Dove siamo alla fine del 2025
Il panorama delle minacce del 2025 mostra come le cyber-minacce stiano aumentando su molteplici fronti. Sia gli attori statali sia le organizzazioni cybercriminali si evolvono rapidamente, sfruttano nuove opportunità e mettono costantemente alla prova le difese a livello globale. I principali trend che caratterizzano lo scenario attuale includono:
Crescente impatto del ransomware alimentato da attori occidentali
Gruppi come Scattered Spider intensificano la crisi del ransomware con campagne audaci che partono spesso dal furto di credenziali e dall’abuso delle identità digitali.
Aumento degli attacchi alla supply chain digitale
Sebbene partano da una base ancora limitata, le compromissioni dei fornitori software e dei servizi digitali sono in crescita, poiché gli attaccanti mirano a ottenere maggiore scala ed effetto leva.
Sperimentazioni malevole con GenAI
I threat actor continuano a testare l’IA generativa, ottenendo progressi incrementali nel phishing, nello sviluppo di malware, nei deepfake e nell’automazione, più che veri e propri salti tecnologici.
Infiltrazione da parte di lavoratori IT nordcoreani
Operatori della Corea del Nord che si spacciano per freelance infiltrano aziende per rubare codice, credenziali e valuta estera.
Social engineering in prima linea
Tecniche come le esche “click-fix” (che sfruttano la fiducia degli utenti verso piattaforme considerate sicure, come Google Meet, Zoom o Booking.com, per convincerli a eseguire manualmente l’azione che infetterà il loro dispositivo) i finti help desk, il phishing tramite QR code e la cosiddetta “MFA fatigue” (che si verifica quando l’autore di un attacco informatico, dopo aver ottenuto la password della vittima, tenta ripetutamente di accedere al suo account generando una raffica di richieste MFA sul suo telefono. L’obiettivo è stancare o confondere l’utente con così tante notifiche da indurlo, per errore o esasperazione, ad approvarne una, concedendo così l’accesso all’attaccante), restano vettori d’attacco estremamente efficaci.
La persistente minaccia della cyber-intelligence cinese
Campagne continue che spaziano dall’attacco ai dispositivi di rete periferici fino ai servizi cloud strategici, ricchi di dati sensibili, riflettono le priorità geopolitiche di Pechino.
Dove stiamo andando: previsioni per il 2026
L’evoluzione di questi trend porterà nel 2026 nuove tattiche e rischi, spingendo i difensori verso territori ancora inesplorati. Ecco le principali previsioni:
1) Déjà Vu
Nel 2026 assisteremo a un grave attacco informatico che causerà enormi disagi.
La causa principale sarà una scarsa igiene informatica e sarebbe stato del tutto possibile prevenire l’attacco.
2) Frodi vocali deepfake su scala enterprise
Gli attaccanti potrebbero sfruttare il voice cloning basato su IA per aggirare i processi di verifica dell’identità in ambiti critici — come approvazioni finanziarie, reset delle password e onboarding dei fornitori — spostando il social engineering dai canali digitali ai canali vocali in tempo reale.
3) Frodi del CEO “agentificate” su larga scala
L’unione tra IA generativa e IA agentica potrebbe automatizzare truffe altamente personalizzate basate su voce e video deepfake di CEO. Squadre di agenti potrebbero raccogliere clip vocali o video, generare contenuti falsi in base agli obiettivi e condurre chiamate via WhatsApp con dirigenti selezionati, mostrando un breve video deepfake prima di spostarsi su chat testuali.
4) Rischio insider amplificato dall’uso dell’IA
Le organizzazioni potrebbero registrare un aumento di incidenti causati da insider — sia malevoli, sia frutto di errori amplificati dall’IA. Strumenti GenAI usati per la produttività possono esporre accidentalmente dati sensibili tramite connettori mal configurati, prompt contenenti informazioni critiche o integrazioni non autorizzate.
