L’edizione 2026 del Verizon Data Breach Investigations Report (DBIR) fotografa un panorama delle minacce in profonda evoluzione, ma lancia anche un messaggio molto chiaro ai responsabili IT e della cybersecurity: nonostante l’accelerazione impressa dall’intelligenza artificiale e dall’automazione degli attacchi, i principi fondamentali della sicurezza continuano a fare la differenza. Il report analizza quest’anno oltre 31.000 incidenti di sicurezza reali, di cui più di 22.000 confermati come data breach, distribuiti in 145 Paesi: si tratta del più ampio dataset mai utilizzato da Verizon nei 19 anni di storia del DBIR.
Il sorpasso delle vulnerabilità sulle credenziali compromesse
Uno dei cambiamenti più significativi evidenziati dal DBIR 2026 riguarda le modalità di accesso iniziale utilizzate dagli attaccanti. Dopo anni in cui il furto e l’abuso delle credenziali hanno rappresentato il vettore predominante, lo sfruttamento delle vulnerabilità è diventato il principale punto d’ingresso nelle compromissioni analizzate da Verizon: l’exploitation delle vulnerabilità è stata coinvolta nel 31% dei data breach osservati, mentre il credential abuse, che in passato occupava stabilmente il primo posto, è sceso al 13%.
Figura: Vettori di accesso iniziale, Verizon DBIR Report 2026 (N = 22.000)
Questo cambiamento riflette la crescente difficoltà delle organizzazioni nel mantenere sotto controllo una superficie d’attacco sempre più estesa e dinamica. Infrastrutture ibride, ambienti multi-cloud, applicazioni Internet-facing, dispositivi edge e supply chain digitali stanno aumentando il numero di asset da monitorare e proteggere.
A rendere ancora più preoccupante il quadro è la capacità delle aziende di intervenire sulle vulnerabilità più critiche. Il DBIR evidenzia infatti che nel 2025 soltanto il 26% delle vulnerabilità critiche presenti nel catalogo CISA Known Exploited Vulnerabilities (KEV) è stato completamente corretto, in netto calo rispetto al 38% registrato nell’anno precedente. Parallelamente, il tempo mediano necessario per completare le attività di remediation è salito a 43 giorni, quasi due settimane in più rispetto ai 32 giorni rilevati nel report precedente. Inoltre, in media le organizzazioni si sono trovate a gestire un volume di vulnerabilità critiche da correggere superiore del 50% rispetto all’anno precedente.
Questi numeri raccontano una realtà ormai evidente per molti team di sicurezza: il problema non è soltanto individuare le vulnerabilità, ma riuscire a gestirne il volume crescente con tempi compatibili con quelli degli attaccanti. Per CIO, CISO e responsabili delle infrastrutture il messaggio è chiaro: il vulnerability management non può più essere considerato un processo puramente operativo. Servono strategie di prioritizzazione basate sul rischio reale, integrazione tra strumenti di exposure management, automazione delle attività di patching e una visibilità continua sugli asset esposti.
L’AI accelera il ciclo degli attacchi
Il DBIR 2026 conferma ciò che molti team di sicurezza osservano ormai quotidianamente: l’intelligenza artificiale generativa sta diventando un acceleratore dell’intero ciclo di vita degli attacchi. Gli attori delle minacce utilizzano l’AI per aumentare velocità, scalabilità ed efficienza delle operazioni offensive già esistenti.
Secondo Verizon, i cyber criminali stanno utilizzando strumenti di GenAI in diverse fasi delle campagne di attacco, dalla selezione dei target all’accesso iniziale, fino allo sviluppo di malware e strumenti offensivi. L’attore di minaccia “mediano” analizzato nel report ha sfruttato l’assistenza dell’AI in 15 differenti tecniche documentate, mentre alcuni gruppi particolarmente evoluti hanno utilizzato strumenti basati sull’intelligenza artificiale in 40 o addirittura 50 tecniche differenti.
Un elemento particolarmente interessante riguarda lo sviluppo di malware. Contrariamente a quanto spesso si tende a immaginare, la maggior parte dei malware creati o supportati dall’AI non introduce funzionalità radicalmente nuove. Verizon rileva che lo sviluppo AI-assisted è stato associato prevalentemente a tecniche offensive già ampiamente conosciute, con una mediana di 55 campioni malware già esistenti in grado di svolgere le stesse funzioni. Meno del 2,5% delle osservazioni relative a malware assistiti dall’AI ha coinvolto tecniche rare o poco diffuse, per le quali esistevano uno o nessun precedente conosciuto. In questo momento, il vantaggio per gli aggressori non risiede tanto nell’innovazione tecnologica quanto nella possibilità di automatizzare attività che in passato richiedevano competenze elevate, tempi più lunghi o risorse dedicate.
