La cybersicurezza si conferma la priorità assoluta per i responsabili IT delle aziende italiane anche nel 2026, superando persino l'ondata dell'intelligenza artificiale che pure sta ridisegnando il panorama delle minacce informatiche. Le tensioni geopolitiche globali amplificano i rischi, mentre i cybercriminali affinano le loro armi con tecnologie sempre più sofisticate. In questo scenario complesso, le imprese si trovano a dover bilanciare investimenti in difese tecnologiche avanzate, conformità normativa stringente e formazione continua del personale, consapevoli che un errore può costare caro in termini economici e reputazionali.
L'intelligenza artificiale: nuova arma a doppio taglio
L'avvento dell'AI rappresenta probabilmente lo spartiacque più significativo nel mondo della sicurezza informatica degli ultimi anni. Gli attacchi informatici potenziati dall'intelligenza artificiale stanno diventando più veloci e difficili da rilevare, con malware che modificano il proprio codice in tempo reale grazie al machine learning. I deepfake audio e video raggiungono livelli di realismo tali che persino utenti esperti faticano a distinguerli da contenuti autentici, rendendo le tecniche di social engineering estremamente pericolose.
Marco Colizzi, Senior Manager IT di Olympus Corporation per l'Italia, sottolinea come la tecnologia corra a velocità impressionante: "L'introduzione dell'intelligenza artificiale farà da spartiacque. Vedremo sempre più deepfake realistici che aumenteranno il rischio di smishing, phishing e impersonalisation". Un aspetto particolarmente insidioso evidenziato da Colizzi riguarda il data poisoning, ovvero la manipolazione dei dati utilizzati per addestrare i modelli di intelligenza artificiale.
Per il 2026 gli esperti prevedono l'avvento dell'intelligenza artificiale agentica come nuova frontiera degli attacchi. Gli aggressori impiegheranno bot autonomi per condurre ricognizioni, muoversi lateralmente nei sistemi compromessi e sottrarre informazioni sensibili con una rapidità mai vista prima. Le aziende dovranno rispondere integrando l'AI come architettura IT completa, non come semplice prodotto aggiuntivo.
La corsa tra difensori e attaccanti si fa serrata
Paolo Schintu, esperto di cybersecurity, definisce l'uso dell'AI da parte dei cybercriminali come "la grande emergenza" del momento. La quantità e la velocità degli attacchi stanno crescendo in modo esponenziale, mentre la qualità, ancora relativamente contenuta, è destinata a migliorare rapidamente. Il problema principale è che l'intelligenza artificiale ha abbassato drasticamente le barriere d'ingresso: anche persone con competenze tecniche limitate possono ora orchestrare attacchi sofisticati.
"In questa sorta di inseguimento tra guardie e ladri, in cui ahimè le guardie rincorrono sempre, le imprese rischiano di trovarsi troppo indietro", avverte Schintu. Gli strumenti di difesa basati sull'AI esistono e sono efficaci, ma il problema è il divario temporale: adottare tecnologie di sicurezza avanzate richiede tempo per le imprese, mentre i criminali possono lanciare attacchi potenziati dall'AI molto più rapidamente.
Silvio Borletto, CIO e CISO di LMA nel settore aerospaziale, conferma che l'AI aggiunge complessità all'equazione della sicurezza. La sua azienda ha adottato una politica restrittiva: "L'AI gratuita per noi è un grande no, perché i dati non si sa dove vanno e sicuramente diventano pubblici". Utilizzano esclusivamente soluzioni acquistate da vendor certificati, in particolare Microsoft, mentre tutti gli altri tool di intelligenza artificiale sono banditi dall'organizzazione.
Le fondamenta restano imprescindibili
Nonostante l'attenzione mediatica sull'AI, Claudio Telmon di P4I – Partners4Innovation invita a non perdere di vista gli elementi basilari della sicurezza informatica. Secondo l'esperto, nel 2026 continueranno a verificarsi principalmente incidenti legati a vulnerabilità tradizionali e carenze nelle prassi di sicurezza fondamentali. Sistemi non aggiornati, reti mal protette, gestione inadeguata degli accessi e, soprattutto, insufficiente segregazione dei sistemi rappresentano ancora i talloni d'Achille di molte organizzazioni.