5) Furti di criptovalute di portata ancora maggiore
È plausibile che si verifichi un furto superiore ai 1,5 miliardi di dollari sottratti a ByBit, probabilmente attribuibile alla Corea del Nord.
6) Lavoratori IT nordcoreani che sfruttano l’IA per frodi avanzate
Gli sviluppatori della RPDC potrebbero utilizzare IA agentica per migliorare la credibilità delle identità false, aumentare la rapidità delle comunicazioni e svolgere in modo più efficace attività da remoto.
7) Il ransomware resta una delle minacce principali
Il ransomware continuerà a essere la forma dominante di cybercrimine ad alto impatto, con crescente frammentazione del mercato e un aumento della partecipazione di gruppi non russofoni, in particolare anglofoni e sinofoni.
Il panorama delle minacce si sta espandendo: dalle campagne ransomware tradizionali si passa sempre più ad attacchi basati sull’identità, frodi abilitate dall’IA e rischi insider amplificati dall’automazione. Per restare un passo avanti, le organizzazioni dovranno ripensare i controlli su identità, governance dell’IA e gestione del rischio insider.
Quando la cyber insurance inizia a monitorare in modo continuo
Jessica Newman, Global GM of Cyber Risk Partnerships
La cyber insurance si sta muovendo verso un’intelligence del rischio in tempo reale, in cui la telemetria continua sostituisce i questionari annuali statici. Nel 2026 l’underwriting diventerà dinamico: condizioni di polizza e pricing si adegueranno in base alle prestazioni di sicurezza live, anziché su ipotesi teoriche. Con la maturazione degli standard di telemetria, lo scambio continuo di dati diventerà la norma in tutto il settore.
Gli MSP diventeranno partner virtuali vCISO AI-first — non più solo operatori di sicurezza
Scott Barlow, Chief Evangelist and Global Head of Community
Nel 2026 l’AI costringerà gli MSP a evolvere da fornitori di sicurezza reattivi a partner di rischio guidati dall’intelligenza artificiale, che opereranno come vCISO per le organizzazioni meno mature sul fronte della sicurezza. Queste organizzazioni si affideranno agli MSP per governare l’uso dell’AI, automatizzare l’applicazione delle policy e valutare l’impatto sul business delle decisioni guidate dall’AI. Il vero vantaggio competitivo non saranno gli strumenti, ma i framework di governance dell’AI che i partner sapranno rendere operativi. A vincere saranno gli MSP che aiuteranno i clienti a bilanciare innovazione e adozione sicura e conforme.
Il canale si dividerà in due filoni — fornitori di efficienza vs fornitori di risultati
Scott Barlow, Chief Evangelist and Global Head of Community
L’ecosistema del canale si sta avviando verso una divisione strutturale: alcuni partner si concentreranno su una fornitura di servizi iper-efficiente e automatizzata dall’AI, mentre altri si differenzieranno grazie a competenze verticali e risultati di business misurabili. Entro il 2026, i clienti non confronteranno più gli MSP in base ai cataloghi dei servizi, ma in base a metriche come risultati per dipendente, tempo di remediation e riduzione del rischio per euro investito. Questo spingerà i partner a ripensare modelli di pricing, supporto e strategie di gestione dei talenti. Chi continuerà ad aggrapparsi ai modelli di “supporto illimitato” sarà il primo a subire la pressione.
L’AI amplificherà scala e sofisticazione dei threat actor
Nel 2026 gli attaccanti continueranno a usare l’AI come moltiplicatore di forza. L’AI renderà molto più semplice armare vulnerabilità note, abbassando la barriera d’ingresso per l’hacking di base e consentendo uno sfruttamento ampio e rapido su tutta Internet.
I payload verranno personalizzati più velocemente che mai e il social engineering diventerà estremamente mirato, includendo phishing che riflette una conoscenza profonda dello stack tecnologico di un’organizzazione e persino dei modelli di viaggio e delle preferenze personali. I deepfake audio e video renderanno le campagne BEC più convincenti e credibili, quindi più difficili da smascherare.
