Con l’adozione dell’AI da parte di un numero sempre maggiore di aziende, i responsabili della cybersecurity dovranno gestire una realtà più complessa. In particolare, l’AI Agentic, capace di correlare alert provenienti da identità, endpoint, rete e cloud, li spingerà a ripensare alla responsabilità operativa, alla condivisione dei dati e all’adozione di piattaforme integrate. Il punto non sarà più cosa l’AI potrà fare, ma come i team umani potranno supervisionare senza essere sommersi da migliaia di output. E le imprese, come faranno a anticipare e contrastare le minacce? Ogni previsione implica l’avvertenza che il futuro rimane irrimediabilmente imprevedibile, ma anche gli eventi imprevisti traggono origine da tendenze già in atto. SentinelOne condivide alcune prospettive.
Non si potranno automatizzare le responsabilità
Gli strumenti di AI potranno gestire gran parte delle procedure cyber eseguite dai team umani, i quali si occuperanno semplicemente di supervisionare poiché gestire l’output di migliaia di agent AI diventa impossibile con i tradizionali alert.
Servirà trovare il giusto equilibrio tra il livello di automazione e la responsabilità umana, laddove l’AI aggrega attività e alert correlati e li presenta come un unico punto decisionale per l’operatore. Le persone prenderanno così una singola decisione, responsabile e verificabile, invece di dover valutare migliaia di decisioni individuali potenzialmente incoerenti, mantenendo la supervisione pur sfruttando al contempo la capacità dell’AI di svolgere un lavoro completo e coerente.
Il paradosso della difesa dai deepfake
La tecnologia che oggi permette di replicare l’identità di chiunque in un video, dovrebbe preoccupare ogni responsabile della sicurezza anche perché diventa difficile distinguere i falsi più sofisticati. Gli hacker poi possono ripetere all’infinito i propri attacchi, a basso costo perfezionando l’approccio fino ad avere successo e, quando i sistemi di detection respingono i fake, forniscono inavvertitamente indicazioni per affinare gli attacchi stessi.
Nel 2026, le aziende smart dovranno spingersi oltre la difesa della modalità single-layer contro i deepfake. Sarà richiesta la combinazione di tecniche di rilevamento con metodi di verifica out-of-band ovvero elementi aggiuntivi che agiscono al di fuori del canale di comunicazione. Si vedono già i primi segnali in ambito consumer, come la “Contact Key Verification” di iOS, e saranno in vantaggio quelle imprese che avranno capito che i deepfake richiedono un approccio diverso dalla semplice verifica delle identità.
La fine dei silos della sicurezza è vicina
Nel 2026, la strategia della sicurezza basata sui molteplici acronimi e strumenti isolati inizierà a crollare. La gestione delle identità, la protezione degli endpoint, la tecnologia UEBA (User and Entity Behavior Analytics) e la metodologia CTEM (Continuous Threat Exposure Management) sono in sostanza lo stesso meccanismo che risolve problemi leggermente diversi e gli hacker amano le vulnerabilità causate dalle incompatibilità.
I fornitori delle soluzioni LLM indicano la strada: se prima si utilizzavano 15 applicazioni ora avremo un’unica interfaccia che utilizza sistemi sottostanti per svolgere compiti differenti. Ciò significa che non chiederemo più quale singolo strumento può gestire una certa minaccia, ma guarderemo al risultato di sicurezza complessivo che si vuole ottenere.
Se un unico sistema può rilevare attacchi alle identità così come anomalie comportamentali, perché mantenere confini di prodotto artificiali? Questa unificazione dei sistemi sta avvenendo in tutti gli ambienti SaaS, e la sicurezza sarà la prossima.
La sicurezza di una persona è la sicurezza per l’intera organizzazione
Le imprese capiranno che la sicurezza globale richiede un contributo collettivo. Le aziende si aspettano i benefici dell’intelligence condivisa tramite i propri fornitori, ma condividono i dati solo dopo un incidente: una visione miope, guidata dal desiderio di proteggersi dal rischio. La sfida è realizzare sistemi che consentano di diffondere informazioni preziose all’intera base clienti.
L’elemento chiave sarà aumentare il livello di fiducia tra vendor e clienti, facendo loro comprendere che la condivisione di una parte dei propri dati porterà vantaggi concreti e ridurrà i rischi. Questo aiuterà i clienti a rendersi conto, in modo tangibile, che la sicurezza di uno equivale alla sicurezza di tutti. Nessun cliente è un’isola e nessuno può difendersi da solo contro attaccanti che condividono liberamente informazioni tra loro.
La cultura organizzativa definirà la maturità della sicurezza informatica
Nel 2026 sarà la cultura, non la tecnologia, a definire la maturità della cybersecurity. Con i CISO delle principali aziende che segnalano budget invariati o in calo, molti passeranno dall’acquisizione di nuovi strumenti a un approccio basato sulla consapevolezza al tema resilienza dei singoli individui. La prossima ondata di investimenti sarà dedicata all’integrazione della ‘security by design’ in ogni ruolo, processo e decisione.
Le organizzazioni più lungimiranti saranno impegnate a misurare il cambiamento culturale con lo stesso rigore con cui misurano le performance tecniche. I team di security passeranno dalla programmazione di sessioni di sensibilizzazione all’influenza sul modo in cui i rischi vengono discussi a livello del board. I CEO diventeranno sostenitori di una condotta sicura, integrandola nei KPI aziendali.
La tendenza sarà la security senza attriti, che renderà le scelte sicure le più facili da prendere. Nel 2026, i CISO si concentreranno sull’autenticazione a più fattori e sulle impostazioni di sicurezza predefinite che eliminano l’errore umano. Le imprese che avranno successo saranno quelle che renderanno la security semplice, abituale e realmente improntata allo sviluppo e al consolidamento della cultura interna.
Di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne
