Il 2026 segna una soglia evolutiva per la cybersecurity: non si tratta più di difendere sistemi informatici, ma di proteggere la capacità stessa delle organizzazioni di operare, decidere e mantenere il controllo in un contesto digitale strutturalmente ostile. Le minacce non sono più episodiche né confinabili a singoli incidenti tecnici: sono continue, adattive, industrializzate e sempre più integrate con dinamiche geopolitiche, economiche e tecnologiche. La sicurezza entra così in una dimensione sistemica, in cui il confine tra IT, processi operativi, identità digitali, supply chain e governance del rischio si dissolve.
L’intelligenza artificiale accelera questo cambiamento in modo radicale. Da strumento di supporto è ora parte attiva delle catene di attacco, capace di automatizzare la compromissione, adattarsi alle difese e sfruttare vulnerabilità a velocità macchina. Parallelamente, la diffusione di agenti AI nei processi aziendali introduce nuove superfici di rischio, spesso poco governate, in cui l’abuso di privilegi legittimi diventa indistinguibile dal comportamento normale.
In questo scenario anche il concetto di perimetro di sicurezza si trasforma. L’identità, umana e non umana, diventa l’infrastruttura critica da cui dipende l’intera postura difensiva. Gli attacchi più efficaci non forzano più le porte: entrano con chiavi valide, spesso ottenute senza malware, sfruttando l’inerzia dei modelli di autenticazione tradizionali.
Contemporaneamente, il dominio cyber si estende al mondo fisico. Processi industriali, sistemi sanitari, edifici intelligenti, infrastrutture energetiche e logistiche sono ora bersagli diretti. Il ransomware stesso evolve in una catena produttiva basata su specializzazione e automazione, adottando modelli di multi-estorsione.
Infine, la sicurezza non può più essere disgiunta dalla supply chain e dalla compliance. Software, cloud e terze parti sono amplificatori sistemici del rischio, mentre regolamenti come NIS2, DORA e CRA impongono il passaggio da una sicurezza “dichiarata” a una sicurezza dimostrabile.
La dimensione geopolitica è sempre più centrale in cybersecurity: il cyberspazio (quinto dominio operativo, accanto a terra, mare, aria e spazio), è costituito da reti energetiche, telecomunicazioni, sistemi finanziari, sanità, logistica, industria, tutte risorse nazionali strategiche oggetto di azioni malevole che hanno effetti economici, sociali e politici. Il tema mette in evidenza l’importanza di dotarsi di capacità di sovranità digitale, per ridurre le dipendenze tecnologiche, lungo supply chain digitali, con semiconduttori, cloud, software, componenti OT e IoT. Il rischio oggi non è solo lo sfruttamento di una vulnerabilità, ma la perdita di controllo sulle tecnologie chiave e sui relativi fornitori.
In questo contesto, la cyber resilienza diventa una competenza di leadership: non misura l’assenza di incidenti, ma la capacità di continuare a operare sotto attacco. È questa la vera metrica della sovranità digitale nel nuovo scenario. Di seguito le traiettorie che caratterizzeranno l’evoluzione della cybersecurity nel 2026.
L’intelligenza artificiale al cuore degli attacchi
Nel 2026 l’intelligenza artificiale non sarà più solo un acceleratore, entrerà a pieno titolo nel cuore degli attacchi informatici. Già oggi gli attori malevoli usano agenti autonomi per condurre l’intero ciclo offensivo, dalla ricognizione all’esfiltrazione, in grado di apprendere dalle difese e adattarsi in tempo reale (anche se ancora in grado di eguagliare le capacità di professionisti esperti umani, come riportano Anthropic e Google). Gli attacchi condotti a velocità macchina possono rendere inefficaci i sistemi tradizionali di difesa basati su allarmi e intervento umano.
In aggiunta, l’AI introduce nelle organizzazioni nuove superfici di attacco che non sono ben comprese e controllate: l’adozione diffusa di agenti AI collegati a mail, documenti, CRM e sistemi operativi aziendali crea vulnerabilità inedite. Quando un agente ha permessi legittimi, l’abuso non appare come un’anomalia ma come un’azione corretta. Prompt injection, data poisoning e shadow AI diventano rischi sistemici.
Come far evolvere la difesa per tener conto di questi rischi? Innanzi tutto, con una governance dell’AI che integri inventari, controllo dei privilegi, tracciabilità e supervisione umana (allineata al NIST AI Risk Management Framework). Poi con una capacità di risposta che integri analisi comportamentali in tempo reale, piattaforme EDR rafforzate contro il machine learning malevolo, un rigoroso red-teaming contro l’iniezione di prompt e la manomissione dei modelli, e una governance disciplinata della Shadow AI. Secondo il report “Cost of a Data Breach 2025” di IBM, solo il 31% delle organizzazioni italiane dispone di policy efficaci per gestire o rilevare la cosiddetta Shadow AI, e dove queste mancano si registra un aumento del costo medio delle violazioni.
L’identità è il nuovo perimetro critico da monitorare
Nel 2026 l’identità sostituisce definitivamente il perimetro tradizionale. La maggior parte degli attacchi sfrutta oggi credenziali valide, deleghe implicite e sessioni compromesse, spesso senza l’uso di malware. I Deepfake vocali e video rendono inaffidabili molte verifiche tradizionali, mentre l’esplosione delle identità non umane (identità macchina come quelle di agenti AI, workload cloud, account di servizio) moltiplica il rischio. Come riportato da The Guardian lo scorso marzo, un gruppo malevolo con base in Georgia avrebbe utilizzato video deepfake e notizie false con celebrità (su Facebook e Google ) per truffare migliaia di risparmiatori provenienti da Regno Unito, Europa e Canada, sottraendo loro 35 milioni di dollari.
Con l’identità diventata infrastruttura critica, la sicurezza si costruisce sul controllo dei privilegi e sulla governance continua. Gli attacchi su help desk, SSO e MFA tradizionali richiedono strategie avanzate. L’imperativo diventa adottare un reale Zero Trust, standardizzare le passkey FIDO2/WebAuthn, consolidare l’autenticazione tramite piattaforma SSO, imporre l’accesso condizionato, dismettere SMS/OTP per le operazioni privilegiate, ruotare i token di sessione e associare accessi al controllo del dispositivo e al dynamic risk scoring.
Dal cyber al phygital: gli attacchi puntano a colpire i processi
Gli attacchi non colpiscono più solo i dati, ma puntano al processo operativo stesso. Sensori, telemetrie, ICS, IoMT (Internet of medical things) e BMS (Building management system) possono essere manomessi alla fonte per generare decisioni tecnicamente corrette con il fine malevolo di generare comandi distruttivi, causare blackout, blocchi logistici o interruzioni sanitarie. Anche nel mondo industriale, ambienti OT e ICS continuano a essere obiettivi ad alto valore. Progettati per garantire affidabilità più che resilienza, i sistemi legacy sono esposti a vulnerabilità note e campagne ransomware.
La prevenzione in questi casi passa da regia integrata e visione unitaria del rischio, da visibilità, segmentazione e monitoraggio continuo, hardening degli ambienti OT, eliminazione di endpoint pubblici e gestione rigorosa degli accessi remoti. La sicurezza industriale diventa una priorità operativa permanente, non un progetto straordinario. Un passaggio importante sarà l’arrivo del CRA, Cyber Resilience Act, che dovrà essere applicato da fine 2027: imporrà la sicurezza di tutti i prodotti con elementi digitali, sistemi che oggi presentano vulnerabilità e hanno aggiornamenti di sicurezza insufficienti o incoerenti, esponendo utenti e organizzazioni a rischi.
Stati, geopolitica e cyber crime come condizione permanente
Il conflitto cyber è sempre di più strisciante, continuo e strutturale. Gli Stati che perseguono strategie di guerra ibrida puntano a posizionarsi in anticipo facendo breccia nelle infrastrutture critiche target e sfruttando le attività dei gruppi criminali come proxy. Gli obiettivi strategici includono una lunga lista di sistemi che fanno da ponte per la guerra cibernetica, per ostacolare o studiare il nemico passando inosservati: internet e cloud, satelliti e collegamenti GPS, cavi sottomarini.
La dimensione geopolitica è sempre più centrale in cybersecurity: il cyberspazio (quinto dominio operativo, accanto a terra, mare, aria e spazio), è costituito da reti energetiche, telecomunicazioni, sistemi finanziari, sanità, logistica, industria, tutte risorse nazionali strategiche oggetto di azioni malevole che hanno effetti economici, sociali e politici. Oltre il 70% degli incidenti che coinvolgono infrastrutture critiche può essere attribuito a gruppi sponsorizzati dallo Stato o a entità che operano come proxy.
Il tema mette in evidenza l’importanza di dotarsi di capacità di sovranità digitale, per ridurre le dipendenze tecnologiche, lungo supply chain digitali, con semiconduttori, cloud, software, componenti OT e IoT che sono elementi della nuova competizione strategica. Il rischio oggi non è solo lo sfruttamento di una vulnerabilità, ma la perdita di controllo sulle tecnologie chiave e sui relativi fornitori: la cybersecurity non si preoccupa più soltanto della robustezza di un sistema, ma anche di chi lo governa, dove risiede, da quali giurisdizioni dipende e chi potrebbe disabilitarlo.
A supporto della difesa, servono strategie di sicurezza nazionale e collaborazioni internazionali per law enforcement, resilienza, basate su infosharing e iniziative congiunte pubblico-privato.