In aggiunta, la GenAI sta abbassando la soglia di ingresso al cybercrime e aumentando il numero di attori in grado di condurre campagne sofisticate. Il contributo dell’U.S. Secret Service incluso nel report sottolinea come l’AI stia consentendo a criminali non esperti di lanciare operazioni avanzate attraverso pochi semplici prompt, ampliando significativamente il bacino di potenziali aggressori. Per i team di difesa questo significa confrontarsi con un volume crescente di attività malevole, più rapide da sviluppare, più personalizzate e più difficili da distinguere dal rumore di fondo.
Shadow AI: il nuovo rischio interno
Se da un lato l’AI sta trasformando le capacità degli attaccanti, dall’altro sta introducendo nuove sfide di governance all’interno delle organizzazioni. Il DBIR dedica infatti particolare attenzione al fenomeno dello Shadow AI, ovvero l’utilizzo di servizi di intelligenza artificiale non autorizzati dai dipendenti.
I dati mostrano che il 67% degli utenti che accedono a servizi di AI dai dispositivi aziendali utilizza account personali anziché account aziendali autorizzati. Sebbene il dato sia leggermente inferiore rispetto all’anno precedente, emerge un trend ancora più significativo: il 45% dei dipendenti è oggi classificato come utilizzatore abituale di strumenti AI su dispositivi aziendali, rispetto al 15% registrato l’anno precedente. La conseguenza è che lo Shadow AI è diventato la terza azione interna non malevola più frequentemente rilevata nei dataset di Data Loss Prevention (DLP) analizzati da Verizon, con un’incidenza quadruplicata rispetto all’anno precedente.
L’analisi delle violazioni delle policy DLP evidenzia inoltre quali siano i dati maggiormente esposti. Il contenuto più frequentemente caricato su piattaforme GenAI esterne è il codice sorgente, seguito da immagini e altre tipologie di dati strutturati. Ancora più preoccupante è il fatto che nel 3,2% delle violazioni siano stati individuati caricamenti di documentazione tecnica e materiale di ricerca verso sistemi AI non autorizzati, creando potenziali rischi di perdita di proprietà intellettuale e divulgazione di informazioni sensibili.
Per CIO e CISO il problema non può essere affrontato esclusivamente con misure restrittive. L’adozione dell’AI nelle organizzazioni sta crescendo troppo rapidamente per essere bloccata. Diventa quindi fondamentale definire policy chiare, introdurre strumenti di AI governance, aggiornare i controlli DLP e fornire ai dipendenti alternative aziendali sicure che consentano di sfruttare i benefici dell’intelligenza artificiale senza compromettere la sicurezza delle informazioni.
Social engineering: l’evoluzione delle tecniche di ingegneria sociale
Nonostante l’attenzione crescente verso vulnerabilità e ransomware, il fattore umano continua a rappresentare uno degli elementi più sfruttati dagli attaccanti. Il DBIR 2026 evidenzia infatti che il cosiddetto human element è stato coinvolto nel 62% dei data breach analizzati, in leggero aumento rispetto al 60% registrato nell’edizione precedente. Questo dato conferma come errori umani, comportamenti inconsapevoli e tecniche di manipolazione psicologica continuino a offrire agli aggressori opportunità estremamente efficaci per compromettere utenti e organizzazioni.
In questo contesto, il Social Engineering si conferma uno dei principali pattern di attacco osservati da Verizon, rappresentando il 16% di tutti i data breach esaminati nel report. Sebbene phishing e pretexting rimangano tecniche consolidate, le modalità operative stanno rapidamente evolvendo grazie all’utilizzo combinato di intelligenza artificiale, dati provenienti dai social network e canali di comunicazione sempre più diversificati.
Uno dei cambiamenti più significativi riguarda infatti il progressivo spostamento delle campagne di ingegneria sociale verso canali mobili e comunicazioni vocali. Verizon osserva come gli attaccanti stiano sempre più frequentemente sfruttando chiamate telefoniche, messaggi di testo, applicazioni di messaggistica istantanea e piattaforme collaborative per raggiungere le vittime durante le normali attività lavorative.
