Tra il report M-Trends 2026, la geopatriazione dei workload e la certificazione EUCS, il 2026 segna il punto di non ritorno per la sicurezza cloud in Europa. Per le PMI italiane, il tema non è più solo tecnico: è una questione di continuità operativa e posizionamento strategico.
Nel tempo che serve a leggere questa frase, un attaccante informatico potrebbe aver già completato la prima fase di un’intrusione e trasferito l’accesso a un secondo gruppo criminale. Non è un’iperbole: il report M-Trends 2026 di Google Mandiant, basato su oltre 500.000 ore di investigazioni sul campo, documenta che il tempo mediano tra l’accesso iniziale a un sistema e il passaggio dell’accesso compromesso a un secondo threat actor è crollato a 22 secondi. Nel 2022 erano oltre otto ore. In tre anni, la finestra di reazione si è ridotta di un fattore mille.
Questo dato, da solo, racconta una trasformazione profonda nel panorama delle minacce cloud – una trasformazione che si intreccia con un’altra dinamica altrettanto rilevante: la corsa europea verso la sovranità digitale, accelerata da tensioni geopolitiche, evoluzione normativa e una crescente consapevolezza che la dipendenza tecnologica da provider extra-UE comporta rischi che vanno ben oltre la compliance.
Lo stato delle minacce: un panorama che si è complicato
Il M-Trends 2026 offre una fotografia impietosa dell’evoluzione delle minacce indirizzate agli ambienti cloud. I dati che emergono dalle investigazioni Mandiant meritano un’analisi attenta perché provengono da incidenti reali, non da simulazioni o survey.
Il vettore di accesso iniziale più comune nelle compromissioni cloud è il voice phishing, responsabile del 23% dei casi – una tecnica di social engineering che sfrutta le chiamate vocali per carpire credenziali. Seguono la compromissione di terze parti (17%), le credenziali rubate (16%), l’email phishing (15%) e, dato particolarmente significativo, le minacce interne (14%). Solo il 6% degli accessi iniziali avviene attraverso exploit tecnici tradizionali. Questo profilo dei vettori d’attacco suggerisce che il problema non è primariamente tecnologico: è umano e organizzativo.
Un altro dato chiave riguarda la finalità degli attacchi: nel 59% delle compromissioni cloud indagate da Mandiant, gli attaccanti hanno proceduto all’esfiltrazione dei dati. In tre casi su cinque, l’obiettivo non è stato il disservizio o il ransomware fine a sé stesso, ma il furto sistematico di informazioni – spesso attraverso canali di accesso legittimi ma compromessi, una modalità che sfugge ai sistemi di detection tradizionali.
Sul fronte ransomware, l’impatto sulle PMI rimane devastante. L’88% delle violazioni subite dalle piccole e medie imprese ha coinvolto ransomware, un dato che riflette sia la maggiore vulnerabilità di queste organizzazioni sia il calcolo razionale degli attaccanti: le PMI dispongono di risorse difensive limitate ma hanno una soglia di tolleranza al disservizio molto bassa, il che le rende più propense al pagamento del riscatto.
La risposta strategica: zero trust come fondamento, non come slogan
Di fronte a questo scenario, il modello zero trust si è affermato come paradigma di riferimento per la sicurezza cloud nel 2026. Il principio è noto – non fidarsi di nessuno, verificare ogni accesso, ogni volta – ma la sua implementazione pratica rimane una sfida significativa, soprattutto per le organizzazioni che operano in ambienti multi-cloud.
E qui emerge una contraddizione strutturale: l’82% delle aziende utilizza almeno due cloud provider, ma solo il 33% dispone di una strategia di sicurezza unificata per gestirli. Questa frammentazione crea zone d’ombra che gli attaccanti sfruttano sistematicamente. Le misconfigurazioni – errori nella configurazione dei servizi cloud – provocano più incidenti di sicurezza degli attacchi esterni. L’identity sprawl, ovvero la proliferazione incontrollata di identità e diritti d’accesso attraverso ambienti cloud diversi, amplifica ulteriormente la superficie di attacco.
