La sicurezza informatica non è più qualcosa che avviene silenziosamente nelle sale server o nei centri operativi di sicurezza. Ora influisce sulla disponibilità di carburante, sul funzionamento degli ospedali, sulle elezioni, sui mercati finanziari e sulla fiducia dei cittadini.
Ciò che è cambiato non è solo il volume degli attacchi informatici, ma anche il loro intento. Gli attaccanti non si accontentano più di rubare dati. Si insinuano nei sistemi, aspettano pazientemente e si posizionano per causare interruzioni nei momenti di stress. Le piattaforme cloud, i sistemi di IA e la tecnologia operativa hanno ampliato notevolmente la superficie di attacco, trasformando il rischio digitale in rischio nazionale.
Questo senso di urgenza è supportato dai dati contenuti nel Check Point Cyber Security Report 2026: nel 2025, le organizzazioni di tutto il mondo hanno affrontato una media di 1.968 attacchi informatici a settimana, con un aumento del 18% rispetto all’anno precedente e di quasi il 70% rispetto al 2023. Le regioni critiche hanno registrato una crescita ancora più marcata, con un aumento del 23% in Nord America e del 20% in Europa nel volume degli attacchi, a sottolineare come il rischio digitale sia diventato una pressione costante piuttosto che un evento sporadico.
In Italia nel 2025, secondo il Report di Check Point, il numero di attacchi settimanali è superiore al dato mondiale del 18%: sono stati, infatti, registrati in media ogni settimana 2.334 cyber attacchi alle aziende e alle organizzazioni (+17% rispetto al dato del 2024), colpendo principalmente il settore governativo (4.764 attacchi), il settore dei servizi e dei beni di consumo (2.884 attacchi) e quello dei servizi finanziari con 2.011 attacchi.
In questa fase, la sicurezza informatica non consiste nel prevenire ogni violazione. Si tratta piuttosto di resilienza informatica, ovvero la capacità di resistere agli attacchi, limitare i danni, riprendersi rapidamente e mantenere il funzionamento della società quando i sistemi sono sotto pressione.
Il Cybersecurity Framework (CSF) del NIST (agenzia del governo statunitense, parte del Dipartimento del Commercio) offre un aiuto concreto ed è diverso dai “classici” framework, in quanto si concentra sui risultati piuttosto che sugli strumenti. Le sue cinque funzioni principali (identificare, proteggere, rilevare, rispondere, ripristinare) rispecchiano il modo in cui si svolgono gli incidenti reali. Quando qualcosa va storto, le prime domande da fare sono:
- Quali risorse sono state colpite?
- Quali protezioni hanno fallito?
- Con quale rapidità è stato rilevato il problema?
- La risposta è stata coordinata?
- Quanto tempo ha richiesto il ripristino?
Il NIST fornisce alle organizzazioni e ai governi un linguaggio comune per rispondere a queste domande in modo coerente. La vera sfida oggi è l’adozione disomogenea. Alcuni settori sono maturi e disciplinati, altri rimangono reattivi. Senza un allineamento coerente al CSF del NIST e agli standard fondamentali come il NIST SP 800-53, il rischio informatico nazionale non può essere misurato, né ridotto, in modo significativo.
Lo Zero Trust è diventato oggi imprescindibile. Non è una parola alla moda, ma il riconoscimento della realtà. Gli attaccanti moderni non “irrompono” rumorosamente, ma effettuano il login. Rubano le credenziali, abusano delle connessioni affidabili e si muovono silenziosamente attraverso gli ambienti. Le difese perimetrali da sole non possono fermarli.
L’architettura Zero Trust (ZTA) accetta una dura verità: presume la compromissione. Invece di fidarsi di default degli utenti, dei dispositivi o delle reti, Zero Trust verifica continuamente l’identità, il contesto e il comportamento. In pratica, ciò significa che si ottiene:
- Un raggio d’azione più ridotto in caso di violazioni
- Una migliore visibilità sui comportamenti anomali
- Una protezione più forte per gli ambienti cloud e ibridi
- Una maggiore fiducia nei risultati del ripristino
Il passaggio a Zero Trust rispecchia il modo in cui gli attaccanti operano ora su larga scala. Il rapporto sulla sicurezza informatica del 2026 di Check Point mostra che le tecniche basate sull’identità dominano le intrusioni moderne, con attacchi basati su e-mail che rappresentano l’82% di tutte le attività di attacco osservate e gli aggressori che fanno sempre più affidamento su credenziali rubate piuttosto che su exploit tecnici.
