Tecnologia Gli attacchi con l'AI raddoppiano le falle critiche
3' 43''
07/07/2026

Il 2026 Exposure Gap Report di Check Point mostra il raddoppio delle esposizioni critiche legate a vulnerabilità software e spinge l’exposure management.

Gli attacchi con l'AI raddoppiano le falle critiche

Gli investimenti in intelligenza artificiale stanno ridisegnando la sicurezza informatica delle imprese su due fronti opposti: accelerano gli attacchi e, allo stesso tempo, rendono più rapide le operazioni difensive. Il dato centrale arriva dal 2026 Exposure Gap Report di Check Point Software Technologies, presentato a Check Point Engage 2026 a Parigi: le esposizioni critiche legate alle vulnerabilità sono più che raddoppiate in un anno.

Nel dettaglio, le vulnerabilità software rappresentano il 42,6% di tutte le esposizioni critiche aziendali nel 2026, contro il 18,7% dell’anno precedente. La crescita le rende la principale fonte di rischio cyber per le imprese. Gli strumenti di attacco assistiti dall’AI permettono agli attori malevoli di scandagliare asset esposti su Internet, workload cloud, credenziali e debolezze applicative su una scala molto più ampia rispetto alle tecniche manuali, comprimendo i tempi di reazione disponibili per i team di difesa.

La pressione non si traduce però in una semplice corsa a correggere tutto. Il report indica che, dopo la validazione dell’exploitability, solo il 7,8% degli alert sulle vulnerabilità richiede una remediation a priorità Critical o High. In altre parole, oltre il 90% degli avvisi non necessità di un intervento immediato. La conseguenza operativa è netta: le aziende devono distinguere tra vulnerabilità rilevate e rischi realmente sfruttabili, evitando che i team di sicurezza vengano sommersi da segnali non prioritari.

Le vulnerabilità critiche crescono, ma solo una minoranza richiede interventi urgenti

È in questo passaggio che Check Point colloca lo spostamento dal vulnerability management tradizionale verso l’exposure management potenziato dall’AI. L’approccio combina asset discovery, attack surface management, validazione dell’exploitability, cloud security posture management, protezione delle identità, threat intelligence e contesto di business in un unico flusso operativo. Il modello si allinea alle pratiche di Continuous Threat Exposure Management, pensate per identificare, validare e correggere in modo continuativo i percorsi di attacco più pericolosi in ambienti ibridi e multi-cloud.

La concentrazione del rischio è un altro elemento chiave. Il 76% delle esposizioni critiche deriva da due sole categorie: vulnerabilità software e divulgazione interna di informazioni. Credenziali esposte, storage cloud, file di configurazione e ambienti di sviluppo continuano a fornire agli aggressori informazioni utili per la ricognizione e il movimento laterale prima di campagne più estese. In questo scenario, la superficie di attacco non coincide più soltanto con server e applicazioni, ma include identità, dati tecnici, configurazioni e strumenti di lavoro distribuiti.

Anche il phishing cresce rapidamente. I siti di phishing rappresentano il 10,5% delle esposizioni critiche nel 2026, in forte aumento rispetto all’1,0% dell’anno precedente. L’AI generativa consente ai cybercriminali di automatizzare email credibili, portali di login falsi e campagne di impersonificazione in più lingue, rendendo più difficile per i dipendenti riconoscere gli attacchi. L’efficacia della difesa dipende quindi sempre meno dal solo addestramento individuale e sempre più dalla capacità di collegare segnali tecnici, identità e contesto.

L’AI accelera gli attacchi e impone una difesa più selettiva

Le imprese mostrano comunque progressi nella risposta. Nei settori analizzati, le organizzazioni hanno implementato l’85,9% delle azioni di remediation raccomandate, segnale che la prioritizzazione strutturata e i workflow automatizzati possono ridurre il rischio senza moltiplicare l’impatto operativo. Le performance restano molto diverse: il settore più rapido ha registrato un tempo mediano di remediation di 12,6 ore, mentre le Utilities hanno risolto il 30% delle esposizioni critiche entro un’ora.

All’estremo opposto, l’Healthcare mostra il tempo mediano più lento, pari a 158,8 ore, anche per la presenza di sistemi medicali legacy, cicli di vita lunghi dei dispositivi e requisiti operativi stringenti. Lo stesso comparto registra il livello più alto di divulgazione interna di informazioni, pari al 63,6% delle esposizioni critiche. Le Utilities hanno invece la maggiore concentrazione di vulnerabilità software, al 78,2%, mentre nel Government il dato arriva al 56,4% e nei Financial Services la divulgazione interna pesa per il 42,7%.

La sicurezza si misura sui percorsi di attacco eliminati, non sugli alert

La trasformazione digitale allarga il perimetro: AI, cloud computing, lavoro ibrido, applicazioni SaaS, API, edge computing e tecnologie operative connesse rendono gli ambienti IT più distribuiti e difficili da presidiare. La domanda si sposta così verso piattaforme integrate capaci di offrire visibilità continua, validazione dell’exploitability e remediation automatizzata su endpoint, identità, workload cloud e superfici esterne. In questo mercato si muovono, oltre a Check Point, anche Palo Alto Networks, Microsoft, Tenable, Qualys, Rapid7, Wiz, CrowdStrike, Cisco, Trend Micro, Armis, XM Cyber, Axonius e Ivanti. La sicurezza enterprise entra in una fase in cui il criterio decisivo non è quante falle vengono scoperte, ma quanto rapidamente vengono ridotti i percorsi di attacco davvero sfruttabili.