Per le PMI, il tema è ancora più critico. Il 68% delle piccole e medie imprese prevede di aumentare la spesa cloud nel 2026, spesso distribuendo i workload su più provider per ragioni di costo o resilienza. Ma senza una strategia di sicurezza coerente, questa distribuzione diventa un moltiplicatore di rischio anziché un fattore di protezione. La sicurezza multi-cloud richiede competenze specialistiche che la maggior parte delle PMI non ha internamente – e che il mercato dei servizi gestiti sta cercando di colmare con risultati ancora disomogenei.
L’AI sta entrando prepotentemente anche nel campo della difesa: i SOC (Security Operations Center) di nuova generazione adottano modelli agentic dove agenti AI analizzano in tempo reale l’attività cloud, identificano anomalie e orchestrano risposte automatiche. È il concetto di “Agentic SOC” – un centro operativo di sicurezza dove gli analisti umani passano dal ruolo di operatori sommersi dagli alert a quello di supervisori che dirigono agenti AI. Un’evoluzione promettente, ma che introduce a sua volta interrogativi di governance: chi supervisiona il supervisore automatico?
La geopatriazione: quando i dati tornano a casa
Parallelamente alla questione della sicurezza tecnica, il 2026 sta segnando un punto di svolta nella geografia dei dati. Gartner ha coniato il termine “geopatriazione” per descrivere il movimento strategico di dati e applicazioni dai cloud pubblici globali verso ambienti sovrani o regionali – un fenomeno che va ben oltre la semplice localizzazione geografica dei server.
I numeri parlano chiaro: la spesa globale per il cloud sovrano raggiungerà gli 80 miliardi di dollari nel 2026, con la spesa europea in crescita dell’83% anno su anno. Gartner prevede che entro il 2030 oltre il 75% delle imprese europee e mediorientali avrà geopatriato i propri workload virtuali – un salto enorme rispetto al meno del 5% del 2025.
Le ragioni di questa accelerazione sono molteplici e interconnesse. Sul piano regolatorio, il GDPR ha prodotto sanzioni cumulative per 7,1 miliardi di euro fino a gennaio 2026, rendendo la non-compliance un rischio finanziario materiale. L’EU Data Act, operativo da settembre 2025, impone ai cloud provider di supportare la portabilità dei dati e di bloccare l’accesso illegale da giurisdizioni terze, riducendo le barriere al cambio di provider. DORA (Digital Operational Resilience Act) obbliga le istituzioni finanziarie a dimostrare di poter operare anche in caso di disconnessione dai provider globali – con un obbligo esplicito di “exit strategy”. La direttiva NIS2 estende requisiti stringenti di cybersecurity e sovranità a settori essenziali come energia, trasporti e sanità.
Sul piano geopolitico, il conflitto strutturale tra il CLOUD Act statunitense e il GDPR europeo rimane irrisolto. Il CLOUD Act consente alle forze dell’ordine americane di richiedere accesso ai dati detenuti da entità controllate da società statunitensi, indipendentemente dalla localizzazione fisica dei server. Per un’impresa europea che affida i propri dati sensibili a un hyperscaler americano, questo significa che compliance GDPR e obbedienza al CLOUD Act possono risultare mutualmente esclusive – una situazione giuridica insostenibile nel lungo periodo.
Il caso italiano: tra voucher, certificazione EUCS e i 65 miliardi a rischio
L’Italia si trova in una posizione peculiare all’interno di questo scenario europeo. Da un lato, il governo ha stanziato 150 milioni di euro attraverso il voucher Cloud & Cybersecurity, un contributo a fondo perduto fino a 20.000 euro per PMI e lavoratori autonomi destinato ad accelerare l’adozione di servizi cloud sicuri e di soluzioni di cybersecurity. È uno strumento concreto, ma la cui scala è modesta rispetto alle dimensioni del problema: con circa 4,4 milioni di PMI attive in Italia, il budget copre meno dell’1% del tessuto imprenditoriale.
Dall’altro lato, la discussione sulla certificazione EUCS (European Cybersecurity Certification Scheme) – lo schema di certificazione cloud sviluppato da ENISA – sta generando tensioni significative. Lo schema prevede livelli graduati di requisiti per i provider che gestiscono workload sensibili, incluse condizioni relative alla localizzazione dei dati, all’accesso del personale, alla proprietà legale e all’indipendenza da giurisdizioni extra-UE. In sostanza, i livelli più alti di certificazione potrebbero escludere o limitare significativamente i provider non europei dalla gestione dei dati più sensibili della pubblica amministrazione e delle infrastrutture critiche.
