Nel 2026 le minacce informatiche non sono solo più numerose: sono più veloci, autonome, intelligenti e difficili da rilevare. Gli attaccanti sfruttano identità legittime, dipendenze della supply chain, configurazioni cloud e SaaS in continua evoluzione, oltre ai fattori umani più comuni come urgenza, fiducia automatica e pressione operativa.

In questo scenario, la difesa non può più limitarsi a un insieme di strumenti. Serve un sistema vivo, coordinato e misurabile, capace di continuare a funzionare anche durante un attacco. Le 8 priorità individuate dall’Osservatorio Cyberoo non sono trend del momento: rappresentano la base minima per costruire resilienza reale e ridurre costi, downtime e danni reputazionali.

1) Governance assente: rischio presente

Quando interveniamo a supporto di organizzazioni colpite da un incidente informatico, emergono con regolarità alcune caratteristiche ricorrenti: assenza di una governance strutturata, elevato livello di obsolescenza dei sistemi e delle reti, e investimenti insufficienti nei processi di sicurezza. Questi elementi configurano un rischio sistemico che non riguarda soltanto l’infrastruttura tecnologica, ma soprattutto la cultura organizzativa e la capacità decisionale del management. In molti casi, il Board tende a sottovalutare la sicurezza informatica considerandola un problema “invisibile” finché non produce effetti tangibili; quando l’incidente si manifesta, l’organizzazione è costretta a concentrare in poche settimane attività e processi che avrebbero richiesto anni di implementazione ordinata, con impatti significativi su costi, continuità operativa e reputazione.

Un ulteriore elemento critico riguarda la dimensione umana della cybersecurity. Le dinamiche comportamentali influenzano in modo determinante l’esito di molti incidenti: impulsività, fiducia incontrollata, pressione emotiva e percezione dell’urgenza sono variabili che gli attaccanti sfruttano sistematicamente per aggirare i controlli tecnici. Questi meccanismi non interessano solo l’utente finale, ma anche i livelli esecutivi e decisionali dell’azienda, dove scelte affrettate o percezioni distorte del rischio possono amplificare vulnerabilità già presenti.

Per questo, una delle priorità strategiche della cybersecurity nel 2026 è l’adozione di una governance solida, basata su processi formalizzati, investimenti coerenti e programmi di formazione mirati. Non è sufficiente erogare corsi o distribuire certificazioni: è necessario intervenire sui modelli mentali, sui comportamenti e sulle capacità decisionali delle persone, allineando competenze, consapevolezza e responsabilità.

Quando la cultura aziendale evolve e gli individui diventano parte attiva del sistema di protezione, la superficie di attacco si riduce in modo significativo. Una governance efficace costruisce un muro organizzativo che, se privo di crepe, rappresenta la prima e più importante barriera contro i cyber criminali.

2) Resilienza: la cybersecurity oltre la tecnologia

Un’altra credenza che nel 2026 è ora di superare definitivamente è quella che la cybersecurity sia qualcosa di prettamente tecnologico, dove basta acquistare vari strumenti per eludere qualsiasi minaccia. Ne abbiamo parlato in dettaglio nel nostro report “Il futuro della cybersecurity” ma cogliamo l’occasione per riparlarne vista l’importanza di questo paradigma. Oggi le tattiche, tecniche e procedure degli attaccanti non sono più quelle di una volta: regna la velocità, l’invisibilità e l’automazione. Pensare che basti sommare tecnologie per sentirsi al sicuro non può più funzionare.

Bisogna unire la cultura e la consapevolezza all’orchestrazione di tecnologie, processi e competenze umane. Non si tratta più di scegliere tecnologie ma servizi in grado di correlare segnali in near-real-time, in qualsiasi ora e momento del giorno, riconoscere pattern anomali e reagire immediatamente nei primissimi secondi, soprattutto quando gli uffici si svuotato e le luci si spengono. Non solo dalle minacce interne ma anche esterne che riguardano la Cyber Threat Intelligence. Questo fa la differenza tra un incidente contenuto e un disastro operativo. L’obiettivo non è semplicemente ridurre il Mean Time to Detect o il Mean Time to Respond: è riscrivere la scala temporale della difesa, passando da processi lenti e sequenziali a playbook dinamici, automazioni intelligenti e team umani concentrati sulle decisioni critiche.

Significa costruire un sistema che non si limita a difendere, ma permette all’azienda di continuare a operare anche mentre l’attacco è in corso. È qui che inizia la vera resilienza.

La domanda da cui partire non è più “quanto siamo protetti?”, ma “riusciamo a lavorare sotto attacco?”. Questo richiede di definire il Minimum Viable Business: l’insieme essenziale di persone, processi, applicazioni e dati che devono rimanere operativi per consentire all’azienda di funzionare al livello minimo anche durante un incidente informatico.