Vedremo anche un aumento del malware polimorfico, con codice che cambia continuamente per eludere il rilevamento. L’AI sposterà l’equilibrio di potere, permettendo anche a threat actor con competenze limitate di operare con una velocità e una precisione un tempo riservate ai gruppi più avanzati. – John Petterson, Chief Development Officer, Sophos
- La vera Attack Surface: la tua applicazione AI
È probabile che nel prossimo anno assisteremo a violazioni importanti causate da attacchi di prompt injection. Per anni i team di sicurezza hanno lavorato per ridurre l’esposizione su Internet, consapevoli che tutto ciò che è esposto aumenta il rischio. Firewall, VPN e ZTNA avevano proprio questo obiettivo.
Ora, quasi da un giorno all’altro, abbiamo creato una nuova superficie di attacco: applicazioni AI distribuite rapidamente. Molte sono esposte su Internet, spesso senza autenticazione, e collegate a dati che molte aziende considerano sensibili o riservati. Ancora più preoccupante è il fatto che a queste applicazioni sia concessa la capacità di agire per conto dell’azienda.
La velocità di adozione dell’AI sta generando enormi vantaggi per quanto riguarda l’efficienza, ma se le aziende non rallentano per valutare questi rischi, riapriranno vulnerabilità che abbiamo impiegato decenni a chiudere. – Tom Gorup, VP SOC Operations, Sophos
- Blue team in vantaggio nella corsa agli armamenti dell’AI
Per una volta, chi si occupa di sicurezza informatica haun vantaggio. I blue team possono sfruttare liberamente LLM all’avanguardia, mentre gli autori degli attacchi affrontano restrizioni sempre maggiori. Grandi vendor come OpenAI e Anthropic stanno attivamente espellendo i threat actor dai loro ecosistemi, limitando la loro capacità di generare codice malevolo o exploit.
Nel frattempo, i responsabili della protezione dalle cyberminacce utilizzano gli stessi strumenti per costruire automazione, capacità di rilevamento e risposta più solide. Per la prima volta da anni, i “buoni” potrebbero essere leggermente in vantaggio. Tuttavia, man mano che modelli open source sempre più potenti diventano più economici e facili da distribuire, il divario si ridurrà rapidamente. I blue team possono trarre conforto dal vantaggio attuale, ma non c’è spazio per abbassare la guardia: questo è il momento di spingere sull’acceleratore, restare combattivi e mantenere la posizione dominante. – Tom Gorup, VP SOC Operations, Sophos
- Il prossimo insider è la tua AI
Le aziende stanno correndo per implementare LLM e agenti, anche quelli approvati internamente. Alimentando questi strumenti con enormi volumi di dati aziendali, stanno creando una nuova classe di minaccia interna.
Quando questi dati trapelano, chi è responsabile? L’AI è un “dipendente”? E chi si assume la responsabilità quando va fuori controllo, viene compromessa o è configurata in modo errato? – Chris O’Brien, VP, Security Operations, Sophos
- Il costo nascosto della velocità: il burnout
Nel 2026, le imprese di quasi tutti i settori potrebbero iniziare a percepire il lato negativo di una spinta sull’AI orientata ai guadagni a breve termine, senza investimenti equivalenti in supervisione umana e comprensione dei sistemi.
Con il lavoro quotidiano sempre più affidato al ragionamento automatizzato, i tassi di errore possono aumentare, non perché le persone siano meno attente, ma perché la delega costante atrofizza lentamente il giudizio umano e il riconoscimento dei pattern. Il sovraccarico cognitivo diventerà un rischio operativo reale: output prodotti a ritmo macchina arriveranno più velocemente di quanto le decisioni umane possano gestire, creando arretrati di lavoro irrisolto.
