Vi ricordate il clamoroso furto al Museo del Louvre di Parigi avvenuto ad ottobre 2025? I ladri hanno usato una smerigliatrice per entrare nel museo rompendo una finestra e per rubare i gioielli della corona francese. A dire il vero, è la metafora perfetta per ciò che è successo quest'anno nella cybersecurity: i criminali usano tutti gli strumenti su cui possono mettere le mani per accaparrarsi i "gioielli della corona" digitale.
Gli strumenti odierni sono estremamente sofisticati e accessibili in modo semplicissimo grazie alle soluzioni RaaS (Ransomware-as-a-Service), ma lo svantaggio nascosto è che, a differenza di un museo, la "sala del tesoro" di un'azienda è enorme e diffusa in tutto il mondo, quindi sono tantissime le finestre da tenere d'occhio.
Aiutare le aziende ad affrontare queste sfide legate alla sicurezza è ciò di cui ci occupiamo tutti in Akamai. I nostri rapporti sullo stato di Internet (SOTI) sono progettati in modo da fornirvi le informazioni necessarie per contrastare le minacce che stanno cambiando le regole del gioco nella cybersecurity.
Inoltre, indubbiamente, l'intelligenza artificiale sta diventando un fattore più importante nella sicurezza, anche se sappiamo che non c'è nulla di meglio delle competenze umane quando si tratta di individuare e bloccare attacchi sofisticati.
Riflessioni e aspettative
Per questo esame dell'anno, abbiamo riunito alcune delle menti più brillanti di Akamai nella cybersecurity per analizzare le principali tendenze osservate nella sicurezza lo scorso anno ed esaminare cosa possiamo aspettarci nel 2026.
In questo post del blog, Roger Barranco, Richard Meeus, Reuben Koh, Steve Winterfeld e Tricia Howard condividono le loro idee pratiche e attuabili per aiutarvi a colmare le lacune nella sicurezza e a rafforzare i sistemi di difesa.
In cosa si è distinta la vostra azienda nel 2025?
Abbiamo osservato un notevole aumento nel numero di attacchi DDoS (Distributed Denial-of-Service)di grande portata. Gli attacchi multi-terabit stanno diventando sempre più frequenti. Finora, questi attacchi sono stati prontamente mitigati. tuttavia, stiamo anche assistendo ad un aumento degli attacchi più complessi, compresi quelli sferrati dagli stati nazionali, il che mette in evidenza l'importanza di disporre di una piattaforma scalabile con solide funzionalità native insieme a personale altamente qualificato per affrontare rapidamente i complessi attacchi zero-day.
Abbiamo anche assistito ad un fenomeno in cui alcune organizzazioni sono state colpite da attacchi bot sferrati da un criminale estremamente tenace. Riusciamo a mitigare l'attacco, ma i criminali continuano a seguire il bersaglio, spesso combinando l'attività di scraping, che può risultare dannosa o meno, ma potrebbe trattarsi di un aggregatore che cerca di raccogliere informazioni sui prodotti.
Spesso, questa attività viene programmata in occasione di eventi specifici, come il lancio di un prodotto o un evento promozionale. Se necessario, possiamo assegnare un architetto della sicurezza dedicato ai clienti durante questi eventi per risolvere eventuali anomalie in tempo reale.
Il maggiore utilizzo dell'intelligenza artificiale da parte dei criminale è stato un'altra tendenza osservata nel 2025. L'intelligenza artificiale ha ridotto gli ostacoli che si frappongono all'accesso dei criminali, che non hanno più bisogno di notevoli competenze per la creazione di codice perché possono utilizzare l'intelligenza artificiale per costruire e sferrare un attacco. Fortunatamente, l'intelligenza artificiale ha anche consentito agli addetti alla sicurezza di identificare rapidamente le anomalie dei comportamenti più impercettibili che potrebbero indicare un attacco.
Nell'esame dell'anno scorso, ho evidenziato la rinascita della botnet Mirai, che è ritornata ancora più potente con alcune varianti che stiamo osservando attentamente.
Quali problemi di rilievo si prevedono per il 2026?