3) Identity-first: una priorità assoluta

Oggi gli attacchi non iniziano più “sfondando una porta”: entrano usando accessi validi. Parliamo di account compromessi, autorizzazioni già concesse o sessioni ancora aperte. Per questo mettere l’identità al centro non è una scelta tecnica, ma una questione di sopravvivenza. Il primo passo è usare un’autenticazione a più fattori che non possa essere ingannata con messaggi falsi, come FIDO2, ed eliminare i vecchi sistemi che permettono ancora attacchi semplici come il tentativo ripetuto di password. Gli attaccanti, infatti, sfruttano sempre più spesso procedure di accesso considerate “normali”, come l’uso di codici mostrati da un dispositivo o tecniche in cui si inseriscono tra l’utente e il servizio, per ottenere autorizzazioni valide senza rubare password.

Poi c’è la gestione delle autorizzazioni alle applicazioni, che deve essere chiara e controllata: niente registrazioni libere, applicazioni monitorate, permessi verificati e controllo costante. Servono revoche immediate delle sessioni, cambio automatico delle chiavi di accesso e protezioni contro gli inganni basati sui codici dei dispositivi per bloccare accessi invisibili. Infine c’è il controllo delle minacce legate alle identità: l’unico modo per capire quando un account legittimo si comporta in modo anomalo o quando un’applicazione autorizzata è dannosa. È ciò che permette di intercettare movimenti nascosti e abusi difficili da vedere.

4) Patch risk based: intervenire dove serve davvero

Non tutte le vulnerabilità sono uguali: alcune vengono sfruttate subito, altre probabilmente non verranno mai usate. Il 2025 lo ha mostrato chiaramente: i problemi più gravi hanno colpito i sistemi esposti in tempi rapidissimi. Per questo oggi non basta più seguire solo un punteggio tecnico. Le patch vanno applicate guardando il rischio reale: se una vulnerabilità è già nota e sfruttata negli attacchi, ha un’alta probabilità di exploit o interessa un sistema esposto, va gestita immediatamente. Tutto il resto può aspettare.

Le aziende più organizzate lavorano su due livelli:

• un percorso rapido per i problemi critici sui sistemi esposti, con aggiornamenti applicati in poche ore;
• un percorso standard per ciò che è interno o meno urgente.

Dopo l’aggiornamento, la reale efficacia si ottiene completando la remediation con azioni di fondamentale importanza: chiudere le sessioni attive, cambiare credenziali, aggiornare le chiavi, rafforzare le configurazioni e verificare se ci sono state attività sospette prima dell’aggiornamento. Senza questi passaggi, la patch rischia di dare solo una falsa sensazione di sicurezza.

Nel 2026 aggiornare non significa solo installare una patch, ma fermare l’attacco, rimuovere accessi nascosti e riportare i sistemi a uno stato sicuro e controllato. È un lavoro continuo, non una semplice attività ripetitiva.

5) Supervisione continua di cloud e SaaS

Oggi i dati non vivono più “in casa”: sono nel cloud, nei SaaS, nei flussi esterni. Pensare di governarli una volta sola e poi dimenticarsene non funziona più. Serve un programma continuo, qualcosa che vive ogni giorno dentro i processi di sicurezza. Governare davvero cloud e SaaS significa sapere sempre chi ha accesso a cosa: applicazioni con privilegi elevati, consensi esterni, link pubblici, token e API che durano troppo, ruoli nascosti come gli shadow admin. È in questo contesto che SSPM (SaaS Security Posture Management) e CSPM (Cloud Security Posture Management) diventano indispensabili: ti danno visibilità costante e ti aiutano a tenere la situazione sotto controllo.

La regola è semplice: meno privilegi, più segmentazione. Più riduci ciò che ogni applicazione o identità può fare, meno spazio dai a un eventuale attaccante. Per proteggere i dati è necessario controllare anche ciò che viene trasmesso all’esterno: soluzioni DLP e sistemi di controllo dell’egress sono essenziali per impedire che informazioni particolari finiscano in servizi esterni, plugin AI o applicazioni SaaS utilizzate senza adeguata governance.

Questo non è solo buon senso tecnico: è ciò che oggi chiedono le normative. NIS2 e DORA pretendono processi strutturati, controllo dei fornitori e un monitoraggio continuo delle dipendenze critiche. L’obiettivo non è mettere ordine una volta, ma accorgersi subito quando qualcosa devia dal livello di sicurezza atteso.

6) Backup e incident response al centro

Quando un ransomware colpisce, non è la cifratura a fare più paura: è fermarsi. L’unica cosa che decide se un’azienda riparte o resta in ginocchio è una coppia inseparabile: backup solidi + un piano di incident response già pronto. Il backup non è un archivio: è ciò che ti permette di tornare operativo anche quando tutto il resto cade. Funziona se segue la logica 3 2 1 1 0:

• 3 copie dei dati,
• 2 supporti diversi,
• 1 copia off site,
• 1 copia immutabile o isolata,
• 0 errori nei test di ripristino.

