Cybersicurezza, non solo deepfake: ecco le sfide del 2026 e come affrontarle

Non c’è trend tecnologico che tenga: la cybersicurezza supererà l’AI come priorità dei CIO anche nel 2026. Ovviamente, l’intelligenza artificiale irrompe sul panorama della security perché è sia un’arma di attacco che di difesa, creando nuove sfide per l’anno in arrivo. La complessità è aumentata dalla possibile escalation delle tensioni geopolitiche, che si riverbera sulle azioni dei cybercriminali. Sul fronte opposto, i CIO e i CISO possono contare su un impianto normativo tarato sull’obiettivo della resilienza – a cominciare dalla NIS2; qualche azienda fa resistenza al moltiplicarsi degli adempimenti, ma la legge è fondamentale per rafforzare la postura di sicurezza.

“La tecnologia corre molto veloce ed è difficile prevedere quali saranno le evoluzioni, ma, secondo me, l’introduzione dell’intelligenza artificiale farà da spartiacque”, ci ha detto Marco Colizzi, Senior Manager IT, Italy, Olympus Corporation (apparecchi elettromedicali). “Vedremo sempre più deepfake, e sempre più realistici, sia video che audio, e questo aumenterà il rischio di smishing, phishing e impersonalisation. Un altro aspetto da tenere in considerazione è il data poisoning, ovvero il rischio di usare dati manipolati per fare training dei modelli AI. Un elemento è certo: la cybersicurezza non è un tema IT, ma di business”.

Cybersecurity nel 2026, il fattore AI

Già lo scorso anno, gli esperti di cybersicurezza mettevano in guardia sull’AI applicata al malware. Il machine learning permette ai criminali di modificare il codice malevolo in tempo reale e rende più difficile la detection, gli strumenti automatizzati abilitano velocemente gli attacchi zero-day e la GenAI rende ancora più credibile i prodotti di social engineering. I cybercriminali possono impersonare dirigenti d’azienda o personaggi famosi attraverso sofisticate manipolazioni audio-video ed estorcere dati e denaro.

Nel 2026 è prevista un’ulteriore evoluzione: l’intelligenza artificiale agentica come nuova frontiera di attacco e difesa. Per esempio, gli aggressori utilizzeranno bot AI per condurre ricognizioni, muoversi nei sistemi infettati e rubare dati più rapidamente. Per questo le aziende dovranno rendere l’AI un’architettura IT, non un semplice prodotto, e integrare le barriere di sicurezza in ogni sistema che preveda gli Agent.

“L’attuale grande emergenza nel panorama della cybersicurezza è l’uso degli strumenti AI da parte dei cybercriminali, che sta aumentando la quantità e la velocità degli attacchi a reti e servizi IT”, evidenzia Paolo Schintu, Senior cybersecurity specialist and manager. “Al momento si osserva un innalzamento ancora poco incisivo della qualità di questi attacchi, ma è solo questione di tempo”.

Schintu osserva che l’intelligenza artificiale ha reso molto più semplice creare attacchi anche da parte di persone non particolarmente esperte; di conseguenza le aziende si troveranno ad affrontare un numero crescente di minacce ed eventuali incidenti da rilevare e analizzare.

“In questa sorta di inseguimento tra guardie e ladri, in cui ahimè le guardie rincorrono sempre, le imprese rischiano di trovarsi troppo indietro rispetto a cybercriminali che corrono”, sottolinea Schintu. “Gli strumenti di cyber prevention & detection e di threat intelligence basati sull’AI ci sono e sono efficaci, ma il problema è che adottare le tecnologie AI per le imprese o i SOC è un processo meno veloce di quanto sia per i cybercriminali creare attacchi con l’intelligenza artificiale. Perciò nel 2026 il CIO dovrà lavorare per capire come usare nel modo più efficace l’AI per la difesa”. 

C’è poi il fronte del social engineering, in cui rientrano gli attacchi di phishing sia via mail che tramite deepfake e voice spoofing, e qui Schintu ammette un alto livello di qualità in email, audio, foto e video manipolati: anche per un utente consapevole non è facile proteggersi.

“L’AI aggiunge un nuovo elemento all’equazione della cybersicurezza e alle sue sfide”, conferma Silvio Borletto, CIO & CISO di LMA srl (Aerospace Technology). Anche per questo in LMA viene usato solo il prodotto acquistato dal vendor (Microsoft); tutti gli altri non sono accettati. 

“L’AI gratuita per noi è un grande no, perché i dati non si sa dove vanno e sicuramente diventano pubblici”, puntualizza Borletto.

L’AI, d’altro lato, è anche un potente strumento di difesa, che semplifica e migliora la gestione dei log e dell’infrastruttura. “Non abbiamo subito attacchi con l’intelligenza artificiale, ma leggiamo di casi del genere ogni giorno e usiamo prodotti di sicurezza che integrano nativamente questa tecnologia per proteggerci”, rivela Borletto.