I risultati delle simulazioni di phishing analizzate nel report mostrano chiaramente l’efficacia di questo approccio: i tassi mediani di successo – misurati attraverso le interazioni degli utenti con contenuti malevoli – risultano superiori del 40% nei vettori mobile-centric, come SMS e comunicazioni vocali, rispetto alle tradizionali campagne email. La ragione è principalmente comportamentale. Gli utenti tendono a considerare telefonate e messaggi ricevuti sullo smartphone come comunicazioni più urgenti, personali e affidabili rispetto alle email. Inoltre, le interfacce mobili rendono più difficile verificare URL completi, identificare anomalie nei mittenti o effettuare controlli approfonditi sui contenuti ricevuti.
L’adozione crescente di strumenti di GenAI amplifica ulteriormente il fenomeno. Gli aggressori possono oggi produrre messaggi estremamente convincenti, personalizzare contenuti su larga scala e persino simulare la voce di colleghi, manager o fornitori attraverso tecniche di voice cloning. Questo rende sempre più sottile il confine tra comunicazione legittima e tentativo di frode.
Per i responsabili della sicurezza ciò implica la necessità di ripensare i programmi di Security Awareness. Le campagne formative non possono più concentrarsi esclusivamente sul riconoscimento delle email di phishing, ma devono includere scenari di vishing, smishing, impersonificazione vocale, frodi su piattaforme collaborative e utilizzo improprio degli strumenti di comunicazione aziendale.
Il ransomware continua a crescere
Nonostante gli sforzi delle organizzazioni e delle autorità internazionali per contrastarne la diffusione, il ransomware continua a rappresentare una delle minacce più impattanti del panorama cyber. Il DBIR 2026 evidenzia come il ransomware sia stato coinvolto nel 48% di tutti i data breach analizzati, in crescita rispetto al 44% registrato nell’edizione precedente. Il dato conferma una tendenza ormai consolidata: quasi un incidente grave su due include oggi una componente ransomware.
La crescita del fenomeno è strettamente legata all’evoluzione del modello operativo degli attaccanti. Le campagne moderne combinano compromissione iniziale, escalation dei privilegi, movimento laterale ed esfiltrazione dei dati prima della cifratura dei sistemi. In questo modo i gruppi criminali possono esercitare una doppia pressione sulle vittime, minacciando sia l’interruzione delle attività sia la divulgazione delle informazioni sottratte.
Tuttavia, accanto a questo incremento emerge un segnale incoraggiante. Verizon rileva infatti che il 69% delle organizzazioni colpite da ransomware nel dataset analizzato ha scelto di non pagare il riscatto. Si tratta di un indicatore importante della crescente maturità delle strategie di cyber resilience adottate dalle aziende, che sempre più spesso riescono a recuperare i propri sistemi e i propri dati attraverso backup, piani di continuità operativa e procedure di incident response strutturate.
Anche il valore economico dei riscatti effettivamente versati mostra una tendenza alla diminuzione. L’importo mediano pagato dalle organizzazioni vittime di ransomware è sceso a 139.875 dollari, rispetto ai 150.000 dollari rilevati nel report precedente.
Questo non significa però che il rischio stia diminuendo. Al contrario, l’aumento della frequenza degli attacchi indica che il ransomware rimane uno degli strumenti preferiti dai cyber criminali per monetizzare rapidamente le compromissioni. La diffusione di modelli Ransomware-as-a-Service (RaaS), l’automazione delle fasi di attacco e il supporto offerto dall’intelligenza artificiale stanno contribuendo ad ampliare il numero di gruppi in grado di condurre operazioni efficaci anche senza elevate competenze tecniche.
Per CIO e CISO il messaggio è duplice. Da un lato, i dati dimostrano che investire in backup immutabili, piani di disaster recovery e capacità di risposta agli incidenti produce risultati concreti nella riduzione dell’impatto economico degli attacchi. Dall’altro, la continua crescita della presenza del ransomware nei data breach conferma che la prevenzione rimane essenziale. Vulnerability management, segmentazione delle reti, protezione delle identità privilegiate e monitoraggio continuo rappresentano ancora oggi le misure più efficaci per interrompere la catena di attacco prima che si trasformi in un evento di business disruption.