I CISO sono sottoposti ad una notevole pressione per agevolare la rapida adozione dell'intelligenza artificiale e ciò può avere un impatto negativo sulla definizione delle priorità delle voci del registro dei rischi, assegnando livelli di rischio inferiori alle iniziative legate all'intelligenza artificiale. Questo aspetto evidenzia ulteriormente la necessità di adottare tecnologie appositamente progettate per proteggere in modo efficace gli elementi dell'intelligenza artificiale, inclusi i modelli linguistici di grandi dimensioni (LLM).
La rapida adozione dell'intelligenza artificiale crea anche un nuovo punto di vista nella sicurezza delle API. In genere, un modello LLM deve trasportare un'API a un certo punto, il che rende fondamentale la protezione delle API. Attualmente, i CISO riconoscono che la sicurezza delle API può essere utilizzata per identificare il traffico critico, ad esempio per determinare se si tratta di un modello LLM o di qualcuno che tenta di accedere a qualcosa.
In tal caso, si genera un avviso che consente ai team addetti alla sicurezza di decidere se consentire o bloccare il traffico. Pertanto, è fondamentale monitorare le API per identificare dove si trovano i modelli LLM o dove viene utilizzata l'intelligenza artificiale per penetrare all'interno di un'azienda.
Con una maggiore attenzione alla governance dell'intelligenza artificiale, sempre più organizzazioni stanno creando una serie di regole per stabilire se i dipendenti sono autorizzati a creare una propria intelligenza artificiale come aiuto nel loro lavoro. Questo fenomeno sta dando origine a comitati di controllo dell'intelligenza artificiale che stabiliscono cosa è consentito fare e forniscono una supervisione in modo da regolamentarla rispetto al passato, il che è fondamentale dal punto di vista della sicurezza.
Nel 2024, ho parlato della necessità di concentrarsi sul quantum computing, che continua a rimanere una preoccupazione per il futuro. Le organizzazioni stanno già affrontando il problema dei certificati post-quantistici progettati per fornire un livello di crittografia superiore. La sfida consiste nel passaggio a questi nuovi certificati digitali se alcuni utenti finali utilizzano browser che non li supportano.
Nel 2026, mi aspetto di assistere ad un aggiornamento dell'infrastruttura da parte delle aziende, che incoraggeranno, a loro volta, i clienti ad aggiornare i propri browser in modo da supportare i certificati post-quantistici.
In cosa si è distinta la vostra azienda nel 2025?
Penso che la parola migliore con cui descrivere lo scorso anno sia la resilienza, nello specifico la sua mancanza. Nel Regno Unito, abbiamo assistito ad alcuni attacchi significativi e altamente pubblicizzati, che sono stati sferrati contro i retailer, mentre sono in corso altri attacchi che hanno colpito alcuni dei principali produttori, molti dei quali hanno preso di mira i servizi di assistenza clienti per accedere alle informazioni degli utenti e reimpostare le password in uso. Sebbene non si trattasse del vettore principale dell'attacco, è risultato un vettore, probabilmente, non legato ai red team.
Lo scorso anno, ho parlato dell'attenzione rivolta alla direttiva NIS2 sulla resilienza operativa, che è stata concepita con l'obiettivo di recepirla nella legislazione di ogni stato dell'Unione Europea (UE) entro ottobre 2024, anche se molti paesi non l'hanno ancora fatto.
Questa normativa si differenzia dal DORA (Digital Operational Resilience Act), che fornisce alle organizzazioni finanziarie un miglior sistema di resilienza. Questa legge era un regolamento, non una direttiva, quindi è stata applicata a tutti i paesi dell'UE a partire dal 17 gennaio 2025. La direttiva NIS2, tuttavia, si sta rivelando un vantaggio ancora maggiore per alcuni paesi.
Nel 2025, abbiamo anche assistito ad alcune significative interruzioni causate da aggiornamenti errati, che si sono rivelate estremamente dannose per le aziende e i consumatori di vari settori. Questo problema solleva domande importanti:
È necessario presumere che ogni aggiornamento di un fornitore sia attendibile?
È meglio provarlo e, in tal caso, quali sono i processi disponibili?
È possibile eseguire una sandbox e un'implementazione multifase o Canary?
Le aziende devono prepararsi e pensare a come mitigare questo rischio.
Quali problemi di rilievo si prevedono per il 2026?
