Polizia Postale per rubare dati e credenziali

Circolano nuove e-mail fraudolente che imitano le comunicazioni ufficiali della Polizia Postale, sfruttando toni minacciosi e richieste urgenti per spingere gli utenti a cliccare link malevoli o aprire allegati infetti. I messaggi riportano accuse generiche e indirizzi mittente non istituzionali, con l’obiettivo di sottrarre dati personali, credenziali di accesso o installare malware sui dispositivi. Per difendersi è fondamentale verificare sempre il reale indirizzo del mittente, non cliccare sui link, non aprire allegati sospetti e segnalare l’episodio al Commissariato di PS Online.

Per approfondire

 

 

🛡️🤝 Cyberbullying: un rischio crescente negli spazi digitali della PA 🤝🛡️

 

 

 

Gli sportelli digitali della PA, i canali social istituzionali e le piattaforme di assistenza possono diventare terreno per comportamenti aggressivi o molesti verso operatori e cittadini. Commenti denigratori, attacchi coordinati e diffusione indiscriminata di dati possono compromettere fiducia, partecipazione e buon funzionamento dei servizi pubblici. 
Per mitigare questi rischi, il CSIRT Campania suggerisce di:

  • Applicare moderazione attiva ai canali pubblici dell’Ente;

  • Definire procedure chiare di escalation per episodi di abuso o violenza digitale;

  • Garantire protezione dei dati e anonimizzazione ove possibile;

  • Promuovere consapevolezza e formazione continua su comportamenti corretti, rischi digitali e netiquette.

La tutela degli spazi digitali della PA passa da comportamenti concreti e diffusi: ogni dipendente può contribuire a un ambiente di lavoro più rispettoso e resiliente.
 

🛡️🤝 Proteggere gli spazi digitali significa tutelare persone, servizi e la fiducia nelle istituzioni 🤝🛡️

 

 

Linee Guida e Normative

 

NIS2: da gennaio scattano gli obblighi di notifica per enti pubblici e soggetti essenziali

Dal gennaio 2026 entrano in vigore gli obblighi del d.lgs. 138/2024, che impongono a PA ed enti essenziali una pre-notifica entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese al CSIRT Italia. Il nuovo regime punta a rafforzare il coordinamento nazionale, migliorare la capacità di risposta e garantire un livello più uniforme di sicurezza tra amministrazioni e operatori essenziali. Per la PA, ciò si traduce nell’obbligo di dotarsi di procedure interne formalizzate, sistemi di monitoraggio più maturi e competenze dedicate alla gestione degli incidenti.           

Per approfondire ⯈

ACN e MUR presentano l’Agenda 2026 per la Ricerca e Innovazione sulla Cybersicurezza 

Il 23 gennaio 2026 ACN e MUR hanno pubblicato l’aggiornamento dell'Agenda di Ricerca e Innovazione sulla Cybersicurezza 2026. L’Agenda aggiornata riflette un contesto tecnologico in rapida evoluzione e individua sei aree interdisciplinari prioritarie — fra cui sicurezza dei dati e privacy, gestione delle minacce cyber, sicurezza del software e delle piattaforme, infrastrutture digitali, aspetti sociali e di governance — articolate in 18 sub‑aree e 61 temi di ricerca strategica. Il documento mette in forte evidenza il ruolo delle tecnologie emergenti, come intelligenza artificiale di nuova generazione, tecnologie quantistiche e operational technologies, che stanno ridefinendo i livelli di rischio e richiedono nuove competenze e strumenti per la protezione della PA e delle infrastrutture nazionali.

Per approfondire ⯈ 

 

 

AI Act: proposta UE di proroga fino a 16 mesi per i sistemi ad alto rischio 

La Commissione Europea, all’interno del pacchetto Digital Omnibus, ha proposto di posticipare l’applicazione delle disposizioni dell’AI Act dedicate ai sistemi ad alto rischio, estendendo i tempi di adeguamento fino a 16 mesi. La revisione nasce dall’esigenza di allineare gli obblighi regolatori alla reale disponibilità degli standard tecnici richiesti dal regolamento, attesi dal Cen‑Cenelec nei primi mesi del 2026. Secondo la Commissione, molte imprese — incluse PA e organizzazioni che utilizzano sistemi critici — non avrebbero avuto tempo sufficiente per adeguarsi senza un impatto significativo sui costi e sulla continuità operativa.   

Per approfondire ⯈

 

 

Newsletter a cura del CSIRT

Il CSIRT di Regione Campania rappresenta un polo di competenza locale centralizzato, dedicato sia alla protezione delle informazioni e dei sistemi, sia alla gestione degli incidenti di sicurezza informatica che possono avere un impatto sui sistemi regionali. L'obiettivo principale è quello di rafforzare la capacità di prevenzione e gestione dei rischi cibernetici, assicurando al contempo la confidenzialità e la continuità dei servizi regionali offerti ai cittadini.

Per saperne di più, consulta il sito del CSIRT Campania.