Il Global Threat Report 2026 di CrowdStrike fotografa un ecosistema criminale in profonda trasformazione, dove intelligenza artificiale, attacchi senza malware, compromissioni della supply chain e tempi di propagazione sempre più rapidi stanno ridefinendo le regole della cyber security. Approfondiamo i temi emersi nel report con Luca Nilo Livrieri, director & sales Engineering Southern Europe di CrowdStrike.
Il vostro Global Threat Report viene definito di tendenza. Cosa lo rende particolarmente rilevante nel panorama attuale?
È un report che nasce dall’osservazione diretta dell’ecosistema criminale globale e dalla correlazione tra migliaia di incidenti reali. Non si limita a raccogliere dati statistici, ma integra informazioni di threat intelligence, attività di incident response e analisi comportamentali sugli attaccanti. Questo consente di offrire non solo una fotografia di ciò che è accaduto, ma anche una proiezione credibile di ciò che potrebbe accadere. Il tema centrale è quello degli “avversari evasivi”: attaccanti sempre più silenziosi, persistenti e capaci di muoversi con disinvoltura tra cloud, identità digitali, endpoint, ambienti virtualizzati e sistemi basati su intelligenza artificiale. L’evasività non è solo tecnica, ma strategica: l’obiettivo è restare sotto la soglia di rilevazione il più a lungo possibile.
Quanto pesa oggi l’intelligenza artificiale in questo scenario?
L’AI ha una tripla valenza. È un’arma per gli attaccanti, è una nuova superficie di attacco ed è anche uno strumento difensivo. Dal lato offensivo, vediamo gruppi criminali e attori legati a stati nazionali utilizzare modelli linguistici per generare contenuti credibili, automatizzare campagne di phishing, tradurre messaggi in modo impeccabile e perfino integrare funzionalità intelligenti direttamente all’interno di malware e ransomware. Alcuni pacchetti malevoli includono già componenti in grado di interrogare il sistema compromesso, comprendere il contesto operativo e decidere autonomamente quali dati siano più interessanti da esfiltrare o quali account privilegiare per il movimento laterale.
Allo stesso tempo, l’AI diventa bersaglio. Non parliamo solo di prompt injection, ma di attacchi alle piattaforme che ospitano modelli, a server che gestiscono API di servizi intelligenti o a infrastrutture cloud che li supportano. In alcuni casi, la compromissione di componenti AI ha consentito agli attaccanti di intercettare dati in modo invisibile agli utenti, trasformando strumenti aziendali legittimi in canali di esfiltrazione occulta. Inoltre, emerge il tema delle identità degli agenti AI: devono essere gestite come identità umane, con permessi minimi e controlli rigorosi, perché un agente con privilegi eccessivi può diventare un moltiplicatore di rischio.
Infine, l’AI è uno strumento di difesa. I Security Operation Center stanno evolvendo verso un modello “agentico”: l’analista non è più un semplice operatore, ma un direttore d’orchestra che coordina agenti intelligenti capaci di rilevare, investigare e proporre azioni di risposta in tempi drasticamente ridotti. È un percorso simile a quello della guida autonoma: oggi siamo in una fase intermedia, con human in the loop, ma la tendenza è verso un’automazione sempre più avanzata e spiegabile.
Il report parla di un breakout time medio di 27 minuti, ma in alcuni casi si scende addirittura a 9 secondi. Cosa significa concretamente?
Il breakout time misura il tempo medio necessario a un attaccante per passare dall’accesso iniziale al movimento laterale all’interno della rete. Poco più di venti minuti rappresentano una soglia critica. Significa che un’organizzazione ha meno di mezz’ora per accorgersi dell’intrusione, comprenderne l’estensione e intervenire prima che il danno diventi strutturale. Spesso gli attaccanti entrano con credenziali rubate, quindi senza exploit rumorosi o malware evidenti. L’82% delle intrusioni osservate è privo di malware tradizionale: si tratta di accessi apparentemente legittimi che sfruttano identità compromesse e strumenti già presenti nell’infrastruttura.
Questo dato impone un cambio di paradigma: non basta più bloccare il malware, occorre intercettare comportamenti anomali e correlare segnali deboli prima che diventino incidenti conclamati.
Questo spiega l’aumento degli attacchi di social engineering?