Non dimenticare le basi della cybersicurezza

L’evoluzione del malware, sempre più potenziato dall’AI, è sicuramente un fattore di cui tenere conto anche per Claudio Telmon, Senior Partner, Information & Cyber Security di P4I – Partners4Innovation. Tuttavia, precisa l’esperto, non sarà ancora la minaccia prevalente nel 2026: “Secondo me continueranno a verificarsi in maggioranza incidenti legati a eventi di più basso profilo, per cui CIO e CISO devono prestare attenzione agli elementi fondanti della cybersecurity”.

Si tratta di tenere i sistemi IT aggiornati, proteggere le reti, gestire gli accessi e, soprattutto, provvedere alla segregazione dei sistemi informativi.

“I malware si diffondono molto rapidamente nei sistemi IT dopo aver infettato un dispositivo, e questo succede perché non trovano ostacoli lungo il percorso, ovvero non c’è segregazione sufficiente”, spiega Telmon. “E poi, bisogna lavorare sulla prevenzione e le capacità di rilevamento delle minacce o degli attacchi: non si può pensare di analizzare i dati o di andare alla ricerca delle infezioni manualmente”.

Lo scenario geopolitico inciderà di più

Sulla cybersicurezza nel 2026 inciderà molto anche lo scenario geopolitico. Se dovesse esserci un peggioramento della situazione internazionale, con un inasprimento o ampliamento dei conflitti in corso, i cyber-attacchi dietro i quali si celano alcuni governi potrebbero aumentare.

Molti CIO sottolineano anche l’evoluzione del modello di business dei cybercriminali, che segue da vicino l’evoluzione – o meglio, il deterioramento – dello scenario internazionale. La cybersecurity è un fenomeno politico, sociale ed economico ed è influenzato dagli altri fenomeni dello stesso tipo.

Già l’ultimo report di ENISA [in inglese], l’Agenzia europea per la cybersecurity, focalizzato sull’esposizione della PA ai cyber-attacchi, ha rilevato picchi in Italia (per esempio, molti eventi DDoS) in corrispondenza del rinnovo del supporto del nostro Paese all’Ucraina. Questo non vale solo per le pubbliche amministrazioni, ma per tutte aziende strategiche, come utility, finanza e trasporti.

La compliance alla NIS2 è fondamentale

Nel 2026 non andrà trascurato l’aspetto normativo, a cominciare dalla conformità alla NIS2. Per il recente rapporto sulla cybersicurezza di I-Com, l’Istituto per la Competitività, le tante norme finiscono col gravare sulla competitività delle imprese, basti pensare che in Europa ci sono la direttiva CER, la NIS2, il Cybersecurity Act, il Cyber Resilience Act, DORA, il Cyber Solidarity Act e altre iniziative come il Digital Omnibus e il Libro Bianco sulle infrastrutture digitali; in Italia contiamo il recepimento della NIS2, il Perimetro di sicurezza nazionale, la legge 90/2024, le linee guida dell’ACN e altro ancora. Diversi CIO italiani condividono la visione di I-Com: in azienda si passa il tempo (e si spendono soldi) per gli adempimenti e ci sono meno risorse per l’innovazione.

Tuttavia, gli esperti di cybersecurity non hanno dubbi sull’importanza delle regole, e in particolare della NIS2, per rendere le imprese resilienti.

“Cento euro non investiti oggi potrebbero significare 100 mila euro persi in attacchi cyber domani”, stigmatizza Schintu. “Il problema non sono le sanzioni, ma il rischio per il business: un ransomware può mettere in ginocchio un’impresa fino a causarne la chiusura. E non monitorare la supply chain può voler dire subire attacchi anche se la propria azienda è protetta. Per i fornitori, poi, non essere compliant si può tradurre in difficoltà sul proprio mercato: i clienti potrebbero escludere dalla loro catena di approvvigionamento le imprese che non danno determinate garanzie. Seguire le indicazioni della NIS2 per me è la baseline imprescindibile della cybersicurezza”.

La NIS2 ha, in generale, il pregio di alzare l’attenzione delle imprese sull’allargamento della superficie d’attacco: “Quest’anno abbiamo assistito a diversi casi in cui gli attacchi non erano diretti, ma sono passati per la supply chain”, ricorda Colizzi.

Anche per Telmon, “di positivo sul fronte della cybersicurezza c’è che le normative attuali vanno nell’interesse delle aziende”. Telmon riconosce che la burocrazia può essere gravosa, ma la norma sta facendo aumentare il livello di sicurezza delle aziende.

