L’orizzonte della sicurezza informatica è storicamente caratterizzato da una narrazione incentrata sulla novità e sull’escalation tecnologica.
Oggi, commentando il Data Breach Investigations Report (DBIR) 2026 di Verizon, uscito pochi giorni fa, ecco le risultanze emerse e una prospettiva empirica che va un po’ controcorrente rispetto ai soliti toni allarmistici.
Indice degli argomenti
Report DBIR 2026: tradurre i dati in lezioni apprese
Attraverso l’analisi quantitativa di oltre 31.000 incidenti globali, di cui ben 22.000 si sono concretizzati in violazioni di dati confermate, il report si configura come una mappa fondamentale per un’analisi global ed in ottica di lesson learned.
L’assunto, da cui muove l’analisi di quest’anno, si riallaccia all’aforisma eracliteo sul mutamento perenne, applicandolo tuttavia non per giustificare una rivoluzione negli approcci difensivi, ma per validare la tesi opposta: la necessità di un affinamento metodologico basato sul consolidamento delle competenze “base” della sicurezza.
L’obiettivo del presente contributo è decodificare le evidenze emerse nell’anno trascorso, mappare le peculiarità che investono il contesto europeo e strutturare un modello interpretativo capace di tradurre i dati in lezioni apprese (lessons learned), immediatamente azionabili per l’innalzamento della postura di sicurezza delle organizzazioni contemporanee.
Lo scenario globale e le specificità del modello europeo
L’evidenza statistica più dirompente dell’ultimo anno risiede nel mutamento strutturale dei vettori di accesso iniziale.
Per la prima volta nella storia recente della fenomenologia dei data breach, lo sfruttamento delle vulnerabilità del software (exploitation of vulnerabilities) ha superato l’abuso di credenziali, attestandosi al 31% del totale dei casi censiti.
Questa inversione di tendenza riflette una saturazione dei sistemi difensivi perimetrali e una crescente capacità degli attori di minaccia di industrializzare la ricerca delle falle applicative.
Di contro, l’utilizzo malevolo di credenziali legittime, pur registrando una flessione come punto di primo ingresso a causa di sovrapposizioni tassonomiche con le tecniche di pretexting, continua a rappresentare l’architrave delle catene di attacco successive, presenziando nel 39% dei casi totali.
Lo scenario in Emea
Il panorama europeo, analizzato all’interno della macro-regione EMEA, manifesta deviazioni macroscopiche rispetto alle medie globali, deviazioni che i board in Italia e nel continente non possono ignorare.
L’Europa si posiziona come l’area geografica con la più alta incidenza globale di compromissioni avviate tramite lo sfruttamento di vulnerabilità, raggiungendo la quota del 47%.
Questo dato, combinato con un tasso di phishing che satura l’84% delle azioni di ingegneria sociale, evidenzia una vulnerabilità sistemica dei sistemi esposti sulla rete e una marcata esposizione della componente umana.
Ciò che tuttavia caratterizza in modo profondo il quadrante europeo è la matrice geopolitica degli attacchi.
Mentre il Nord America sperimenta una minaccia quasi esclusivamente orientata al ritorno finanziario estorsivo, l’Europa si trova immersa in dinamiche di cyber spionaggio.
Gli attacchi perpetrati da attori statali o para-statali (state-affiliated) rappresentano il 23% delle violazioni totali in EMEA, determinando un tasso di breach motivati da spionaggio pari al 27%, contro il misero 3% registrato nel contesto nordamericano.
La sicurezza delle organizzazioni europee deve pertanto riflettere questa duplice natura del rischio, dove alla criminalità opportunistica tesa alla monetizzazione si affiancano minacce persistenti avanzate il cui fine ultimo è la persistenza silente e la cattura di proprietà intellettuale e dati strategici.
La demistificazione della complessità e la centralità dei fondamentali
Come già stigmatizzato in passato da chi vi scrive, la retorica aziendale (e non solo) tende spesso a giustificare le violazioni informatiche evocando attacchi di sofisticazione “inaudita”, algoritmi quantistici o minacce precedentemente sconosciute.
I dati del DBIR 2026 smantellano questa narrazione difensiva, dimostrando che le operazioni di natura puramente complessa rappresentano una frazione percentuale minima della telemetria globale.
La collaborazione di ricerca avviata con Anthropic sull’uso dell’intelligenza
artificiale generativa da parte degli attaccanti offre in tal senso un chiarimento fondamentale.
Sebbene la GenAI sia ormai integrata stabilmente nelle routine offensive, il
suo impatto è di natura prettamente operativa e di scala, non strategica o qualitativa.
Gli attori di minaccia utilizzano i modelli linguistici per automatizzare l’offuscamento del codice, generare varianti di malware esistenti o eliminare i difetti formali nelle campagne di ingegneria sociale, ma l’azione si sviluppa lungo percorsi ampiamente documentati all’interno della tassonomia MITRE ATT&CK. Il valore mediano indica che le tecniche supportate da intelligenza artificiale presentano già decine di strumenti e firme difensive note sul mercato, riducendo a meno del 2,5% la quota di codice realmente innovativo o raro.
La vera criticità non risiede dunque nella capacità dell’avversario di inventare nuove strategie d’attacco, quanto nell’incapacità strutturale delle organizzazioni di eseguire i compiti basilari della difesa.
Il report evidenzia una grave crisi nella capacità di gestione delle patch (patching capacity issue).
Solo il 26% delle vulnerabilità note e attivamente sfruttate (CISA KEV) è stato integralmente sanato dalle aziende nel corso dell’ultimo anno, con un tempo medio di risoluzione che è scivolato a 43 giorni.