Ho già menzionato il servizio di assistenza clienti come vettore di attacco, che, tuttavia, prevedo si evolverà ulteriormente nel 2026, poiché gli addetti al servizio di assistenza sono sempre più spesso ampliati mediante le chatbot basate sull'AI, che si stanno spostando oltre le risposte gerarchiche basate sulle strutture per disporre di un'intelligence più vasta e la possibilità di fornire ai clienti un maggior numero di informazioni in tempi più rapidi.
Tuttavia, anche le chatbot, come gli addetti ai servizi di assistenza, possono essere sottoposte a social engineering. Comprendere il passaggio dall'attacco del personale del servizio di assistenza clienti all'attacco contro questi endpoint diventerà un'enorme preoccupazione per le aziende.
È interessante vedere cosa accade quando l'intelligenza artificiale cambia il nostro modo di utilizzare Internet. Il modo in cui le persone effettuano le loro ricerche non sono cambiate radicalmente sin dai tempi di AltaVista, ma cambierà perché gli utenti utilizzano agenti basati sull'intelligenza artificiale per effettuare le loro ricerche/prenotazioni/ordini.
A questo punto, sorge una domanda interessante: il server web o il gateway tratterà tale situazione come una richiesta condotta da utenti o da bot (controllati da un criminale)? Penso che le organizzazioni dovranno dedurre l'impatto di questa interazione e come gestirla dal punto di vista della sicurezza. In un certo senso, l'attenzione si sposterà dai bot considerati principalmente come un problema per le aziende a quelli considerati come un vantaggio.
Pertanto, la capacità di verificare e confermare i bot diventerà importante perché porterà ad accordi con i principali fornitori di soluzioni basate sull'intelligenza artificiale per verificare in modo crittografico le loro domande in modo da gestirle diversamente rispetto ad uno scraper sospetto.
Infine, ritengono che assisteremo ad un aumento nel numero di attacchi DDoS che sfruttano le vulnerabilità dell'IoT (Internet of Things). Il CRA (Cyber Resilience Act) approvato dall'UE nel 2024 ha lo scopo di affrontare la scarsissima sicurezza intrinseca spesso osservata nei dispositivi IoT, che richiede un semplice abuso da parte dei criminali.
Il CRA offre un approccio armonizzato alla sicurezza dei dispositivi IoT progettato per semplificare la conformità ed evitare la sovrapposizione delle normative. Le disposizioni verranno introdotte in modo graduale nel corso del tempo, quindi sarà interessante vedere come le aziende riusciranno a conformarsi e quale impatto queste normative avranno sulla sicurezza dell'IoT.
In cosa si è distinta la vostra azienda nel 2025?
Nel 2025, abbiamo visto come l'intelligenza artificiale sia passata dalla sperimentazione all'implementazione pratica nelle capacità cyber-offensive. L'intelligenza artificiale favorisce la riuscita degli attacchi e pone varie sfide per i sistemi di difesa convenzionali e i team addetti alla sicurezza perché gli attacchi sono più difficili da rilevare, hanno un maggiore impatto e raggiungono più velocemente i loro obiettivi.
I criminali utilizzano attivamente la GenAI per sviluppare in modo rapido tutto ciò che desiderano, dal malware agli agenti degli attacchi basati sull'intelligenza artificiale, senza richiedere approfondite competenze tecniche. Gli addetti alla sicurezza non possono permettersi di stare a guardare. I loro sistemi di difesa diventeranno obsoleti molto rapidamente se non si adatteranno a questa corsa agli armamenti con l'intelligenza artificiale.
Ciò sottolinea la necessità di adottare una maggiore alfabetizzazione dell'intelligenza artificiale. I team addetti alla sicurezza devono disporre di una buona conoscenza tecnologica per poter sfruttare al meglio la propria potenza. Ad esempio, alcune aziende stanno costruendo le chatbot basate sull'AI in modo tale da riuscire ad acquisire le proprie conoscenze sulla sicurezza in un dataset di addestramento, in modo che i membri dei team meno esperti possano ottenere un'assistenza rapida.
Con l'evoluzione veloce dell'intelligenza artificiale, i team devono capire ciò che possono fare al di là delle attuali capacità. È inoltre importante assicurarsi che fornitori e partner della supply chain siano concentrati sulla sicurezza dell'intelligenza artificiale. Le aziende devono chiedersi: "Se utilizzo uno strumento basato sull'intelligenza artificiale, come posso proteggere i modelli LLM, i dataset e gli altri elementi basati sull'AI?"