“Gli adempimenti non sono solo formali, ma sostanziali”, chiarisce l’esperto, “ed è vero che sono un costo, ma aiutano a creare resilienza e, nel momento dell’incidente informatico, fanno la differenza. Ritengo più gravoso per le imprese il proliferare di normative sovrapposte, come la NIS2, la Legge 90, le norme sui dati, quelle sulla privacy, l’AI Act… Occorre una razionalizzazione, quindi non un indebolimento delle norme ma una maggiore efficienza, dando alle aziende un quadro di riferimento da implementare, ma senza complessità e duplicazioni”.

La sovranità digitale e il Confidential Computing

Per Schintu anche il ricorso ai servizi cloud è un elemento di attenzione. “Sono d’accordo con quanto, anni fa, in una RSA Conference, sentii riportare da un funzionario della NSA americana, e cioè che gli hacker hanno ragione quando dicono che il cloud è il computer di qualcun altro. Perciò, secondo me, bisognerebbe evitare che alcune tipologie di dati siano messi sul cloud, di qualunque provider. Semplicemente, devono restare in casa”.

Schintu osserva che l’adozione al cloud deve essere oculata per un preciso motivo: i governi esteri possono richiedere alle loro aziende, che non possono rifiutarsi, di cedere i dati dei loro clienti; è il caso del Cloud Act USA, per esempio. Di fatto, le imprese clienti si ritrovano a dipendere da vendor che non possono garantire la totale confidenzialità dei dati.

“Con le tensioni geopolitiche attuali, questo può essere anche un rischio che va oltre i temi della riservatezza”, sottolinea Schintu. “I CIO dovrebbero valutare se sfruttare gli innegabili vantaggi del cloud per alcune applicazioni, ma lasciarne altre on-premises. È importante anche diversificare i fornitori e provare a cercare cloud provider europei. In passato c’è stata una forte spinta acritica verso il cloud, e in molti casi le imprese non hanno riflettuto a sufficienza sulle implicazioni. Oggi si rischia lo stesso con l’AI. Direi di fare delle riflessioni su che cosa, come, perché e quando utilizzare questo strumento”.

Gartner [in inglese] arriva a parlare di Confidential Computing come trend per il 2026: si tratta di isolare i carichi di lavoro all’interno di ambienti di esecuzione attendibili (TEE) basati su hardware; questo mantiene i ​​contenuti e i carichi di lavoro riservati anche per i proprietari dell’infrastruttura, i provider cloud o chiunque abbia accesso fisico all’hardware. Si tratta di una prassi particolarmente utile per i settori regolamentati e le aziende con operazioni globali che affrontano rischi geopolitici e di conformità, nonché per la collaborazione tra concorrenti. Entro il 2029, Gartner prevede che oltre il 75% delle operazioni elaborate in infrastrutture non attendibili sarà protetto dal Confidential Computing.

Il quantum cambierà tutto. Ma non è ancora qui

Non è ancora entrato nel mainstream, ma nel 2026 le imprese dovrebbero cominciare a riflettere sui rischi del quantum computing.

Come spiega Schintu, “Il quantum scardina le chiavi crittografiche attualmente usate. Non vedo arrivare un’adozione enterprise nell’immediato futuro, per me questa prospettiva è a 10-15 anni, eccezion fatta per alcuni settori specializzati, come chimica e finanza. Però la portata sarà enorme: il quantum produrrà una rivoluzione al pari, se non superiore, all’AI oggi. Le aziende fanno bene ad attrezzarsi fin da ora contro le nuove minacce cyber e a studiare i vantaggi per il business del calcolo quantistico”.

Il fattore umano è quello che preoccupa di più i CIO

Il 2025 risulta, a livello globale, l’anno più critico di sempre per numero e gravità degli attacchi, che hanno colpito soprattutto PA, sanità e manifattura. In Italia, la crescita è ancora più marcata con un raddoppio degli incidenti gravi rispetto al 2024 e un impatto particolarmente forte sul settore pubblico e della sicurezza, come si legge nel citato rapporto di I-Com.

In questo contesto, i CIO sono d’accordo nel ritenere l’errore umano e la disinformazione come la principale minaccia, e dedicano molte ore alla formazione del personale. Le competenze e la cultura della sicurezza sono il primo elemento di una gestione efficace della sicurezza.

Come racconta Borletto, la messa in sicurezza dei dati, anche con le certificazioni ISO 27001, è una componente importante del suo lavoro, e la sfida è riuscire, pur essendo LMA un’azienda medio-piccola, a portare tutto il personale a un buon livello di gestione della cybersicurezza.

“Occorre confrontarsi con le resistenze delle persone e, per vincerle, il CIO deve saper fornire delle alternative credibili al vecchio modo di fare, cui molti restano ancorati”, spiega Borletto. “Mentre vigilo sulla gestione sicura dei dati e delle reti dell’azienda, devo riuscire, da un lato, a continuare a rendere l’azienda snella, perché questo è il nostro vantaggio di realtà medio-piccola, dall’altro, devo offrire una cybersicurezza da multinazionale, e fare tutto questo con un team di piccole dimensioni. Penso siano sfide comuni a molti CIO italiani”. 