Certamente. Il phishing cresce in modo significativo, ma aumentano anche tecniche più sofisticate come il vishing e campagne che sfruttano falsi captcha o meccanismi di verifica apparentemente innocui. L’obiettivo è sempre lo stesso: ottenere credenziali valide o convincere l’utente a compiere un’azione che apra la porta all’attaccante. Una volta ottenute le credenziali, l’intruso può muoversi senza destare sospetti, soprattutto in ambienti cloud dove l’autenticazione è l’elemento centrale.
L’identità digitale è diventata la prima superficie d’attacco e deve essere trattata come un asset critico, con controlli granulari, autenticazione multifattore contestuale e modelli just-in-time per l’accesso amministrativo. Proteggere l’identità significa proteggere l’intersezione tra utenti, dati e workload, cioè il punto esatto in cui si genera il danno.
Quanto è difficile per le aziende tenere il passo?
Molto. Le infrastrutture moderne sono estremamente complesse e il numero di vulnerabilità può arrivare a cifre impressionanti. Non tutte sono realmente sfruttabili, ma distinguere quelle critiche richiede visibilità trasversale e capacità di correlazione tra esposizione, rilevanza dell’asset e modus operandi degli avversari. È qui che entra in gioco l’exposure management: simulare percorsi di attacco, comprendere come una vulnerabilità su un dispositivo edge possa condurre ai sistemi più sensibili e prioritizzare le patch in base al rischio reale, non solo al punteggio teorico.
Molte organizzazioni, soprattutto PMI, faticano a sostenere questo ritmo. I team sono ridotti, i processi ancora manuali e gli SLA dei fornitori esterni spesso non sono compatibili con una finestra di reazione di pochi minuti.
Sono in aumento gli attacchi agli edge device e alla supply chain?
Sì e rappresentano una delle tendenze più preoccupanti. Appliance VPN, firewall e gateway esposti su internet sono bersagli privilegiati, spesso sfruttati prima della pubblicazione ufficiale delle vulnerabilità. Da lì, l’attaccante può consolidare la persistenza e spostarsi verso ambienti cloud e infrastrutture virtuali.
La supply chain è un altro fronte critico. Compromettere un fornitore di software o un meccanismo di aggiornamento consente di aggirare i controlli tradizionali e colpire migliaia di organizzazioni con un solo attacco. La fiducia intrinseca nei fornitori diventa un punto debole strutturale. Si sono registrati casi di distribuzione di pacchetti malevoli attraverso canali legittimi e furti di criptovalute di entità record a seguito della compromissione di infrastrutture terze. La difesa richiede segmentazione, limitazione dei privilegi e valutazione continua del rischio di terze parti.
Le normative, come per esempio la NIS2, stanno aiutando a migliorare la situazione?
Sta aumentando la consapevolezza, soprattutto a livello di governance e responsabilità dei vertici aziendali. L’obbligo di notifica degli incidenti e l’attenzione alla gestione della supply chain stanno migliorando visibilità e preparazione. Tuttavia, la complessità operativa resta elevata e gli attaccanti si adattano rapidamente, cercando nuovi spazi nei silos organizzativi o nei punti ciechi tecnologici.
Quali sono le sue principali previsioni per il prossimo futuro?
L’evoluzione verso attacchi agentici completamente supportati dall’intelligenza artificiale è una prospettiva concreta. Potremmo assistere a campagne automatizzate end-to-end, con agenti malevoli capaci di prendere decisioni in tempo reale. Continueranno gli attacchi cross-domain, con ulteriore riduzione dei tempi di propagazione. La componente malware-free resterà predominante, così come la pressione su SaaS e servizi cloud. Il ransomware evolverà verso modelli di estorsione multipla, combinando cifratura, furto dati e pressione reputazionale.
Che suggerimento finale ritiene opportuno fornire CrowdStrike alle organizzazioni per proteggersi al meglio?
Il passaggio da un modello reattivo a uno proattivo non è più opzionale. Conoscere gli avversari, comprenderne tattiche e obiettivi, integrare intelligence e automazione nei processi di sicurezza è il primo passo verso una protezione efficace. È fondamentale la visibilità unificata su identità, dati e workload. In un contesto in cui gli attaccanti si muovono in modo evasivo e silenzioso, anticipare è l’unica strategia sostenibile. La sicurezza non può più essere un semplice centro di costo: è una funzione strategica che incide direttamente sulla resilienza e sulla continuità del business.