Zero Trust si allinea naturalmente sia con gli obiettivi del NIST che con quelli nazionali di resilienza, perché limita il danno che un aggressore può causare, anche quando qualcosa va storto. I dati del settore confermano questo modello. Il DBIR 2025 di Verizon mostra che circa l’88% delle violazioni delle applicazioni web coinvolge credenziali rubate, mentre Microsoft riferisce che il 97% degli attacchi all’identità si basa su tecniche di password spray, sottolineando il rischio della fiducia implicita. IBM stima inoltre che il ciclo di vita medio di una violazione sia di 241 giorni, rendendo fondamentali il contenimento e la riduzione dei movimenti laterali.
La maggior parte delle organizzazioni è brava oggi a contare gli incidenti, sono però meno brave a misurarne l’impatto. Una valutazione significativa dei danni informatici va oltre il “ripristino dei sistemi” o la “crittografia dei dati”. Pone domande più profonde:
- Per quanto tempo l’autore dell’attacco ha avuto accesso?
- Quali rapporti di fiducia sono stati compromessi?
- I sistemi operativi o i controlli di sicurezza hanno rischiato di fallire?
- Le catene di approvvigionamento o i partner a valle sono stati colpiti?
- Come sarebbe stata la situazione durante una crisi nazionale?
Allineare le valutazioni dei danni al NIST CSF consente ai leader di vedere dove i controlli hanno fallito e dove la resilienza è davvero importante. Le architetture Zero Trust rendono tutto questo più facile, fornendo una visibilità più chiara dei modelli di accesso e dei movimenti laterali.
L’IA svolge un duplice ruolo nella sicurezza informatica: rafforza le difese e allo stesso tempo amplifica i rischi. Dal punto di vista difensivo, l’IA migliora il rilevamento delle minacce e delle anomalie, accelera la risposta agli incidenti e aiuta i team di sicurezza a dare priorità agli avvisi in un contesto di crescente complessità e affaticamento da allarmi.
Allo stesso tempo, l’IA viene sempre più spesso utilizzata come arma dagli attaccanti: incrementando il phishing e l’impersonificazione, generando deepfake, automatizzando la ricognizione, estraendo dati rubati e persino manipolando o dirottando i modelli di IA stessi. I dati del 2025 mostrano quanto rapidamente l’IA sia passata dall’essere una novità a un moltiplicatore di rischi. Circa l’89% delle organizzazioni è stato colpito ogni mese da prompt AI rischiosi, con 1 prompt su 41 classificato come ad alto rischio, quasi il doppio rispetto all’anno precedente. Queste tendenze dimostrano che l’AI non è più sperimentale per gli aggressori, ma è operativa e integrata in tutto il ciclo di vita dell’attacco.
Ecco perché la governance dell’IA è diventata fondamentale. L’IA sicura non riguarda solo le prestazioni, ma richiede la gestione del rischio durante tutto il ciclo di vita dell’IA per ottenere:
- Protezione dei dati di addestramento e inferenza
- Prevenzione di manipolazioni, distorsioni e avvelenamenti
- Monitoraggio del comportamento dei modelli in produzione
- Garanzia di trasparenza e responsabilità
Framework come il NIST AI Risk Management Framework (AI RMF) aiutano le organizzazioni a integrare sicurezza, fiducia e affidabilità nei sistemi di IA fin dall’inizio, piuttosto che reagire dopo l’esposizione.
La deterrenza informatica opera aumentando i costi e riducendo i benefici per gli attaccanti, rendendo le campagne di successo meno redditizie e più rischiose. Quando le organizzazioni rilevano, contengono e ripristinano rapidamente le violazioni, gli attaccanti non possono sfruttare l’accesso abbastanza a lungo da raggiungere obiettivi strategici o finanziari. Secondo il rapporto IBM Cost of a Data Breach Report 2025, il costo medio globale di una violazione dei dati è sceso a 4,44 milioni di dollari, il primo calo in cinque anni, in gran parte grazie a un rilevamento e un contenimento più rapidi, spesso aiutati dall’automazione e dall’intelligenza artificiale.
I framework Zero Trust, che impongono l’accesso con privilegi minimi e la verifica continua, rafforzano la deterrenza riducendo le perdite previste e le superfici di attacco. I sondaggi mostrano che oltre l’80% delle organizzazioni sta adottando o passando allo Zero Trust, con molte che segnalano un calo significativo della frequenza degli incidenti e del tempo di permanenza. Il rilevamento e la risposta più rapidi riducono i tempi di permanenza degli aggressori: IBM ha riportato un ciclo di vita medio delle violazioni di 241 giorni nel 2025, il più basso in quasi un decennio, diminuendo direttamente il guadagno degli avversari.
I dati del settore evidenziano anche l’impatto dei costi di un’efficace maturità difensiva: le organizzazioni che integrano l’intelligenza artificiale e l’automazione nelle operazioni di sicurezza risolvono le violazioni con circa 80 giorni di anticipo e risparmiano milioni in costi di violazione.
