Tra AI, supply chain, phishing evoluto e ransomware, la cyber security non protegge più solo i sistemi: protegge la continuità operativa dell’impresa.
Per anni la cyber security è stata raccontata come un tema tecnico. Un insieme di strumenti, configurazioni e procedure affidate alla funzione IT, con l’obiettivo di proteggere reti, endpoint, server e identità digitali. Oggi questa lettura non basta più. Non perché la tecnologia conti meno, ma perché il suo impatto si è allargato ben oltre il perimetro infrastrutturale.
Nel 2026 un incidente cyber può bloccare processi, interrompere attività operative, compromettere relazioni con clienti e fornitori, esporre dati critici, produrre effetti reputazionali e generare conseguenze economiche che si estendono molto oltre il momento dell’attacco.
La sicurezza, quindi, non può più essere interpretata come una componente tecnica separata dal resto dell’organizzazione. È diventata una condizione necessaria per la continuità del business. Questa impostazione è coerente anche con il dato che colloca i cyber incident tra i principali rischi percepiti per la continuità aziendale, con un’incidenza del 42% (Allianz Risk Barometer 2026).
Il cyber crime ragiona ormai come un’industria
Per comprendere davvero il presente, bisogna partire da un cambiamento che negli ultimi anni ha modificato la natura stessa del rischio. Gli attacchi non sono più riconducibili, nella maggior parte dei casi, a forme episodiche o artigianali di criminalità informatica. Il cyber crime si è strutturato secondo logiche industriali: specializzazione dei ruoli, strumenti riutilizzabili, filiere di monetizzazione, servizi acquistabili e modelli operativi replicabili.
Il ransomware è il caso più evidente di questa trasformazione. La sua crescita non dipende soltanto dall’evoluzione tecnica delle minacce, ma dal fatto che il ricatto digitale ha trovato un modello economico efficiente e scalabile. Tra il 2016 e il 2017, la diffusione del Bitcoin e l’emergere di casi simbolici come WannaCry segnano l’ingresso in una fase diversa della minaccia. Da quel momento il ransomware smette di essere un fenomeno circoscritto e diventa una vera macchina economica, capace di crescere in rapidità, diffusione e redditività.
Questo cambia radicalmente il problema per le imprese. Se dall’altra parte non c’è un attore isolato, ma una filiera organizzata che punta a massimizzare efficacia e profitto, allora la difesa non può ridursi a un insieme di strumenti accumulati nel tempo. Deve trasformarsi in una capacità strutturata di prevenire, rilevare, contenere e reagire.
I vettori di attacco sono noti, ma oggi sono molto più efficaci
Uno degli aspetti più interessanti del panorama attuale è che i principali vettori di accesso iniziale non sono del tutto nuovi. Le organizzazioni continuano a essere colpite soprattutto attraverso canali già noti: credenziali valide, vulnerabilità tecniche, phishing, errore umano, terze parti. La novità non sta tanto nelle porte d’ingresso, quanto nella velocità e nell’efficacia con cui vengono sfruttate.
I dati disponibili mostrano con chiarezza questo scenario. Tra i vettori iniziali più frequenti figurano l’utilizzo di credenziali valide, al 22%, lo sfruttamento delle vulnerabilità, al 20%, e le email di phishing, al 16%. Sono percentuali che raccontano una realtà molto concreta: il rischio cyber continua a entrare da superfici apparentemente conosciute, ma lo fa con strumenti più rapidi, processi più industrializzati e capacità di esecuzione molto più mature.
Le credenziali compromesse restano centrali perché l’identità digitale è diventata uno degli asset più sensibili dell’impresa distribuita. Le vulnerabilità restano decisive perché la finestra utile per intervenire si è drasticamente accorciata: alcune esposizioni possono essere sfruttate in meno di ventiquattro ore. Il phishing, infine, continua a mantenere un peso elevato, ma in forme sempre più evolute e credibili.
Il phishing è cambiato: l’intelligenza artificiale lo rende più credibile, più veloce, più persuasivo
Tra le trasformazioni più rilevanti del panorama cyber c’è l’impatto dell’intelligenza artificiale sulle tecniche di inganno. Per molto tempo il phishing è stato associato a messaggi riconoscibili, errori linguistici, email poco credibili e tentativi relativamente facili da intercettare. Oggi questo scenario è profondamente cambiato.