Il rischio della supply chain diventa sempre più critico
Un altro elemento che emerge con forza dal DBIR 2026 riguarda il peso crescente delle terze parti nella postura di sicurezza aziendale. La trasformazione digitale, l’adozione del cloud e la crescente dipendenza da fornitori di software, piattaforme SaaS e servizi gestiti stanno ampliando in modo significativo la superficie di rischio delle organizzazioni. Verizon evidenzia infatti che i data breach che hanno coinvolto terze parti sono aumentati del 60% rispetto all’anno precedente, arrivando a rappresentare il 48% di tutte le violazioni analizzate nel report. In altre parole, quasi un breach su due presenta oggi una qualche forma di coinvolgimento della supply chain digitale.
La progressiva interconnessione tra aziende aumenta inevitabilmente la superficie di attacco. Una vulnerabilità presente in un fornitore, una configurazione errata in un ambiente cloud condiviso o la compromissione di un account privilegiato presso un partner possono trasformarsi rapidamente in un punto di accesso verso decine o centinaia di organizzazioni clienti.
Il report sottolinea come molti degli incidenti più rilevanti osservati nel 2025 abbiano coinvolto ecosistemi complessi di fornitori, piattaforme cloud e servizi terzi. In diversi casi gli attaccanti non hanno colpito direttamente l’organizzazione bersaglio, ma hanno sfruttato debolezze presenti nei partner tecnologici o nei fornitori di servizi per ottenere accesso ai dati e ai sistemi delle vittime.
Particolarmente critiche risultano le problematiche legate all’autenticazione e alla gestione dei privilegi negli ambienti cloud. Verizon evidenzia come configurazioni MFA incomplete, credenziali non correttamente gestite e autorizzazioni eccessive continuino a rappresentare alcune delle principali cause di esposizione nei contesti cloud gestiti da terze parti. Questi elementi trasformano spesso la supply chain in un moltiplicatore del rischio, dove una singola debolezza può propagare i propri effetti lungo interi ecosistemi digitali.
Per questo motivo i programmi di Third Party Risk Management (TPRM) devono diventare una componente strutturale delle strategie di cybersecurity. Le organizzazioni dovrebbero adottare processi continui di valutazione dei fornitori, verificare periodicamente i controlli di sicurezza implementati dai partner, definire requisiti minimi contrattuali e monitorare costantemente il livello di esposizione dei servizi esternalizzati.
Il messaggio del DBIR è chiaro: non basta più proteggere il proprio perimetro. In un ecosistema digitale sempre più interconnesso, la sicurezza di un’organizzazione dipende sempre più dalla sicurezza dell’intera catena di fornitura tecnologica. Per CIO e CISO, la gestione del rischio di terze parti sta rapidamente diventando una delle priorità strategiche più importanti per il 2026.
Le priorità per CIO, CISO e Security Manager
I risultati del DBIR suggeriscono alcune priorità operative particolarmente rilevanti per il 2026:
- Accelerare il vulnerability management
La riduzione del tempo che intercorre tra la pubblicazione di una vulnerabilità e il suo sfruttamento impone processi di remediation più rapidi e fortemente automatizzati.
- Rafforzare la gestione delle identità
Pur avendo perso il primato come vettore iniziale, le credenziali rimangono una risorsa strategica per gli attaccanti. MFA resistente al phishing, Identity Threat Detection e gestione degli accessi privilegiati continuano a rappresentare controlli fondamentali.
- Migliorare visibilità e asset inventory
Il report richiama l’importanza di mantenere una visibilità completa sugli asset e sulle dipendenze tecnologiche, elemento essenziale per ridurre le superfici di attacco.
- Prepararsi agli attacchi AI-assisted
Le organizzazioni devono assumere che gli aggressori stiano già utilizzando strumenti di AI per aumentare produttività e capacità offensive. Difese statiche e processi manuali rischiano di diventare rapidamente insufficienti.
- Potenziare le capacità di risposta
Procedure di incident response testate regolarmente, esercitazioni tabletop e processi di recovery documentati rappresentano elementi essenziali per limitare l’impatto di ransomware e intrusioni avanzate.
I fondamentali contano ancora
Se c’è un messaggio che attraversa tutto il DBIR 2026 è che l’innovazione tecnologica non sostituisce le buone pratiche di sicurezza. Anzi, l’aumento della velocità degli attacchi rende ancora più importante la disciplina operativa.
Visibilità sugli asset, patch management efficace, controllo delle identità, gestione del rischio di terze parti e capacità di risposta agli incidenti rimangono i pilastri su cui costruire una strategia di cyber resilience. Verizon sintetizza questo concetto con un tema centrale che accompagna l’intero report: mantenere solide fondamenta di sicurezza in un contesto caratterizzato da cambiamenti continui.
Accedi al report Verizon DBIR Report 2026 completo.
