La minaccia corre nel cloud, si nasconde nelle credenziali rubate e sfrutta l’intelligenza artificiale per diventare più veloce, più economica e più difficile da intercettare. Nei primi cinque mesi del 2026 le oltre 200 aziende italiane monitorate dalla modenese Certego, una delle realità italiane più avanzate nella difesa digitale, hanno registrato 7.552 incidenti di sicurezza informatica e oltre 58 mila allarmi, con una crescita del 7,5% rispetto allo stesso periodo dell’anno precedente.
Anche se nel mese di aprile 2026, l’Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (Acn) ha evidenziato una diminuzione degli incidenti cyber registrati in Italia, dopo il boom dei primi mesi dell’anno (in concomitanza con la progressiva entrata a regime degli obblighi di notifica previsti dalla direttiva NIS2), il trend di questa prima parte del 2026 racconta una pressione crescente su tutte le principali superfici di attacco e che fotografano una trasformazione profonda: il cybercrime sta diventando sempre più industriale, mentre la cybersecurity smette di essere una questione per specialisti e si trasforma in un tema di governance aziendale.
I dati, presentati durante il convegno «Fuoco Invisibile» organizzato da Certego il 4 giugno in Valpolicella, mostrano come il cloud sia oggi la superficie più esposta, con il 37% dei tentativi di compromissione rilevati tra gennaio e maggio. Seguono network (32%) ed endpoint (31%). Sul fronte dei settori, il bersaglio principale resta il manifatturiero, che concentra il 35% degli incidenti gestiti, davanti a finanza e assicurazioni (26%). Nel complesso, il 67% degli incidenti osservati riguarda il settore privato, a conferma di come le imprese rappresentino oggi uno degli obiettivi principali dei cybercriminali.
A rendere più complesso il quadro è l’impatto dell’intelligenza artificiale. «Stiamo abbassando drasticamente la soglia d’ingresso», ha spiegato Bernardino Grignaffini Gregorio, amministratore delegato e fondatore di Certego. Secondo il manager, nel dark web stanno già circolando modelli linguistici privi dei sistemi di protezione presenti nelle piattaforme commerciali, utilizzati per individuare vulnerabilità, sviluppare malware e costruire campagne di phishing sempre più credibili e personalizzate.
Il risultato è un’accelerazione su più fronti. Cresce il numero degli attaccanti, aumenta la capacità di gestire operazioni simultanee e si riducono i tempi necessari per passare dall’intrusione al danno vero e proprio. «Il problema non è solo quando non vediamo nulla, ma anche quando vediamo troppo», ha osservato Grignaffini. L’eccesso di allarmi può infatti trasformarsi in rumore di fondo e rendere più difficile individuare le minacce realmente pericolose.
Non sorprende quindi che tra le tecniche di attacco più diffuse continuino a figurare malware (32%), phishing e social engineering (22%), sfruttamento delle vulnerabilità (21%) e compromissione delle credenziali (18%). Proprio il phishing sta beneficiando maggiormente dell’uso dell’intelligenza artificiale, che consente di personalizzare messaggi e contenuti con livelli di credibilità impensabili fino a pochi anni fa.
Se la minaccia cambia volto, cambia anche il concetto stesso di sicurezza. «La domanda non è più se accadrà, ma quando accadrà», ha spiegato Francesco Carioti, responsabile della Divisione Rapporti istituzionali e Relazioni esterne dell’Agenzia per la Cybersicurezza Nazionale. Per questo motivo il tema centrale diventa la resilienza: quanto danno provoca un attacco e in quanto tempo un’organizzazione riesce a riprendere la propria attività.
Carioti durante il suo intervento ha ricordato il caso di una storica azienda britannica della logistica, sopravvissuta a guerre mondiali e pandemia ma messa in ginocchio dal furto delle credenziali di un dipendente. Tre settimane di fermo operativo sono state sufficienti per compromettere la continuità dell’attività e portare centinaia di lavoratori a perdere il posto.
La minaccia, ha sottolineato il rappresentante dell’Acn, è spesso invisibile perché non supera cancelli né recinzioni. Viaggia attraverso una password sottratta, un computer compromesso o un accesso remoto. Per questo la sicurezza nazionale dipende anche dai comportamenti quotidiani di imprese, dipendenti e cittadini. «L’elemento più delicato è quello che sta tra il computer e la sedia», ha osservato Carioti, richiamando il ruolo decisivo del fattore umano.
La cybersecurity, però, non riguarda soltanto la continuità operativa. Sempre più spesso entra nei bilanci, nelle valutazioni assicurative e persino nell’accesso al credito. È il punto evidenziato da Nico Abbatemarco, assistant professor of practice in Leadership, HR and Digital Technologies presso Sda Bocconi. Per spiegare il fenomeno, Abbatemarco ha ricordato il caso Merck, colpita nel 2017 dal malware NotPetya. L’attacco provocò il blocco delle linee produttive per circa un mese e un conto finale stimato in circa 1,5 miliardi di dollari. Ne seguì una lunga battaglia legale con le compagnie assicurative sulla copertura dei danni provocati da un attacco riconducibile a un contesto geopolitico.
«La speranza non è sufficiente», ha osservato Abbatemarco. «Non è possibile annullare il rischio cyber, è possibile minimizzarlo». Da qui la necessità di affrontare la sicurezza informatica come una componente della strategia aziendale e non come una semplice voce tecnologica.
Il messaggio trova conferma anche nell’evoluzione normativa. Direttive come la NIS2 e il Cyber Resilience Act spostano infatti la responsabilità dal solo reparto It ai vertici dell’organizzazione. La sicurezza informatica diventa così una responsabilità del management, chiamato a valutare non soltanto il costo delle difese, ma anche quello di un eventuale fermo operativo.
Una domanda, ha osservato Abbatemarco, dovrebbe ormai entrare stabilmente nelle riunioni aziendali: quanto costa all’impresa fermarsi per 24, 48 o 72 ore? Perché una crisi informatica non nasce necessariamente da un attacco particolarmente sofisticato, ma spesso dall’incapacità di gestire le conseguenze dell’incidente.
In altre parole, il cyber risk assomiglia sempre meno a un problema tecnico e sempre più a un rischio industriale. Invisibile fino al momento in cui una fabbrica si ferma, una filiera si interrompe o un’azienda scopre che il proprio bene più prezioso non è il macchinario che produce valore, ma il dato che gli consente di funzionare.