L’80% delle email di phishing identificate tra settembre 2024 e febbraio 2025 presentava un utilizzo dell’intelligenza artificiale. Il dato è importante non solo per la sua entità, ma per ciò che implica: le campagne di phishing sono sempre più personalizzate, coerenti, persuasive e difficili da riconoscere sulla base dei vecchi indicatori.
L’AI, però, non è soltanto una leva per gli attaccanti. Può essere anche una componente utile nel rafforzare la capacità di difesa, soprattutto quando viene integrata in processi di detection, correlazione, threat intelligence e automazione della risposta. Il problema non è quindi la tecnologia in sé, ma il modo in cui entra nei processi aziendali. Da un lato può ridurre i tempi di reazione e contribuire a contenere il costo di un incidente. Dall’altro può generare nuove fragilità quando viene adottata senza governance, senza regole e senza un presidio chiaro sui dati che gli utenti inseriscono su questi strumenti.
Il fattore umano pesa ancora, ma non può più essere letto in modo semplicistico
Dire che il fattore umano è centrale è corretto, ma oggi non è più sufficiente. Per anni questa constatazione è stata semplificata nella formula dell’“utente come anello debole”. In realtà, il peso delle persone va interpretato dentro un contesto più complesso, fatto di interazioni digitali, dipendenze operative, strumenti distribuiti e crescente qualità delle tecniche di manipolazione.
I dati mostrano che l’interazione umana incide per il 60% tra i principali elementi identificativi emersi nelle violazioni, mentre il ruolo delle terze parti pesa per il 30% e lo spionaggio per il 17%. Numeri di questo tipo non indicano soltanto che gli utenti sbagliano. Indicano che il rischio nasce da un ecosistema in cui comportamenti, accessi, relazioni esterne e fiducia operativa vengono continuamente sollecitati e sfruttati.
Per questo la formazione, pur restando indispensabile, non può essere l’unica risposta. Serve una postura più ampia, fatta di protezione delle identità, browser sicuri, dispositivi conformi, policy di accesso, autenticazione robusta e riduzione dei margini di errore. La maturità cyber non consiste nel pretendere utenti infallibili, ma nel progettare ambienti che rendano l’errore meno probabile e meno dannoso.
La supply chain è diventata uno dei punti più critici della sicurezza contemporanea
La sicurezza non dipende più soltanto da ciò che l’impresa controlla direttamente. Oggi una parte rilevante della superficie di attacco si colloca nelle relazioni con fornitori, partner, outsourcer, servizi cloud, software di terze parti e piattaforme adottate dal business. Questo rende la supply chain una delle grandi fragilità del presente.
Il dato del 30% associato alle terze parti aiuta a inquadrare il fenomeno in modo molto concreto. Non si tratta di una variabile marginale, ma di una componente strutturale del rischio. Più le aziende diventano interconnesse, più la sicurezza dipende dalla qualità delle dipendenze digitali che costruiscono nel tempo.
Questo vale in modo particolare per il tessuto imprenditoriale italiano, dove filiere produttive, partner tecnologici e fornitori di servizi hanno spesso un ruolo cruciale nella continuità operativa. La domanda non è più soltanto “quanto siamo protetti internamente?”, ma “quanto conosciamo davvero le esposizioni che derivano dai soggetti con cui lavoriamo?”. La differenza è sostanziale, perché sposta la sicurezza dal perimetro statico all’ecosistema reale dell’impresa.
Il perimetro tradizionale non esiste più
Una delle conseguenze più evidenti della trasformazione digitale è la dissoluzione del vecchio perimetro di sicurezza. L’idea di un confine chiaro, stabile e difeso da una rete interna separata dall’esterno oggi non è più sufficiente a rappresentare il modo in cui le aziende lavorano. I dati si muovono, gli utenti operano da luoghi e dispositivi diversi, le applicazioni sono distribuite, il cloud ridisegna le dipendenze, i SaaS vengono introdotti anche fuori dai percorsi tradizionali di governance IT.