Processi di remediation paralizzati
Come purtroppo commentiamo da tempo, gli attaccanti non hanno bisogno di scoprire zero-day complessi quando l’aumento del volume delle vulnerabilità espone i team di sicurezza a un sovraccarico informativo che paralizza i processi di remediation.
Analogamente, l’analisi delle violazioni degli ambienti cloud gestiti da terze parti dimostra che i vettori d’ingresso più frequenti rimangono l’assenza di autenticazione a più fattori sulle utenze amministrative e la mancata applicazione del principio del minimo privilegio, configurazioni errate che richiedono mediamente fino a otto mesi per essere rilevate e corrette.
La statistica ci dice chiaramente che la quasi totalità dei breach si consuma sfruttando l’ordinaria trascuratezza organizzativa e non la straordinaria
abilità tecnologica dell’attaccante.
Lesson learned nel DBIR 2026: le 5 azioni strutturali da mettere in campo
Il primo passo indispensabile per tradurre queste evidenze in una strategia difensiva efficace consiste nella riconfigurazione radicale del processo di Vulnerability Management, muovendosi verso un modello predittivo guidato dal principio del recency bias organizzativo.
Poiché i dati dimostrano l’impossibilità matematica di sanare la totalità delle falle, a causa dell’asimmetria tra il volume dei rilasci e la capacità di patching dei team interni, i criteri di prioritizzazione devono essere aggiornati.
Le organizzazioni devono focalizzare le proprie risorse esclusive sulle vulnerabilità che presentano evidenze disfruttamento attivo nel corso degli ultimi trenta giorni, tralasciando momentaneamente i back-log storici non attivi.
La probabilità di resurgence di una vecchia vulnerabilità decade infatti del 50% dopo il primo mese di inattività, permettendo così di ottimizzare gli sforzi di mitigazione sulle minacce che presentano un rischio reale e immediato di penetrazione.
La seconda azione strutturale riguarda la gestione dell’identità e la revisione delle architetture cloud, con particolare riferimento ai rapporti di fornitura e alle terze parti.
Data l’impennata del 60% dei breach originati dalla catena di fornitura, non è più ammissibile considerare il perimetro aziendale come un’entità isolata. Risulta mandatorio estendere l’adozione di protocolli di autenticazione a più fattori (MFA) resistenti al phishing a ogni singola connessione remota, eliminando categoricamente le deroghe per gli account di servizio e le utenze amministrative, le cui credenziali sono scambiate sul mercato dei broker d’accesso per poche centinaia di dollari.
Tale misura deve essere integrata da verifiche periodiche e automatizzate sulle configurazioni dei tenant cloud dei fornitori critici, riducendo i tempi di permanenza delle configurazioni errate che rappresentano oggi il punto debole della supply chain europea.
Terza e quarta azione
Come terza direttrice, le organizzazioni devono implementare un programma di Data Governance specificamente orientato al rischio della Shadow AI.
L’evidenza che quasi la metà della forza lavoro utilizzi correntemente strumenti di intelligenza artificiale attraverso canali non aziendali impone il passaggio da una logica di mero divieto a una logica di controllo granulare dei flussi informativi.
È necessario implementare soluzioni di Data Loss Prevention (DLP) capaci di intercettare e bloccare il caricamento di stringhe di codice sorgente, documentazione tecnica e dati strutturati verso endpoint non autorizzati, definendo al contempo policy chiare di utilizzo e mettendo a disposizione sandbox aziendali protette che scongiurino l’esposizione accidentale della proprietà intellettuale.
La quarta azione richiede una profonda revisione dei programmi di sensibilizzazione e formazione del personale, i quali devono evolvere dalla simulazione standardizzata del phishing basato su posta elettronica verso la gestione dei vettori sincroni e multicanale.
Gli attacchi basati su pretexting, che sfruttano comunicazioni vocali (vishing), messaggistica istantanea su piattaforme di collaborazione e scenari complessi di impersonificazione del supporto tecnico, registrano tassi di successo del 40% superiori rispetto alle tradizionali campagne email.
La formazione deve pertanto focalizzarsi sulla definizione di rigide procedure organizzative di verifica dell’identità per ogni richiesta di reset di credenziali o di condivisione dello schermo, addestrando specificamente il personale degli help desk informatici e delle risorse umane a riconoscere le pressioni psicologiche esercitate dagli attaccanti.
La quinta direttrice
Infine, il quinto e ultimo pilastro risiede nello spostamento del focus strategico dalla pura prevenzione alla resilienza operativa e alla pianificazione del ripristino (Cyber Resilience).
Preso atto che il ransomware colpisce ormai in modo sistematico e trasversale,
determinando interruzioni di business prolungate il cui impatto economico supera di ordini di grandezza il valore del riscatto stesso, le organizzazioni devono strutturare piani di disaster recovery costantemente testati.
Questo approccio si traduce nella cifratura e nell’isolamento logico e fisico dei backup, nell’adozione di architetture di segmentazione della rete che limitino i movimenti laterali dell’attaccante e nella definizione di canali di comunicazione di emergenza.
Il successo della difesa moderna non si misura più soltanto sulla capacità di evitare l’intrusione, ma sulla velocità mediana di riattivazione dei servizi critici a seguito di un evento avverso, minimizzando l’impatto sulla catena del valore e sull’ecosistema dei partner economici.
I consigli che emergono dal DBIR 2026
Come più volte evidenziato negli ultimi anni, il consiglio è quello di non innamorarsi troppo delle “minacce del futuro”, inseguendo l’ultima e complessa tecnologia speculativa, bensì applicare conrigore metodologico una verità che accomuna ogni disciplina, dallo sport alla scienza.
La vera maestria, così come la massima resilienza, si costruisce solo dominando alla perfezione l’esecuzione dei fondamentali.