Ransomware industrializzato e multi-extortion
Il ransomware continua ad evolvere e diventa una vera industria automatizzata, beneficia dell’AI e dei modelli as-a-service, quindi della specializzazione sempre più spinta lungo la catena, che favorisce i mercati dove “acquistare gli accessi” (Initial Access Broker) e porta a uno sfruttamento sistematico delle vulnerabilità. Il modello dei gruppi ransomware evolve verso un’estorsione a più livelli, cosicché, quando le organizzazioni colpite non pagano (secondo stime recenti, oggi tra il 60 e il 65% delle organizzazioni vittime di ransomware non paga il riscatto richiesto dai criminali), gli attaccanti possono comunque monetizzare i dati esfiltrati rivendendoli sul darkweb o puntando a danneggiare la reputazione delle organizzazioni, a creare problemi di non compliance alle norme. Quello che si osserva è che le campagne sono sempre più rapide, mirate e difficili da contenere, con effetti diretti su settori critici (come sanità, energia e trasporti). La resilienza, più che la prevenzione assoluta, è fattore di sopravvivenza organizzativa.
Considerando che l’impatto di queste minacce può essere dirompente, serve dotarsi di capacità di isolare e rispondere agli attacchi mantenendo il più possibile la continuità operativa. Sono d’aiuto la micro-segmentazione, i backup (immutabili e testati di frequente), i playbook per la gestione dell’incidente, le tecnologie di deception per rallentare, depistare ed esaurire le attività degli avversari.
Supply chain IT, software e cloud: rischio sistemico
Ogni fornitore, software o dispositivo connesso può portare a una moltiplicazione del rischio. Gli attacchi alla supply chain negli ultimi anni sono diventati sempre più frequenti e hanno dimostrato che una singola vulnerabilità può propagarsi rapidamente tra settori e organizzazioni. Nel 2026 la gestione del rischio di terze parti richiederà monitoraggio, asset inventory continuo, exposure management, condivisione di threat intelligence, considerando la crescente interdipendenza tra sicurezza aziendale e sicurezza nazionale.
Con riferimento solo al software si osserva che gli attori malevoli prendono sempre più di mira pipeline CI/CD, ecosistemi di software package e fornitori SaaS attivi nel cloud. Un’eventuale compromissione apre agli attaccanti l’ingresso simultaneo a migliaia di organizzazioni clienti: come rispondere al problema? Soluzioni emergenti sono framework come SLSA (“Supply-chain Levels for Software Artifacts”, un framework che definisce quanto è sicuro il processo con cui un software viene costruito, una scala di maturità che misura la robustezza della pipeline di build) e Sigstore (infrastruttura che permette di controllare chi ha prodotto un certo artefatto software e verifica che non sia stato modificato, quindi garantisce l’autenticità dell’artefatto finale), attestazioni SBOM (Software Bill of Materials, dichiarazioni firmate che certificano che una determinata SBOM è autentica, integra e riferita a uno specifico artefatto software ), monitoraggio continuo dei livelli di rischio di terze parti. Inoltre, verso gli sviluppatori terze parti è fondamentale implementare sistemi di autenticazione e privilegi strettamente governati.
Esposizione alla compliance e risposta operativa
Le normative e i framework di sicurezza stanno entrando in una nuova fase: serve trasformare le norme (NISD2, DORA, …) in un enforcement reale, in capacità effettive, dimostrabili nel tempo. Modelli come quello del NIST sono riferimenti unificanti, mentre il Board e i regolatori chiedono evidenze concrete di resilienza: test, reporting e accountability, capacità di risposta agli incidenti, tempi di ripristino e maturità dei controlli. Sempre di più la cybersecurity sarà valutata per i risultati conseguiti, non per le policy scritte.
La cyber resilienza un tema di leadership
Nel 2026 la cybersecurity esce definitivamente dall’ambito IT e diventa una disciplina di governo del rischio. Il vero obiettivo non è evitare l’incidente, ma preservare la capacità di decidere e operare sotto pressione. La resilienza diventa una metrica di leadership e credibilità manageriale perché, quando il digitale coincide con controllo e comando, la sovranità si misura nella continuità: il focus passa infatti da “prevenire l’incidente” a funzionare sotto attacco. Metriche chiave per valutare la capacità difensiva sono: recovery, RPO e RTO, segmentazione, test IR e dei backup, automazione dei controlli, gestione del talento, modellazione dei rischi e attività purple-team.
Crittografia sotto pressione quantistica
La minaccia quantistica non è più teorica: la strategia “steal now, decrypt later” espone già oggi dati che domani potranno essere decifrati. Nel 2026 emerge la crypto-agility come requisito chiave: la capacità di inventariare, gestire e sostituire algoritmi e chiavi di sicurezza senza interrompere i sistemi, con un approccio ibrido e incrementale. La sicurezza dei dati e delle identità dipende sempre meno dalla forza dell’algoritmo e sempre più dalla qualità della governance crittografica.
In conclusione
La postura di sicurezza non è un obiettivo statico ma un processo di continua evoluzione: nel 2026 però le organizzazioni saranno chiamate ad anticipare i programmi, ad agire con maggiore velocità: l’accelerazione dell’AI, la proliferazione delle identità, le debolezze delle supply chain, l’arrivo di nuove sfide come la quantum readiness, richiedono un cambio di passo che potrà essere affrontano soltanto con una leadership decisa, strumenti integrati e grande attenzione a una governance operativa per garantire un approccio efficace, basato su risultati concreti.
A cura di: Elena Vaciago, Research Manager, TIG – The Innovation Group