Il fenomeno del BYOD (Bring Your Own Device) rende questa realtà ancora più visibile. Secondo i dati riportati, il 46% dei dispositivi compromessi da infostealer che contenevano credenziali corporate era riconducibile a scenari BYOD. È un numero che sintetizza molto bene il punto: la superficie di attacco reale non coincide più con quella formalmente gestita dall’organizzazione.
In questo contesto, la sicurezza richiede soprattutto visibilità. Sapere quali asset esistono, quali accessi sono attivi, quali dispositivi sono conformi, quali identità risultano esposte e quali dati possono uscire dall’organizzazione senza essere intercettati. Senza questa capacità di vedere e governare, ogni strategia di difesa resta inevitabilmente parziale.
Le PMI italiane sono pienamente dentro il rischio cyber
Nel racconto pubblico della cyber security esiste ancora una percezione fuorviante: quella secondo cui gli attacchi più seri riguarderebbero soprattutto grandi gruppi, brand globali o infrastrutture critiche. In realtà, le piccole e medie imprese sono pienamente esposte, e in molti casi rappresentano un bersaglio particolarmente vulnerabile.
Il materiale analizzato richiama esplicitamente il dato secondo cui una PMI su tre viene attaccata. In un Paese come l’Italia, composto in larga parte da piccole e medie imprese, questo significa che la questione non è periferica, ma sistemica. Le PMI spesso uniscono infatti alcuni elementi che amplificano il rischio: forte dipendenza da pochi processi essenziali, margini di assorbimento più ridotti, governance cyber meno formalizzata, sistemi cresciuti per stratificazione e un ecosistema di fornitori molto articolato.
Anche la distribuzione delle vittime per settore in Italia conferma una diffusione ampia. Il manufacturing pesa per il 17,3%, il comparto technologies per il 6,9%, il construction per il 6,4% e il food & drinks per il 5,9%, mentre la categoria “others” raccoglie il 28,3%. È un quadro che mostra chiaramente come il rischio non si concentri in pochi comparti eccezionali, ma attraversi il sistema produttivo in modo trasversale.
Il ransomware non punta più solo a bloccare: punta a esporre, ricattare e mettere pressione
Anche il modello estorsivo è cambiato. In passato il danno principale era legato soprattutto alla cifratura dei dati e alla richiesta di un riscatto per ripristinarne l’accesso. Oggi questo schema è spesso superato da forme di double extortion, in cui alla cifratura si affianca l’esfiltrazione preventiva delle informazioni. Il risultato è una pressione molto più forte sull’organizzazione: non solo fermo operativo, ma anche rischio reputazionale, legale, contrattuale e regolatorio.
Questa evoluzione modifica anche le priorità della difesa. Backup e disaster recovery restano indispensabili, ma non sono più sufficienti da soli. Se i dati possono uscire dall’organizzazione prima ancora che il blocco dei sistemi sia evidente, allora servono strumenti e processi capaci di proteggere il dato in anticipo, monitorarne i movimenti, rilevare comportamenti anomali e contenere l’incidente nel minor tempo possibile.
La resilienza, quindi, non coincide più soltanto con il “tornare online”. Coincide con la capacità di non perdere il controllo delle informazioni critiche nel momento in cui l’attacco prende forma.
La maturità cyber continua a dipendere dalle basi
In uno scenario segnato da AI, ransomware-as-a-service, supply chain compromise e social engineering evoluto, può sembrare quasi banale ricordarlo. Eppure resta una delle verità più importanti: la sicurezza dipende ancora in larga parte dall’esecuzione rigorosa delle fondamenta.
Hardening, gestione delle vulnerabilità, MFA, least privilege, protezione delle identità, controllo degli accessi, segmentazione, monitoraggio continuo, riduzione della superficie esposta, revisione delle configurazioni e protezione delle applicazioni critiche restano elementi decisivi.
Non perché le minacce moderne siano semplici, ma perché molto spesso riescono a trasformarsi in danno concreto proprio dove le basi risultano trascurate, incoerenti o stratificate nel tempo.
Il problema, in molte organizzazioni, non è l’assenza totale di strumenti. È la loro crescita disordinata. Ambienti che accumulano eccezioni, configurazioni temporanee diventate permanenti, soluzioni introdotte in momenti diversi e mai realmente riallineate. In questi contesti la maturità non nasce da nuove promesse tecnologiche, ma dalla capacità di rimettere ordine, capire cosa è esposto, definire le priorità e intervenire sui punti che hanno davvero impatto sul business.