"I malware si diffondono rapidamente perché non trovano ostacoli lungo il percorso, ovvero non c'è segregazione sufficiente", spiega Telmon. Inoltre, la prevenzione e le capacità di rilevamento automatico delle minacce sono essenziali: analizzare manualmente i dati alla ricerca di anomalie è semplicemente impossibile data la mole di informazioni generate quotidianamente.
Geopolitica e criminalità informatica: un legame sempre più stretto
Lo scenario internazionale inciderà pesantemente sulla cybersicurezza del 2026. L'eventuale escalation dei conflitti in corso potrebbe tradursi in un'intensificazione degli attacchi informatici sponsorizzati da Stati nazionali. Il modello di business dei cybercriminali sta evolvendo di pari passo con il deterioramento delle relazioni internazionali, seguendo dinamiche politiche, sociali ed economiche complesse.
Il rapporto di ENISA, l'Agenzia europea per la cybersecurity, ha documentato picchi di attacchi informatici in Italia, soprattutto DDoS, in corrispondenza del rinnovo del supporto italiano all'Ucraina. Questo fenomeno non colpisce solo le pubbliche amministrazioni ma tutte le aziende considerate strategiche: utilities, settore finanziario, trasporti e infrastrutture critiche sono nel mirino.
Diversi CIO italiani sottolineano come la cybersecurity sia diventata un fenomeno intrinsecamente legato agli equilibri geopolitici globali, con implicazioni che vanno ben oltre la mera protezione dei sistemi informatici.
NIS2: burocrazia o necessità strategica?
Il tema della conformità normativa divide il mondo delle imprese. L'Istituto per la Competitività I-Com evidenzia nel suo rapporto sulla cybersicurezza come il proliferare di normative europee e italiane – dalla NIS2 al Cyber Resilience Act, da DORA al Perimetro di sicurezza nazionale – finisca per gravare sulla competitività aziendale, assorbendo risorse che potrebbero essere destinate all'innovazione.
Gli esperti di sicurezza informatica hanno tuttavia una visione diversa. Schintu è categorico: "Cento euro non investiti oggi potrebbero significare 100 mila euro persi in attacchi cyber domani". Il problema non sono le sanzioni, ma il rischio concreto per la continuità operativa: un ransomware può paralizzare un'impresa fino a causarne la chiusura. La NIS2 rappresenta per molti la baseline imprescindibile della cybersicurezza, specialmente per quanto riguarda la gestione della supply chain.
Telmon riconosce che la burocrazia può essere gravosa, ma sostiene che le normative attuali vadano nell'interesse delle aziende: "Gli adempimenti non sono solo formali, ma sostanziali, e nel momento dell'incidente informatico fanno la differenza". Il vero problema è piuttosto il proliferare di normative sovrapposte che richiedono una razionalizzazione per aumentarne l'efficienza senza indebolirne l'efficacia.
Colizzi evidenzia un merito specifico della NIS2: aver alzato l'attenzione delle imprese sull'allargamento della superficie d'attacco. "Quest'anno abbiamo assistito a diversi casi in cui gli attacchi non erano diretti, ma sono passati per la supply chain", ricorda il manager di Olympus.
Sovranità digitale e Confidential Computing
Le tensioni geopolitiche hanno riacceso il dibattito sulla sovranità digitale e sulla residenza dei dati. Schintu cita un funzionario della NSA americana che anni fa affermò durante una RSA Conference: "Gli hacker hanno ragione quando dicono che il cloud è il computer di qualcun altro". Alcune tipologie di dati, secondo l'esperto, non dovrebbero mai risiedere su infrastrutture cloud, indipendentemente dal provider.
Il problema è concreto: leggi come il Cloud Act statunitense permettono ai governi di richiedere ai propri vendor l'accesso ai dati dei clienti, che non possono rifiutarsi. Le imprese clienti si ritrovano quindi a dipendere da fornitori che non possono garantire la totale confidenzialità delle informazioni. Con le attuali tensioni internazionali, questo rappresenta un rischio che va oltre la semplice riservatezza dei dati.