Le implicazioni economiche sono rilevanti: secondo uno studio sull’impatto macroeconomico dell’EUCS, i nuovi requisiti di certificazione potrebbero produrre una contrazione del mercato dallo 0,2% nel breve termine fino al 3,6% nel lungo periodo, con un impatto stimato per l’Italia di 65 miliardi di euro. È il prezzo potenziale della sovranità digitale – un prezzo che alimenta un dibattito acceso tra chi privilegia la sicurezza e l’autonomia strategica e chi teme il protezionismo tecnologico e la perdita di competitività.
Cosa significa tutto questo per le PMI italiane
Per il tessuto produttivo italiano, le implicazioni operative sono concrete e immediate.
In primo luogo, la sicurezza cloud non è più un costo accessorio da delegare interamente al provider. Il modello di responsabilità condivisa – dove il provider protegge l’infrastruttura ma il cliente è responsabile della configurazione, dell’accesso e dei dati – richiede competenze che molte PMI non hanno sviluppato. L’errore più comune è trattare il cloud come un hosting evoluto: “i dati sono nel cloud, quindi sono al sicuro.” I numeri di Mandiant dimostrano il contrario.
In secondo luogo, la scelta del provider cloud sta diventando una decisione strategica con implicazioni giuridiche, non solo una valutazione tecnico-economica. Un’impresa italiana che opera con clienti nella pubblica amministrazione o in settori regolamentati potrebbe trovarsi, nei prossimi anni, nella necessità di dimostrare che i propri dati risiedono in ambienti certificati secondo standard europei. Anticipare questa transizione è più efficiente che subirla.
In terzo luogo, l’approccio alla sicurezza deve evolvere dalla protezione perimetrale alla governance continua. Zero trust non è un prodotto da acquistare: è un modello operativo che richiede inventario delle identità digitali, segmentazione degli accessi, monitoraggio continuo e capacità di risposta. Per le PMI, questo si traduce spesso nella necessità di affidarsi a Managed Security Service Provider (MSSP) capaci di offrire competenze specialistiche in modalità as-a-service.
Verso un nuovo equilibrio
Il 2026 si configura come l’anno in cui sicurezza cloud e sovranità dei dati cessano di essere temi paralleli per diventare due facce della stessa medaglia. Le imprese europee non possono più permettersi di affrontare la sicurezza senza considerare la giurisdizione, né discutere di sovranità senza costruire le competenze difensive necessarie.
Per le PMI italiane, la sfida è duplice: da un lato, raggiungere un livello minimo di maturità nella sicurezza cloud che le protegga dalle minacce attuali – minacce che, come documenta il report M-Trends, si muovono ormai alla velocità dei secondi, non delle ore. Dall’altro, posizionarsi in un quadro regolatorio e tecnologico in rapida evoluzione, dove la localizzazione dei dati, la certificazione dei provider e la capacità di dimostrare la propria resilienza operativa diventano prerequisiti per operare in mercati sempre più esigenti.
Non è un percorso semplice, ma è un percorso che non ammette più rinvii. Le organizzazioni che lo affronteranno con pragmatismo e visione strategica – investendo in competenze, scegliendo partner tecnologici con consapevolezza e costruendo governance adeguata – si troveranno in una posizione competitiva significativamente migliore rispetto a chi continuerà a trattare la sicurezza cloud come un problema tecnico da delegare e la sovranità dei dati come un dibattito politico che non li riguarda.
La tua azienda è pronta a gestire le minacce cloud di oggi? OTS può aiutarti a scoprirlo.
OTS S.p.A. è un Managed Service Provider e Cloud Service Provider con oltre 30 anni di esperienza nel mercato italiano.
Grazie al SOC operativo H24, ai servizi di Managed Detection & Response e a un’infrastruttura cloud proprietaria su data center Tier IV, OTS protegge le imprese con un approccio Zero Trust integrato: dalla sicurezza di rete ed endpoint alla protezione degli ambienti cloud ibridi e multi-cloud, fino al monitoraggio continuo degli eventi di sicurezza e alla risposta automatizzata agli incidenti.
Se la tua organizzazione ha bisogno di rafforzare la propria postura di sicurezza cloud o sta valutando un percorso verso infrastrutture sovrane e certificate, visita il sito e contatta OTS per una valutazione dedicata.