Nessuna strategia è solida se non regge nel momento di crisi
Esiste poi una differenza decisiva tra sicurezza dichiarata e sicurezza reale: la capacità di tenere quando il contesto normale smette di funzionare. Molte aziende possiedono policy, ruoli, procedure e documenti. Molte meno hanno verificato cosa accade davvero quando i sistemi diventano indisponibili, quando le credenziali non sono accessibili, quando i repository documentali sono compromessi o quando i canali abituali di coordinamento non sono più utilizzabili.
È in questi momenti che la resilienza organizzativa si misura sul serio. Le simulazioni di crisi, i penetration test avanzati e il test periodico delle difese non servono soltanto a soddisfare un requisito formale. Servono a verificare se l’organizzazione è in grado di restare lucida, prendere decisioni, coordinarsi e reagire quando l’attacco diventa evento e non più ipotesi.
La cyber security, da questo punto di vista, è sempre meno una questione di sola prevenzione e sempre più una capacità di risposta strutturata.
NIS2 spinge le imprese a fare ordine, ma non sostituisce una strategia
Nel quadro europeo, la NIS2 rappresenta uno dei principali fattori di pressione e di maturazione. Spinge le organizzazioni a formalizzare responsabilità, rafforzare risk management, asset management, supply chain security, incident response, business continuity e governance complessiva della sicurezza. È un impianto che rende evidente una cosa: la cyber security non può più essere affrontata come una somma di misure sparse o iniziative occasionali.
Allo stesso tempo, la normativa da sola non basta. Può aiutare a strutturare il percorso, a dare continuità ad alcune priorità e a rendere più chiaro il livello di accountability richiesto. Ma non sostituisce la necessità di una strategia costruita a partire dal business. La sicurezza richiede budget, certamente, ma richiede soprattutto mandato organizzativo: la possibilità concreta di definire regole, applicare controlli, governare eccezioni, correggere abitudini e riallineare le scelte operative agli obiettivi di resilienza.
La sicurezza assoluta non esiste. La falsa sicurezza, invece, è un rischio molto concreto
La conclusione più utile, forse, è anche la più sobria. La sicurezza totale non esiste. Non esiste per le grandi imprese, non esiste per le PMI, non esiste per chi ha già investito e non esiste per chi è ancora all’inizio del proprio percorso di maturazione.
Ma esiste una differenza profonda tra organizzazioni che affrontano questa realtà con metodo e consapevolezza e organizzazioni che confondono l’assenza apparente di incidenti con una condizione sufficiente di protezione.
La falsa sensazione di essere “abbastanza al sicuro” è una delle vulnerabilità più insidiose. Perché rallenta, rinvia, anestetizza il bisogno di decidere. Al contrario, la resilienza nasce da un approccio più concreto: conoscere i propri asset critici, proteggere identità e dati, governare le dipendenze esterne, ridurre la superficie esposta, testare la propria capacità di reazione e collegare la sicurezza agli elementi che tengono davvero in piedi il business.
I numeri disponibili puntano tutti nella stessa direzione: 22% credenziali valide, 20% vulnerabilità, 16% phishing, 60% interazione umana, 30% terze parti, 46% BYOD nei dispositivi compromessi da infostealer con credenziali corporate, 80% di phishing con uso di AI, 17,3% di vittime nel manufacturing italiano. Presi singolarmente sono segnali. Letti insieme, raccontano una trasformazione strutturale.
La cyber security non è più soltanto difesa del perimetro. È capacità dell’impresa di proteggere la propria operatività in un contesto in cui il rischio è distribuito, continuo e sempre più intrecciato con il business stesso.
Quando il rischio cyber smette di essere teorico, avere il partner giusto con cui leggere il contesto, definire le priorità e costruire una risposta concreta può fare la differenza. OTS supporta le aziende nell’evoluzione della propria postura di sicurezza, dalla valutazione del rischio alla definizione delle misure più efficaci per proteggere dati, processi e continuità operativa. Visita il sito web di OTS →