Emerge così il trend del Confidential Computing, che Gartner identifica come priorità per il 2026. Si tratta di isolare i carichi di lavoro all'interno di ambienti di esecuzione attendibili basati su hardware, mantenendo contenuti e processi riservati anche per i proprietari dell'infrastruttura. Questa prassi è particolarmente utile per settori regolamentati e aziende con operazioni globali che affrontano rischi geopolitici. Gartner prevede che entro il 2029 oltre il 75% delle operazioni elaborate in infrastrutture non attendibili sarà protetto da questa tecnologia.
Il quantum computing: minaccia all'orizzonte
Sebbene non rappresenti ancora un'urgenza immediata, il quantum computing merita attenzione già da oggi. Come spiega Schintu, questa tecnologia "scardina le chiavi crittografiche attualmente usate". L'adozione enterprise su larga scala è prevista tra 10-15 anni, eccezion fatta per settori specializzati come chimica e finanza, ma la portata sarà rivoluzionaria, potenzialmente superiore all'impatto dell'AI.
Le aziende lungimiranti stanno già studiando strategie per attrezzarsi contro le nuove minacce derivanti dal calcolo quantistico e per sfruttarne i vantaggi competitivi per il business.
L'errore umano resta il tallone d'Achille
Tutti i CIO intervistati concordano nell'identificare l'errore umano e la disinformazione come la principale minaccia alla sicurezza informatica. Il 2025 è risultato globalmente l'anno più critico per numero e gravità degli attacchi, con l'Italia che ha registrato un raddoppio degli incidenti gravi rispetto al 2024, colpendo soprattutto pubblica amministrazione, sanità e manifattura.
Borletto di LMA racconta la sfida quotidiana di portare tutto il personale a un buon livello di gestione della cybersicurezza: "Occorre confrontarsi con le resistenze delle persone e fornire alternative credibili al vecchio modo di fare". La sua ricetta combina formazione continua e presenza costante sul campo: "Noi del team IT giriamo sempre per l'azienda e monitoriamo i comportamenti, correggendo eventuali deviazioni dalle prassi più sicure in modo costruttivo".
Le competenze e la cultura della sicurezza rappresentano il primo elemento di una gestione efficace, ma non sono sufficienti. Come chiarisce Telmon, è fondamentale definire processi operativi che tutelino l'azienda anche quando l'awareness fallisce: "Se si riceve via email la richiesta di cambiare l'Iban per una transazione, bisogna prima verificare telefonicamente con la controparte che il messaggio sia legittimo".
Regole chiare e architetture sicure
Borletto sottolinea l'importanza delle regole: "Nella sicurezza sono importanti i comportamenti e la dimensione umana, ma esistono anche le regole, e vanno rispettate". LMA ha adottato misure drastiche come il blocco della navigazione verso l'Oriente dopo determinate vicende internazionali, una lista di applicazioni vietate per lo scambio dati via web e la decisione di mantenere on-premises tutte le applicazioni che i clienti non vogliono risiedano su cloud generico.
Gli esperti individuano sette pilastri su cui costruire una solida cultura della sicurezza informatica: architettura Zero Trust con verifica costante delle identità; cloud governance rigorosa; cyber-resilienza con strategie di disaster recovery e risposta agli incidenti; gestione completa del rischio includendo supply chain e terze parti; adozione di AI e automazione per la difesa; sicurezza degli endpoint anche per il lavoro remoto; formazione continua del personale.
Verso la cybersicurezza preventiva
Gartner prevede una trasformazione radicale: entro il 2030 le soluzioni di sicurezza preventiva rappresenteranno la metà di tutta la spesa per la cybersecurity, contro meno del 5% nel 2024. I CIO passeranno dalla difesa reattiva alla protezione proattiva, utilizzando SecOps basate sull'intelligenza artificiale, negazione programmatica e tecniche di inganno degli attaccanti.
Come sintetizza Tori Paulman, VP Analyst di Gartner: "La sicurezza informatica preventiva consiste nell'agire prima che gli aggressori colpiscano. Questo è un mondo in cui la previsione è protezione". Un cambio di paradigma necessario per affrontare l'aumento esponenziale di minacce che prendono di mira reti, dati e sistemi connessi, in uno scenario dove la velocità di reazione può fare la differenza tra la sopravvivenza e il collasso di un'organizzazione.