Quali problemi di rilievo si prevedono per il 2026?
La rapida accelerazione del ciclo di vita degli attacchi, favorita dall'intelligenza artificiale autonoma, sarà una delle sfide principali del 2026. Dallo sfruttamento automatizzato delle vulnerabilità allo sviluppo di malware basati sull'intelligenza artificiale, l'AI sta favorendo nuovi livelli di precisione ed efficienza degli attacchi.
Alcuni studi hanno dimostrato che il tempo necessario per la riuscita degli attacchi basati sull'intelligenza artificiale è stato drasticamente ridotto. Una tipica violazione dei dati nel 2026 richiederà ore piuttosto che settimane per produrre un impatto. Si tratta di una preoccupazione particolare nella regione Asia-Pacifico (APAC), in cui le aziende, di solito, continuano a fare affidamento sulla tradizionale difesa perimetrale e sulla risposta antropocentrica. Le organizzazioni che non dispongono di solide procedure di sicurezza e di un'alfabetizzazione dell'intelligenza artificiale saranno notevolmente svantaggiate.
Nel 2026, le API supereranno tutti gli altri vettori di attacco per diventare l'origine dominante delle violazioni di dati a livello di applicazione, che rappresenteranno, potenzialmente, più della metà degli attacchi alle applicazioni nell'area APAC. Oltre l'80% delle organizzazioni che operano nell'APAC ha segnalato almeno un incidente relativo alla sicurezza delle API nell'ultimo anno.
L'aspetto grave è che quasi due terzi delle organizzazioni che operano nell'APAC non sanno quali delle loro API elaborano dati sensibili. Ciò evidenzia la necessità di disporre di un maggior livello di visibilità e governance degli inventari delle API.
L'adozione del vibe-coding, in cui la GenAI viene utilizzata per creare le API, aumenterà solo i rischi correlati. La codifica assistita dall'intelligenza artificiale è stata correlata ad un aumento di configurazioni errate, impostazioni predefinite non sicure e vulnerabilità trascurate. Per gestire i rischi correlati, le organizzazioni avranno bisogno di strumenti di sicurezza specializzati per rilevare, provare e proteggere le API durante tutto il loro ciclo di vita.
Il ransomware sarà completamente democratizzato nel 2026, favorito dalle soluzioni RaaS e dal "vibe-hacking" basato sull'AI. Mi aspetto di vedere un aumento nella frequenza e nella velocità degli attacchi. Le linee che separano criminali informatici, hacktivisti e operatori sostenuti dai governi nazionali stanno diventando sfocate, oscurando i motivi degli attacchi e rendendo più difficile la loro attribuzione.
Nell'area APAC, il settore manifatturiero dell'high-tech è destinato a rappresentare un obiettivo primario. Un attacco di ransomware sferrato contro gli impianti di produzione dei semiconduttori potrebbe interrompere la fornitura globale di chip e infliggere enormi danni economici. Con la democratizzazione degli strumenti di attacco avanzati, le organizzazioni devono rapidamente aumentare la loro resilienza operativa e non concentrarsi solo sulla prevenzione delle violazioni.
In cosa si è distinta la vostra azienda nel 2025?
Quest'anno, i rapporti SOTI hanno incluso una guida per gli addetti alla sicurezza con le informazioni più recenti su app e API, ransomware e DDoS e sulle tendenze osservate nelle frodi e negli abusi. In tutti i rapporti sono emersi due schemi chiari:
In primo luogo, i bot continuano ad innovarsi e saranno altrettanto costanti quanto gli attacchi DDoS.
In secondo luogo, i criminali informatici continuano a seguire i dati critici per monetizzare i loro attacchi e riteniamo che le API siano il loro principale obiettivo, mentre la GenAI e i modelli LLM stanno emergendo come nuovi bersagli.
Le statistiche confermano queste due tendenze. Ad esempio, il traffico dei bot basati sull'AI è aumentato del 300% su base annua da luglio 2024, abbiamo registrato una crescita del 94% negli attacchi DDoS trimestrali a livello di applicazione (livello 7)e il 47% dei team di AppSec, pur mantenendo un inventario completo, non è in grado di individuare le API che gestiscono i dati sensibili.