Accanto ai backup serve un incident response già scritto, provato e metabolizzato: chi fa cosa, in che ordine, con quali strumenti, come comunicare, come isolare, come ripristinare. La differenza tra un’azienda ferma settimane e una che riparte in poche ore spesso si gioca tutta qui. A completare il quadro servono un servizio MDR (Managed Detection and Response) che vede cosa succede anche sugli hypervisor e una telemetria unificata che collega identità, endpoint, rete e cloud per riconoscere la catena d’attacco mentre accade.

7) Gestire l'AI (prima che lo faccia lei)

Oggi l’intelligenza artificiale è un forte acceleratore: rafforza le difese, ma allo stesso tempo aumenta enormemente le capacità degli attaccanti. Ed è proprio questo il punto: se non viene governata, finisce per governare lei. Non basta “utilizzarla”: va tenuta sotto controllo. Tecniche come l’inganno dei comandi, l’avvelenamento dei dati o dei modelli e la fuga delle istruzioni interne mostrano chiaramente che un sistema senza regole è un rischio concreto. Servono limiti chiari: controllare cosa entra e cosa esce, osservare continuamente cosa fanno i sistemi automatici e definire procedure precise per autorizzare azioni e collegamenti esterni.

La situazione diventa ancora più delicata con l’intelligenza artificiale che agisce in autonomia con l’Agentic AI. Questi sistemi non sono più semplici strumenti: diventano parte attiva dei processi aziendali. Eseguono azioni, prendono decisioni e automatizzano attività, spesso più velocemente delle persone. Quando un agente non umano opera in autonomia decisionale, è necessario mantenere meccanismi di controllo e supervisione continui. Per questo è fondamentale stabilire confini, obiettivi e responsabilità, trattando questi sistemi come componenti reali dell’ambiente informatico. Modelli di riferimento come AEGIS e standard come ISO/IEC 42001 (primo internazionale specifico per i sistemi di gestione dell'intelligenza artificiale) aiutano proprio a definire queste regole, riducendo nuovi rischi come l’alterazione della memoria e mantenendo la fiducia nei sistemi intelligenti.

8) Supply chain trasparente e monitorata

Oggi la catena dei fornitori è così complessa che fidarsi non è più sufficiente. Troppi fornitori, troppi software, troppe dipendenze: senza un controllo continuo si procede alla cieca. Per questo è fondamentale sapere cosa c’è davvero dentro ciò che si utilizza. L’elenco dei componenti dei software, chiamato SBOM (Software Bill of Materials), è come una radiografia: mostra librerie obsolete, dipendenze critiche e problemi di sicurezza già noti, ed è ormai richiesto anche nei processi di gestione dei fornitori. Sul fronte dei partner tecnologici entrano in gioco le regole previste da DORA: mantenere un elenco dei fornitori IT, avere il diritto di verificarli, valutare quanto si dipende da pochi soggetti e controllare regolarmente se esistono alternative funzionanti.

Non è burocrazia: serve a capire quanto sei davvero legato a chi ti fornisce servizi. Poi c’è il tema dei dati. Se sono nel cloud o in servizi online critici, devi poterli controllare anche se non sono fisicamente tuoi. Le chiavi di cifratura gestite dal cliente servono proprio a questo: evitare dipendenze forzate, ridurre rischi inutili e aumentare la solidità di tutta la filiera. Una supply chain sicura non si basa su promesse, ma su trasparenza, controllo e verifiche costanti. È così che eviti che un problema esterno diventi il tuo prossimo incidente.

In a nutshell

Nel 2026 la sicurezza informatica non è più una sfida tecnica ma una sfida organizzativa, culturale e strategica. Le minacce crescono in autonomia e velocità, ma le aziende che costruiscono governance solida, identità protette, processi resilienti e una visibilità continua su cloud, dati e supply chain riducono drasticamente impatti, costi e tempi di recupero.

La differenza non la fa il numero di soluzioni adottate, ma la capacità di farle lavorare insieme, con persone preparate, regole chiare e un modello operativo che non si ferma al primo imprevisto. Non esiste una tecnologia che risolve tutto, ma esistono priorità precise che trasformano la sicurezza in un vantaggio competitivo.

Il 2026 premia chi non rincorre l’incidente ma lo anticipa, chi misura il rischio reale e chi investe in una difesa che continua a funzionare anche quando tutto il resto sembra cedere. È questo il vero punto d’arrivo: assicurare che l’azienda continui a muoversi, produrre, decidere, anche sotto attacco. In una parola, restare resiliente.