Nel 2026 le minacce informatiche non sono solo più sofisticate, ma soprattutto più difficili da individuare. Identità compromesse, intelligenza artificiale utilizzata a fini offensivi e vulnerabilità invisibili stanno ampliando il divario tra sicurezza percepita e rischio reale. In questo scenario, la cybersecurity non è più una funzione tecnica, ma una capacità strategica che richiede visibilità, governance e adattamento continuo.
Nel 2026 una delle principali sfide di cybersecurity non è più fermare l’attacco evidente, ma riconoscere quello che non si vede. Molte organizzazioni credono di avere sotto controllo la propria postura di sicurezza perché non rilevano incidenti significativi. In realtà, spesso stanno semplicemente ignorando una parte rilevante della propria superficie di attacco.
API dimenticate, sistemi legacy mai dismessi, identità tecniche fuori governance e asset cloud non mappati continuano a esistere sotto il livello di attenzione dei team IT e di sicurezza. È ciò che nell'Osservatorio Cyberoo 2026 descriviamo come la “materia oscura” del cyberspazio: non genera alert, ma accumula rischio.
Con una media globale di centinaia di attacchi gravi al mese, oggi il silenzio non è sinonimo di sicurezza. Molto più spesso è il segnale che manca visibilità. Per le aziende italiane ed europee, il 2026 segna il passaggio definitivo dalla logica del perimetro alla necessità di un adattamento continuo.
L’intelligenza artificiale ha trasformato l’attacco informatico in un processo industriale. Quello che prima richiedeva competenze elevate, tempo e risorse, oggi può essere automatizzato, scalato e replicato con costi molto più bassi.
Stanno emergendo agenti AI in grado di pianificare, testare ed eseguire attacchi in autonomia, adattandosi alle difese incontrate. Questi sistemi diventano particolarmente pericolosi quando sono esposti a prompt injection o quando utilizzano API mal protette, perché possono essere dirottati contro l’organizzazione stessa che li utilizza.
A questo si aggiunge il fenomeno del LLMjacking, ovvero l’abuso di modelli AI tramite credenziali cloud rubate, che genera costi elevati e può portare alla fuga di dati particolari e sensibili. Sul fronte delle frodi, phishing e social engineering hanno raggiunto livelli di credibilità senza precedenti, grazie a email perfettamente contestualizzate e all’uso di deepfake vocali e video per impersonare dirigenti e figure apicali.
Nel 2026 il perimetro non è più la rete, ma l’identità. Gli attaccanti non cercano più di “entrare” nei sistemi, cercano di diventare utenti legittimi.
Le campagne di Business Email Compromise restano estremamente efficaci, soprattutto grazie a tecniche come l’Adversary-in-the-Middle, che consentono di intercettare sessioni di autenticazione e aggirare la MFA tradizionale. In parallelo, il numero di identità non umane è esploso: account di servizio, bot, workload cloud, API e dispositivi IoT superano ormai di gran lunga quelli umani.
Queste identità tecniche sono spesso prive di rotazione delle credenziali, monitoraggio e policy di accesso adeguate. I malware infostealer fanno il resto, raccogliendo password, token e cookie di sessione in modo silenzioso e persistente. Una volta compromessa l’identità, la violazione diventa difficile da distinguere da un’attività legittima.
Tutto ciò che è esposto su Internet è un bersaglio, e nel 2026 il tempo di reazione conta più della profondità delle difese. Il divario tra la pubblicazione di una vulnerabilità e il suo sfruttamento attivo si misura spesso in ore, non più in settimane.
Gli attacchi ransomware evolvono verso schemi di tripla estorsione, che non colpiscono solo l’azienda vittima ma anche clienti, partner e fornitori. In questo contesto cresce l’attenzione verso la supply chain digitale e software, sia per motivi di sicurezza sia per ridurre l’esposizione a rischi geopolitici.
Sempre più organizzazioni valutano strategie di cloud regionale o sovrano, non come scelta ideologica ma come risposta alla frammentazione normativa e alla necessità di maggiore controllo sui dati critici.
Nel 2026 la compliance non è più un’esercitazione documentale. Diventa verificabile, misurabile e sanzionabile.
Il regolamento NIS2 impone obblighi stringenti su governance, gestione del rischio e notifica degli incidenti. L’AI Act introduce responsabilità dirette sull’uso dei sistemi di intelligenza artificiale, con sanzioni che possono raggiungere percentuali rilevanti del fatturato. Il Cyber Resilience Act accorcia drasticamente i tempi di segnalazione delle vulnerabilità sfruttate, mentre DORA rafforza i controlli sulla resilienza operativa nel settore finanziario.
Questo significa che sicurezza, legale e board non possono più operare in silos. La cybersecurity diventa un tema di responsabilità aziendale.
La minaccia quantistica non è un problema del futuro, ma una decisione del presente. Il modello “Harvest Now, Decrypt Later” è già realtà: gli attaccanti sottraggono oggi dati cifrati sapendo che potranno decifrarli domani.
Informazioni sanitarie, segreti industriali e dati personali hanno una vita utile lunga. Le organizzazioni devono quindi iniziare a ragionare in termini di crypto-agilità, preparando i propri sistemi a migrare verso algoritmi post-quantum senza doverli riprogettare da zero.
In Italia il settore manifatturiero continua a essere tra i più colpiti con il 29% (Osservatorio Cyberoo 2026). La ragione è strutturale: l’integrazione sempre più stretta tra IT e OT amplia la superficie di attacco, spesso senza un adeguato aggiornamento dei modelli di sicurezza.
Esiste poi un fattore temporale spesso sottovalutato. Gli attacchi aumentano nei periodi di minor presidio operativo, come le pause estive, il periodo natalizio o alcuni mesi di transizione. Questo rende la cybersecurity un elemento chiave della continuità operativa, non solo della protezione tecnica.
Nel 2026 difendersi non significa reagire agli incidenti, ma progettare la resilienza. Le organizzazioni più mature partono da una governance attiva, con un coinvolgimento diretto del board, e lavorano sulla definizione del Minimum Viable Business, ovvero ciò che deve continuare a funzionare in qualsiasi scenario.
La sicurezza diventa identity-first, con autenticazioni resistenti al phishing e monitoraggio continuo dei comportamenti. Il patching passa da una logica cumulativa a una gestione basata sul rischio reale. Cloud e SaaS vengono governati con maggiore visibilità, i backup diventano davvero immutabili e la supply chain viene tracciata anche a livello software, attraverso SBOM e controlli di terze parti.
Pensare che la cybersecurity sia solo una questione tecnologica è un errore strategico. Il fattore umano è coinvolto in una parte significativa delle violazioni, ma ridurre tutto all’errore umano è una semplificazione pericolosa.
Le persone operano dentro processi e sistemi. Se questi sono fragili, anche i comportamenti migliori falliscono. La sicurezza efficace nasce dall’integrazione tra processi chiari e testati, tecnologie capaci di rilevare e rispondere in tempo reale e competenze diffuse e aggiornate.
Le organizzazioni che riescono a illuminare la propria “materia oscura” del rischio non si limitano a difendersi. Costruiscono una capacità adattiva che cresce insieme al contesto.