A livello nazionale, esercitazioni informatiche strutturate e test coordinati di risposta agli incidenti rivelano lacune nell’autorità, nella comunicazione e nell’integrazione tecnica prima che gli avversari possano sfruttarle su larga scala. Queste esercitazioni rafforzano la prontezza difensiva collettiva, rendendo credibile la deterrenza grazie alla dimostrazione sia della capacità che della resilienza.
La condivisione delle informazioni è ampiamente riconosciuta come essenziale per la difesa informatica, ma nella pratica è ostacolata da rischi legali, preoccupazioni relative alla reputazione e mancanza di fiducia tra organizzazioni e settori. Queste barriere rallentano o indeboliscono l’intelligence, indebolendo i difensori mentre gli avversari condividono liberamente strumenti e tattiche.
Le difese Zero Trust e potenziate dall’intelligenza artificiale richiedono informazioni aggiornate e contestualizzate sulle minacce, non semplici raccolte di dati grezzi, ma approfondimenti utilizzabili che indichino chiaramente cosa è cambiato, perché è importante e cosa fare in seguito. Senza questo, i team operano con punti ciechi e risposte ritardate.
Un esempio concreto di questo approccio è l’uso di feed IOC e API basati su ThreatCloud che forniscono indicatori di compromissione continuamente aggiornati, come IP, URL e hash di file dannosi. L’intelligence ThreatCloud di Check Point aggrega la telemetria globale e la ricerca sulle minacce e la rende disponibile attraverso feed API e API di prevenzione delle minacce, in modo che gli strumenti di sicurezza possano acquisire automaticamente e agire sul contesto delle minacce attuali.
Queste API supportano l’integrazione con i punti di applicazione (ad esempio, antivirus, anti-bot, IPS) e consentono l’acquisizione automatizzata di IoC ad alta affidabilità, migliorando il rilevamento e la risposta e riducendo al contempo lo sforzo manuale.
Per migliorare la resilienza complessiva, sono necessari meccanismi di condivisione standardizzati e automatizzati e rifugi legali sicuri, in modo che le informazioni ad alta affidabilità si muovano alla velocità delle macchine, piuttosto che alla velocità delle politiche. Quando ciò accade, i difensori ottengono un vantaggio tangibile e la difesa collettiva diventa pratica piuttosto che aspirazionale.
La sicurezza informatica rimane una sfida incentrata sulle persone, non una carenza tecnologica.
Nonostante i continui investimenti globali in strumenti di sicurezza, il divario di competenze continua ad aumentare. L’ISC2 2024–2025 Cybersecurity Workforce Study stima che, a livello globale, la forza lavoro nel settore della sicurezza informatica sia composta da circa 5,5 milioni di professionisti, mentre il settore deve ancora far fronte a una carenza di circa 4,8 milioni di ruoli, lasciando insoddisfatta quasi la metà della domanda richiesta. La carenza di forza lavoro è amplificata dall’enorme volume di attacchi. Con le organizzazioni che ora devono affrontare in media quasi 2.000 attacchi a settimana, anche i team ben attrezzati faticano a smistare gli avvisi, indagare sulle anomalie e rispondere in modo deciso.
Il problema va oltre il numero di dipendenti e riguarda anche le carenze di competenze critiche. L’ISC2 riferisce che l‘88% delle organizzazioni ha subito almeno un impatto negativo sulla sicurezza informatica nell’ultimo anno a causa della carenza di competenze, con il 69% che ha segnalato impatti multipli, in particolare nella sicurezza del cloud, nell’architettura Zero Trust, nella risposta agli incidenti e nella governance dell’IA.
Queste lacune comportano conseguenze finanziarie. Il rapporto IBM sul costo delle violazioni dei dati mostra che le organizzazioni che affrontano una grave carenza di personale addetto alla sicurezza hanno sostenuto, in media, costi di violazione superiori di 1,76 milioni di dollari rispetto alle aziende con un organico adeguato.
Man mano che le responsabilità in materia di sicurezza si estendono agli ambienti cloud-native, alla tecnologia operativa e ai modelli di minaccia basati sull’intelligenza artificiale, i tradizionali percorsi di formazione faticano a tenere il passo. Sebbene strutture come il NIST NICE Workforce Framework forniscano una struttura per l’allineamento dei ruoli e delle competenze, senza un investimento deliberato nello sviluppo della forza lavoro, e non solo nell’automazione e negli strumenti, la resilienza informatica organizzativa e nazionale continuerà a essere insufficiente.
I manager e i dirigenti dovrebbero concentrarsi meno sul numero di strumenti e più sui risultati, ponendosi domande fondamentali per gestire la resilienza reale, come con quale rapidità vengono rilevate le minacce, quanto è efficace il controllo degli accessi, quanto sono resilienti i servizi critici, quanto sono sicuri i sistemi di IA in uso e con quale rapidità è possibile ripristinare le operazioni.