La compiacenza verso l’automazione potrebbe diffondersi, mentre i team si abituano a fidarsi di sistemi che non comprendono più completamente, ampliando il divario tra rischio percepito e rischio reale. Il burnout aumenterà quando l’AI accelererà il ritmo di lavoro oltre ciò a cui individui e aziende possono adattarsi in modo sostenibile. E la responsabilità si farà confusa quando i risultati saranno il prodotto di una collaborazione uomo-macchina, senza un chiaro responsabile quando qualcosa va storto. In questo contesto, la velocità sembra progresso… finché il suo costo nascosto non emerge sotto forma di minore stabilità, resilienza più debole e capacità umane in erosione. – Tom Gorup, VP SOC Operations, Sophos - Lezioni apprese sull’AI: i costi nascosti delle scorciatoie
Affrettandoci a risolvere problemi di breve periodo con l’AI, stiamo creando problemi a lungo termine per il settore della sicurezza e non solo. Ogni soluzione rapida introduce dipendenze nascoste, erode competenze ed esperienza umane e sposta il rischio in aree che spesso non consideriamo nemmeno.
Man mano che i team si affidano sempre più all’automazione, le competenze umane inizieranno a svanire e gli analisti sentiranno la pressione di tenere il passo con sistemi che operano più velocemente di quanto il cervello umano possa elaborare. Nel tempo, questo può portare a compiacenza, burnout e persino confusione sulla responsabilità. Quando un’AI raccomanda un’azione, chi possiede davvero la decisione? – Tom Gorup, VP SOC Operations, Sophos
- Se non sei il primo, sei l’ultimo
Chris O’Brien, VP, Security Operations at Sophos
Con l’integrazione sempre più profonda degli LLM in motori di ricerca, piattaforme e strumenti, il coinvolgimento online sta determinando sempre di più quali contenuti vengono messi in evidenza — non la loro accuratezza. Nel 2026 la velocità conterà più che mai. I ricercatori e i team di risposta alle minacce gareggeranno per essere i primi a pubblicare le proprie analisi, sapendo che la visibilità iniziale aumenta portata e credibilità. Ci si può aspettare un aumento del threat reporting open source, con i brand in competizione per attirare l’attenzione, insieme a sfide crescenti legate al reporting circolare, alla verifica dei fatti e alla gestione efficace della conoscenza.
MDR + AI
Quando il sistema MDR smette di essere umano
Nel 2026 il mercato MDR raggiungerà un punto di svolta. La linea di confine tra un servizio di managed detection e uno strumento guidato dall’AI diventerà così sfumata che i clienti non sapranno più cosa stanno acquistando.
I vendor commercializzeranno software come soluzioni MDR complete, facendo leva sull’AI per compensare una limitata profondità umana. Questo cambiamento creerà sfide reali: i clienti non sapranno dove finisce il giudizio umano, cosa è automatizzato o chi sta realmente monitorando il loro ambiente 24/7.
La fiducia diventerà più difficile da calibrare quando il “team” dietro la sicurezza è composto in gran parte da codice. Con il crescere di questa ambiguità, gli acquirenti faticheranno a valutare competenza, responsabilità e affidabilità, costringendo il settore a chiedersi se l’MDR sia ancora un servizio, uno strumento o qualcosa a metà. – Tom Gorup, VP SOC Operations, Sophos
Human-in-the-Loop definirà l’MDR
Rob Harrison, SVP, Product Management
I servizi MDR saranno costretti a dimostrare — non solo a dichiarare — che l’intervento umano è ancora centrale. Con il rilevamento basato sull’AI ormai diventato uno standard, gli acquirenti pretenderanno trasparenza su chi monitora il loro ambiente, chi prende le decisioni e dove viene applicato il giudizio umano. I servizi MDR che si affidano esclusivamente all’automazione faranno fatica a guadagnare fiducia, soprattutto durante incidenti ambigui e ad alto impatto. I fornitori più solidi saranno quelli che useranno l’AI per potenziare gli analisti, accelerando indagini, prioritizzazione e risposta, invece di sostituirli. L’MDR si differenzierà per risultati responsabili e misurabili, non per promesse di autonomia.
Channel + MSP + Cyber Insurance
Il mercato “soft” premia la visibilità, non le supposizioni
Jessica Newman, Global GM of Cyber Risk Partnerships, Sophos
In un mercato assicurativo cyber “soft”, le compagnie premieranno la visibilità più delle supposizioni. Con un numero crescente di assicuratori in competizione, gli acquirenti potranno avere maggiore leva, ma l’underwriting si sta rapidamente spostando dalle checklist auto-dichiarate alla telemetria tecnica concreta. Nel 2026 gli assicuratori daranno priorità a prove reali delle prestazioni dei controlli di sicurezza, come managed detection and response (MDR), protezione degli endpoint, sicurezza dell’identità, sicurezza di rete, gestione delle vulnerabilità, sicurezza email e MFA. Le compagnie cercano telemetria e privilegeranno la raccolta di dati su elementi come la latenza delle patch e la velocità di rilevamento e risposta, rispetto alle semplici attestazioni. Le organizzazioni in grado di dimostrare una visibilità in tempo reale su questi controlli otterranno le migliori coperture e condizioni assicurative, mentre quelle che si basano su promesse scopriranno che la “morbidezza” del mercato non si applica allo stesso modo a loro.
L’approccio MDR dimostra il proprio valore nell’equazione assicurativa
Jessica Newman, Global GM of Cyber Risk Partnerships, Sophos
Nel 2026 l’approccio MDR diventerà una leva strategica per l’assicurabilità, la continuità operativa e un ROI chiaro. Sarà considerato non solo un investimento in sicurezza, ma una fonte quantificabile di riduzione del rischio nell’underwriting delle polizze cyber. Gli assicuratori riconoscono sempre di più che le organizzazioni con rilevamento 24/7, threat hunting e risposta rapida subiscono meno perdite gravi, e premieranno questa maturità con premi migliori e coperture più ampie. Le capacità MDR guidate dall’AI miglioreranno l’accuratezza e la rendicontazione dei risultati, combinando automazione ed esperienza umana per fornire evidenze comprensibili ai board e affidabili per gli assicuratori. La telemetria MDR offrirà prove concrete di resilienza, dalla copertura completa degli endpoint al contenimento rapido. Man mano che le compagnie vedranno l’impatto finanziario e operativo, i sistemi MDR consolideranno il proprio ruolo sia come salvaguardia difensiva sia come asset di business.
Ulteriori trend tecnologici e di settore
La regolamentazione colpirà il mid-market, imponendo un nuovo livello di maturità della sicurezza
Rob Harrison, SVP, Product Management
Nel 2026 la pressione normativa si estenderà in modo deciso al mid-market. Con l’AI che accelera velocità e la portata degli attacchi, legislatori e organismi di settore spingeranno le aspettative di sicurezza oltre le grandi imprese, richiedendo anche alle organizzazioni più piccole una governance più solida, una supervisione più chiara e prestazioni continue dei controlli. Le aziende mid-market saranno tenute a rispettare standard misurabili per la protezione delle identità, il monitoraggio, la risposta agli incidenti e la governance dell’AI. La compliance passerà da un adempimento annuale a una responsabilità operativa continua. Molte organizzazioni non avranno le competenze interne per soddisfare questi requisiti, aumentando la dipendenza da partner esterni per la preparazione normativa, il reporting al management e un’adozione sicura dell’AI. La regolamentazione smetterà di essere qualcosa che riguarda solo “a monte” le grandi imprese e diventerà una forza determinante nella strategia di sicurezza del mid-market.
