I numeri raccontano una verità difficile da ignorare: la sicurezza informatica non è più una questione di prevenzione, ma di velocità. Il Global Threat Report 2026 di CrowdStrike fotografa un 2025 che verrà ricordato come l’anno dell’“avversario evasivo”, una definizione che sembra fin quasi troppo elegante per descrivere un problema decisamente meno raffinato. Oggi, viviamo ufficialmente nell’Era Agentica. Oggi l’intelligenza artificiale non è più una promessa futuribile, ma il sistema nervoso dell’impresa moderna: agenti autonomi scrivono codice, orchestrano flussi di lavoro e prendono decisioni a velocità macchina. Tuttavia, questa corsa all’efficienza ha generato un paradosso brutale: mentre noi, da un lato, automatizziamo la produttività, dall’altro, i nostri avversari automatizzano gli attacchi.
Il report evidenzia un aumento dell’89% degli attacchi potenziati dall’AI, confermando un sospetto ormai difficile da smentire: ogni innovazione difensiva viene rapidamente adottata anche sul fronte opposto.
Non si tratta tanto della nascita di nuove tipologie di attacco, quanto di un’accelerazione brutale di quelle esistenti. L’AI rende la ricognizione più rapida, la scrittura di codice più efficiente e le campagne di social engineering più credibili. In altre parole, abbassa la soglia d’ingresso e alza il livello medio degli attaccanti.
Se la cybersicurezza fosse uno sport, saremmo nella “Formula 1 del cybercrime”. La metrica della sopravvivenza oggi si misura nel breakout time: il tempo che un hacker impiega per muoversi lateralmente dal punto di ingresso verso asset critici. I dati raccolti nel 2025 descrivono un’accelerazione mozzafiato: il tempo medio di breakout per l’eCrime è crollato a 29 minuti, registrando un aumento della velocità del 65% rispetto all’anno precedente.
Ma è il caso limite a definire il nuovo perimetro del rischio: un’intrusione completata nel tempo record di 27 secondi. Non abbastanza per un caffè, ma più che sufficiente per compromettere un’infrastruttura. In un altro attacco documentato, l’esfiltrazione dei dati è iniziata appena quattro minuti dopo il primo accesso. A questi ritmi, la difesa tradizionale basata su interventi umani appare sempre più simile a un esercizio teorico. La finestra per rilevare, decidere e rispondere si restringe fino a diventare quasi invisibile.
Il dato forse più destabilizzante riguarda la natura stessa degli attacchi: l’82% delle intrusioni analizzate è privo di malware. Gli attaccanti non forzano più le porte, entrano con le chiavi.
Gli avversari moderni hanno compreso che il modo più efficace per essere invisibili è non lasciare tracce digitali sospette. Preferiscono le “Interactive Intrusions”: sessioni guidate da esseri umani che operano alla luce del sole usando credenziali valide e strumenti amministrativi legittimi (come RMM, Google Drive o Microsoft Quick Assist). Il risultato è un paradosso operativo: più un sistema è efficiente e integrato, più può diventare difficile distinguere tra uso legittimo e compromissione.
La fiducia tecnologica si conferma uno dei punti più vulnerabili. Gli attacchi alla supply chain consentono di colpire un singolo nodo per compromettere interi ecosistemi. Il report evidenzia casi in cui software compromesso è stato distribuito su larga scala, generando impatti economici enormi.
Per ottenere questo accesso, gli attaccanti hanno lavorato sull’evoluzione delle loro esche con una creatività quasi perversa. Si spiega in questo modo l’esplosione del 563% nell’uso di falsi CAPTCHA, una tecnica evasiva che sfrutta la naturale fiducia degli utenti verso i protocolli di sicurezza.
Più in generale, anche gli strumenti di sviluppo e gli ambienti legati all’intelligenza artificiale entrano nel mirino. Repository pubblici e pacchetti software diventano veicoli per attacchi sofisticati, spesso difficili da individuare in fase iniziale.
Contrariamente ai timori apocalittici, l’AI non inventa nuove categorie di attacco, ma agisce come un acceleratore sovrumano per le tattiche esistenti. Nel 2025, le intrusioni condotte da avversari potenziati dall’IA sono aumentate dell’89%. L’AI sta in pratica ottimizzando la “Kill Chain”, rendendo fasi come la ricognizione e la raccolta dati fulminee.
C’è poi un altro tema da considerare, quello delle agenzie di intelligence statali. Da questo punto di vista, il report sottolinea l’intensificazione delle attività da parte di gruppi legati a stati nazione, in particolare Cina e Corea del Nord. Gli obiettivi principali restano infrastrutture critiche e servizi finanziari, settori dove l’impatto di un attacco può avere conseguenze sistemiche.
La componente geopolitica del cybercrime diventa sempre più evidente. Non si tratta più solo di criminalità economica, ma di una vera estensione delle dinamiche di potere globale. Nell’era agentica, la cybersicurezza è diventata l’infrastruttura fondamentale necessaria per proteggere l’IA stessa perché l’avversario evasivo ha trasformato la fiducia tecnologica in un’arma. Colpendo un singolo fornitore “a monte”, gli attaccanti possono compromettere migliaia di vittime “a valle”.
L’AI diventa così un doppio fronte. Da un lato accelera gli attacchi, dall’altro introduce nuove vulnerabilità che le aziende devono ancora imparare a gestire.
Il nuovo campo di battaglia è definito da tre pilastri: velocità estrema, legittimità degli accessi e trasformazione agentica. Con 281 avversari tracciati e un aumento del 37% nelle intrusioni cloud (dato che schizza al 266% se consideriamo solo gli attori state-nexus), la pressione è insostenibile per i modelli di difesa tradizionali. Inoltre, lo sfruttamento di vulnerabilità zero-day è cresciuto del 42%, riducendo quasi a zero il tempo concesso per il patching.
In questa era, i dati non sono solo il carburante dell’IA, ma la fondazione della sicurezza stessa. La capacità di correlare telemetria e intelligence attraverso l’intera superficie di attacco (endpoint, cloud, identità e asset non gestiti) è l’unico modo per agire prima che l’avversario raggiunga il suo obiettivo.
A leggere il Global Threat Report 2026 di CrowdStrike sembra che l’anno appena chiuso segni la fine definitiva di alcune certezze: il malware non è più il protagonista principale, il tempo di reazione umano non è più sufficiente e l’intelligenza artificiale non è più neutrale.
La cybersecurity entra in una fase in cui velocità, automazione e capacità predittiva diventano elementi essenziali. Il vero interrogativo non è se un attacco avverrà, ma quanto velocemente si riuscirà a rispondere.