A questo punto, dovrei citare alcuni sistemi che sono stati esaminati nei rapporti SOTI. Ecco le risorse che ritengo distintive:
Le informazioni sulla mappatura degli avvisi sugli attacchi reali a diversi sistemi, con cui sono emerse le tendenze di attacco effettive che erano basate su standard di settore (risultati campione: OWASP 32%, MITER 30%, ISO 22%, GDPR 21%, PCI DSS 16%)
Un processo di integrazione della conformità che ha presentato le sei fasi necessarie per creare un programma multidisciplinare unificato
Indicazioni su come mappare le 10 principali vulnerabilità riportate nell'elenco OWASP al vostro programma anti-frode per assegnare la priorità ai problemi da risolvere per primi
Poiché pensiamo a come trarre vantaggio da queste informazioni, è importante ricordare che abbiamo bisogno di una consapevolezza situazionale per capire cosa sta accadendo. Dobbiamo inoltre collaborare con un fornitore la cui piattaforma sia in grado di offrire la capacità integrata di personalizzare le misure di mitigazione in base alla propensione al rischio della vostra leadership. Successivamente, dobbiamo verificare il nostro processo e i controlli tecnici tramite esercizi e test.
Infine, è importante considerare l'ecosistema criminale in cui vediamo come gli attacchi sostenuti dai governi nazionali, che sono basati su conflitti locali, funzionalità monetizzate di bot e RaaS e strumenti anti-frode basati sull'intelligenza artificiale, come FraudGPT e WormGPT, stanno ridefinendo l'attuale panorama delle minacce informatiche.
Quali problemi di rilievo si prevedono per il 2026?
Guardando al nuovo 2026, notiamo che la maggior parte delle organizzazioni deve aggiornare le proprie soluzioni contro i rischi informatici per riuscire a gestire le ultime tendenze, come il nuovo aumento dello scraping, la necessità di proteggere i brand e i nuovi attacchi DDoS da record. Tuttavia, il vero lavoro consiste nel garantire che le organizzazioni siano in grado di mitigare due minacce fondamentali: gli attacchi sull'edge e le interruzioni delle attività aziendali.
Le funzionalità delle API e della GenAI stanno esplodendo e le organizzazioni devono assicurarsi che siano sicure; inoltre, devono rilevare e segmentare gli attacchi ransomware in modo che non influiscano in modo significativo sulle attività aziendali.
In tutti i settori e nelle varie aree geografiche, le minacce informatiche diventano sempre più scalabili e sofisticate grazie all'innovazione apportata dall'intelligenza artificiale. Per il 2026, è chiaramente obbligatorio creare resilienza attraverso playbook verificati, sfruttare i quadri normativi (come OWASP, MITER, ISO) ed eseguire esercizi di convalida che trasformano la consapevolezza situazionale in una preparazione misurabile.
In cosa si è distinta la vostra azienda nel 2025?
Il 2025 ha continuato a dimostrarmi che più complesse sono le minacce, più importanti sono le procedure di base. Immaginate di acquistare una casa da 5 milioni di dollari e di scoprire successivamente che le fondamenta presentano un problema. Ne sareste sconvolti o no? Immaginate quanto dovreste spendere per riparare le fondamenta dopo aver già traslocato nella nuova casa.
La sicurezza non è una questione diversa: per garantirvi la massima protezione, avete bisogno di una base solida. Alcune delle principali violazioni che abbiamo riscontrato sono risultate casi di phishing semplice o di una mancata autenticazione multifattore (MFA). Le procedure di base sono fondamentali. È imprescindibile, quindi, correggere tempestivamente le vulnerabilità esistenti.
I criminali si servono di tattiche valide e definite da tempo per raggiungere i loro obiettivi dannosi e anch'essi si sono evoluti. Una tendenza preoccupante a cui stiamo assistendo consiste nell'abuso di processi e/o funzionalità che non solo sono legittimi, ma anche sono progettati per risultare utili. Un ottimo esempio è rappresentato dalla nuova variante del malware Coyote, il primo caso confermato di un uso errato del sistema UIA (UI Automation) di Microsoft in rete, che ha sfruttato le funzioni di accessibilità.