La messa in sicurezza degli ambienti Microsoft diventa mission-critical
Raja Patel, Chief Product Officer
Con quasi quattro milioni di organizzazioni che utilizzano Microsoft 365, la sicurezza degli ambienti Microsoft diventerà una linea di demarcazione tra organizzazioni resilienti e realtà esposte. Poiché gli attaccanti prendono sempre più di mira Entra ID, Microsoft 365, endpoint e workload cloud come un’unica superficie di attacco interconnessa, le difese puntuali non riusciranno a tenere il passo. I team di sicurezza dovranno superare strumenti isolati e adottare una visibilità unificata su identità, endpoint, email e attività cloud. Le organizzazioni in grado di correlare la telemetria Microsoft in tempo reale e rispondere con velocità e contesto riusciranno a contrastare gli attacchi moderni; quelle che si affidano a configurazioni di default e controlli frammentati continueranno ad assorbire rischi evitabili.
L’ascesa della Workspace Security
Raja Patel, Chief Product Officer
La sicurezza del workspace diventerà un approccio fondamentale alla difesa aziendale. Con il lavoro che si estende su dispositivi, identità, applicazioni e sedi diverse, gli attaccanti sfrutteranno sempre più le lacune tra i controlli su endpoint, identità, email e SaaS. Le organizzazioni che tratteranno il workspace come un unico dominio di sicurezza, proteggendo utenti, dati e accessi ovunque si lavori, ridurranno sia la probabilità sia l’impatto delle violazioni. Chi continuerà ad affidarsi a strumenti frammentati faticherà a rilevare abusi che appaiono legittimi, perdendo i segnali iniziali che oggi nascono proprio nel workspace.
La strategia di cybersecurity erogata come soluzione
Raja Patel, Chief Product Officer
Il divario tra le organizzazioni che dispongono di un CISO e quelle che non lo hanno diventerà insostenibile. La maggior parte delle aziende non avrà mai il budget o la scala per un dirigente della sicurezza a tempo pieno, ma dovrà affrontare gli stessi attacchi, normative e rischi di business. A vincere saranno i vendor che integreranno la guida strategica direttamente nelle piattaforme, trasformando la telemetria in priorità, decisioni e risultati. Al posto di dashboard e alert, le organizzazioni chiederanno chiarezza: cosa conta davvero, cosa risolvere prima e perché. La cybersecurity evolverà da strumenti che generano dati a sistemi che forniscono giudizio di livello CISO su larga scala.
I dati conteranno più delle funzionalità nelle “guerre” tra piattaforme di cybersecurity
Raja Patel, Chief Product Officer
L’efficacia delle piattaforme di cybersecurity sarà sempre più determinata dalla qualità dei dati, non dalla quantità di funzionalità. Con attacchi sempre più rapidi e adattivi, solo i vendor con vere fondamenta di big data — in grado di offrire le quattro “V”: Volume, Velocità, Varietà e Veridicità — riusciranno a tenere il passo. Un’elevata quantità di telemetria consente una copertura ampia, la velocità permette risposte in tempo reale, la varietà fornisce contesto su più superfici di attacco e la veridicità garantisce fiducia in ogni segnale. I vendor con threat intelligence ad alta fedeltà su questa scala impareranno più rapidamente degli avversari, individueranno prima le tecniche emergenti e difenderanno meglio i clienti da minacce avanzate e in continua evoluzione.
Le organizzazioni metteranno in sicurezza il lavoro dove avviene: nel browser
Dan Cole, SVP, Product Management
La protezione del browser diventerà uno dei controlli di sicurezza più importanti. Poiché gli utenti accedono a quasi tutte le applicazioni tramite browser, gli attaccanti continueranno a sfruttarlo come il percorso più rapido verso dati, credenziali e movimenti laterali. Le organizzazioni si allontaneranno dall’accumulare costosi livelli di sicurezza cloud e applicheranno invece la sicurezza dove il lavoro avviene realmente: all’interno del browser. Browser rinforzati e governati da policy trasformeranno il browser da punto debole a vero punto di controllo, mettendo in sicurezza l’accesso ad applicazioni private, SaaS e web con prestazioni migliori, costi inferiori e una chiarezza nettamente superiore per le workforce ibride.
About Post Author