La ricetta di Borletto – oltre, ovviamente, all’uso di hardware e software all’avanguardia – è fare formazione continua e relazionarsi costantemente con i colleghi.

“Noi del team IT giriamo sempre per l’azienda e monitoriamo i comportamenti, correggendo eventuali deviazioni dalle prassi più sicure”, rivela il CIO. “Cerchiamo di farlo in modo costruttivo, mostrando le pratiche di cybersicurezza come una crescita professionale e personale”.

Il CIO detta regole e processi

Pur in un panorama complesso e in costante cambiamento, le aziende hanno diversi strumenti per difendersi.

“Nella sicurezza sono importanti i comportamenti e la dimensione umana, ma esistono anche le regole, e vanno rispettate”, chiarisce ancora Borletto. “Noi abbiamo chiuso tutta la navigazione internet verso l’Oriente, dopo certe vicende internazionali, per evitare attacchi informatici da quelle aree del mondo. Inoltre, abbiamo una lista di applicazioni che non possiamo usare, in particolare per lo scambio dati via web. Infine, alcune applicazioni non possono stare nel cloud, fondamentalmente, tutto quello che i nostri clienti non vogliono risieda in un cloud generico. Dovrebbe essere un cloud certificato di un certo livello, ma per noi è ancora più semplice e sicuro far risiedere questi dati e applicazioni on-premises, sui nostri server, anche perché operiamo su scala internazionale”.

Per Telmon, “La consapevolezza è importante, ma è ancora di più cruciale definire i processi. Per esempio, la casella di posta di un dipendente viene compromessa e monitorata a scopo di frode. Quando il cybercriminale rileva una comunicazione via email che riguarda una transazione economica, manda un falso messaggio comunicando un nuovo Iban su cui fare il versamento e così sottrae il denaro. Tutto questo si può evitare non solo con l’awareness, ma creando un processo che tutela l’azienda: se si riceve via email la richiesta di cambiare l’Iban per una transazione, bisogna prima verificare telefonicamente con la controparte che il messaggio sia legittimo. Le procedure operative sono fondamentali”.

I 7 pilastri della cybersicurezza

Raccogliendo le indicazioni dei diversi esperti di mercato, la cultura della sicurezza informatica in azienda dovrebbe poggiare su 7 precisi pilastri:

• Architettura Zero Trust. I CIO devono garantire che la rete sia progettata per verificare ogni richiesta di accesso in base all’identità e al comportamento, sia all’interno che all’esterno dell’organizzazione. Fondamentale è la Gestione delle identità e degli accessi (IAM).
• Cloud governance: i CIO devono guidare le iniziative per proteggere l’infrastruttura cloud, inclusi crittografia dei dati, gestione delle identità e controlli degli accessi, garantendo al contempo la conformità agli standard di settore (come ISO 27001, GDPR, ecc.).
• Cyber-resilienza e risposta agli incidenti: in assenza di un CISO, i CIO sono responsabili di garantire che l’organizzazione disponga di una solida strategia per il disaster recovery, la continuità operativa la risposta rapida ed efficace agli incidenti. Devono, inoltre, dedicare attenzione specifica alla difesa dal ransomware.
• Gestione del rischio: il focus deve includere la supply chain e le terze parti, nonché la compliance normativa.
• AI e automazione nella sicurezza: i CIO devono adottare strumenti quali l’analisi comportamentale, la gestione delle informazioni e degli eventi di sicurezza (SIEM) e la risposta automatizzata agli incidenti.
• Sicurezza degli endpoint: occorre gestire anche le minacce che derivano dal lavoro da remoto.
• Formazione e awareness: alimentare la cultura della sicurezza informatica del personale.

Verso la sicurezza preventiva

Secondo Gartner il futuro è della sicurezza informatica preventiva [in inglese] (preemptive cybersecurity), perché le organizzazioni devono affrontare un aumento esponenziale di minacce che prendono di mira reti, dati e sistemi connessi.

La società di ricerche prevede che, entro il 2030, le soluzioni preventive rappresenteranno la metà di tutta la spesa per la cybersecurity (contro meno del 5% nel 2024), perché i CIO passeranno dalla difesa reattiva alla protezione proattiva. Queste tecnologie saranno la prossima evoluzione delle soluzioni di detection and response e ne allargheranno la portata.

“La sicurezza informatica preventiva consiste nell’agire prima che gli aggressori colpiscano utilizzando SecOps basate sull’intelligenza artificiale, negazione programmatica e inganno”, spiega Tori Paulman, VP Analyst di Gartner. “Questo è un mondo in cui la previsione è protezione”.