Un altro esempio consiste nell'abuso della conformità e delle conoscenze delle conseguenze legali per garantire il pagamento di un riscatto, un sistema che funziona perché è geniale, ma pericoloso, quindi vale la pena tenerlo d'occhio.
Infine, l'intelligenza artificiale e i modelli LLM hanno ovviamente influito in modo significativo quest'anno, anche negli attacchi basati sull'abuso della logica aziendale. Più l'intelligenza artificiale viene utilizzata dai criminali, più diventa importante comprendere le persone e la psicologia alla base degli attacchi.
Non bisogna limitarsi a combattere gli strumenti, ma occorre contrastare le persone che li creano e li utilizzano, come i singoli e le organizzazioni criminali, che cercano di fare di più con meno rispetto a tutti gli altri. Quindi, invece di concentrarsi solo sugli strumenti, dovete chiedervi perché i criminali utilizzano questi strumenti e se ciò che stanno cercando di ottenere è davvero importante per una corretta difesa. I modelli LLM e la GenAI estrapolano il fattore umano, non lo rimuovono.
Quali problemi di rilievo si prevedono per il 2026?
Le organizzazioni devono pensare che, prima o poi, subiranno una violazione. Punto e basta. Non dobbiamo chiederci se, ma quando la subiranno, se non l'hanno già subita. Il disaster recovery dovrebbe essere parte del vostro piano di continuità operativa già da ora.
Ciò vale soprattutto per un'azienda: quando si verifica un incidente, è necessario che molte cose si verifichino in un breve lasso di tempo. Ciò significa che le organizzazioni devono abbattere le barriere tecniche e di comunicazione che separano i suoi gruppi (marketing e relazioni pubbliche, IT e sicurezza) per poter ottenere una risposta efficace. Inoltre, migliore è la comunicazione tra i team, maggiori saranno le opportunità di individuare potenziali vulnerabilità.
Ritengo che i rischi legati a terze parti e alla supply chain diventeranno davvero critici nel 2026. Considerando l'intelligenza artificiale e i modelli LLMS, le regole del gioco saranno completamente diverse rispetto a quanto abbiamo visto in passato. I fornitori delle vostre soluzioni per la sicurezza potrebbero utilizzare questi strumenti GPT senza far sapere che elaborano i dati dei loro clienti.
In qualità di addetti alla sicurezza o CISO, come potete gestire i rischi se non sapete nemmeno quali sono? Sarà di vitale importanza valutare i fornitori (e i loro fornitori), sapere quali domande porre ed essere in grado di valutare i rischi correlati.
Mi aspetto di vedere anche una continuazione dell'hacktivismo legato alla geopolitica. Oggi le persone sono ancora più motivate dai loro obiettivi a causa della difficile situazione politica in tutto il mondo. Penso che osserveremo attacchi informatici più mirati (ad esempio, sofisticati attacchi di phishing destinati a dirigenti di alto profilo) che utilizzano gli strumenti basati sull'intelligenza artificiale. L'agilità offerta da questi strumenti consente ai criminali di concentrarsi su un obiettivo con un potenziale di guadagno significativamente più elevato senza doversi impegnare maggiormente rispetto allo sforzo necessario per colpire un'azienda più piccola.
Sia nel caso di attacchi finanziari, semplicemente di disturbo o di altro tipo, comprendere le motivazioni sulla base delle quali agiscono i criminali aiuterà le organizzazioni ad individuare le aree in cui dover concentrare la propria difesa.
Capire per migliorare
Ci auguriamo che l'esame dell'anno 2025 vi abbia fornito alcune informazioni approfondite e utili insegnamenti. Con l'inizio del 2026, continuiamo il nostro impegno ad approfondire il mondo della cybersecurity e a trattare ciò che è realmente importante per voi. Siamo entusiasti di offrire nuove prospettive, mantenendo, al contempo, l'interesse elevato, per affrontare sia minacce globali che problemi a livello locale.
Ulteriori informazioni
Per saperne di più sull'anno in corso, visitate la nostra pagina delle ricerche relative all'intelligence sulla sicurezza di Akamai per accedere ai nostri rapporti SOTI e alla libreria sulle ricerche.
Ci vediamo nel 2026!
Tag
