Il Global Cybersecurity Outlook 2026 del World Economic Forum non è certo un report rassicurante. Pur non descrivendo scenari drammatici, mette in discussione una convinzione ancora molto diffusa e cioè che l’evoluzione tecnologica, se ben governata, sia di per sé sufficiente a contenere il rischio cyber.
Il documento mostra un panorama in cui complessità, interdipendenza e asimmetria crescono più rapidamente della nostra capacità di controllarle. La cyber security è ormai una condizione strutturale per il funzionamento del business e, come tale, quando viene data per scontata rischia di produrre fragilità sistemiche.
Indice degli argomenti
AI: la moltiplicazione del rischio sotto l’etichetta dell’innovazione
L’AI è il perno attorno a cui ruota l’intero report: viene indicata come il principale fattore di trasformazione della cyber security e rappresenta il punto di massima frizione tra velocità dell’innovazione e maturità della governance. In altre parole, l’AI introduce nuove minacce e, soprattutto, modifica il modo stesso in cui il rischio viene prodotto e gestito.
Il WEF rileva che le vulnerabilità legate all’AI sono percepite come il rischio in più rapida crescita, superando ransomware, data breach tradizionali e persino le vulnerabilità software “classiche”. Oltre ai modelli generativi utilizzati per il phishing o per la scrittura di malware, si delinea il problema più profondo che riguarda l’integrazione non critica dell’AI nei processi decisionali, operativi e di sicurezza.
Molte organizzazioni stanno infatti adottando strumenti basati su AI senza una reale comprensione delle dipendenze che questi introducono: catene di fornitura algoritmiche, modelli opachi, training data non verificabili, decisioni automatizzate difficili da auditare.
Il report segnala che una quota significativa di aziende utilizza AI per scopi di sicurezza senza aver prima definito un framework strutturato di risk assessment specifico per questi sistemi.
Il punto critico continua ad essere di natura culturale, poiché l’AI viene trattata come acceleratore neutrale, quando in realtà amplifica sia le capacità difensive che quelle offensive.
La differenza la fanno competenze e governance, insieme alla capacità di riconoscere che alcuni processi, pur diventando più performanti, risultano meno trasparenti e meno direttamente controllabili.
Cyber security e geopolitica: da cooperazione tecnica a competizione strutturale
Un altro asse portante del report è la crescente sovrapposizione tra sicurezza digitale e dinamiche geopolitiche e il cyber spazio è descritto come una proiezione diretta degli equilibri di potere internazionali, non un dominio separato.
Questo implica che le scelte di sicurezza devono essere valutabili sia in termini di efficacia tecnica che di allineamento politico e strategico.
Il WEF evidenzia infatti come le tensioni geopolitiche influenzino in modo diretto le scelte di cyber security di governi e grandi organizzazioni.
Così, insieme agli attacchi sponsorizzati da Stati, si deve fronteggiare un contesto in cui standard, infrastrutture, fornitori e persino architetture cloud diventano delle scelte politiche, spesso disomogenee.
Le organizzazioni operano in un contesto in cui l’accesso a tecnologie critiche, fornitori affidabili e cooperazione transnazionale dipende da equilibri geopolitici instabili. Questo produce un effetto di frammentazione del cyber spazio, con normative divergenti, requisiti di sovranità digitale e blocchi tecnologici che limitano l’interoperabilità e riducono la possibilità di una risposta coordinata alle minacce.
Il risultato è un cyber spazio meno interoperabile e più asimmetrico, in cui la sicurezza dipende sempre più dalla posizione geopolitica e dalla capacità di influenzare le regole del gioco, non più solo dalla qualità delle soluzioni adottate.
In questo scenario, la cyber security non può più essere progettata assumendo un ambiente globale omogeneo e cooperativo e diventa piuttosto una funzione che deve operare all’interno di vincoli geopolitici espliciti, accettando che alcune scelte di sicurezza sono determinate dalla posizione dell’organizzazione in un sistema internazionale sempre più polarizzato.
Resilienza come criterio di selezione del valore
Nel lessico della cyber security, la resilienza è spesso evocata come obiettivo condiviso. Il report del WEF fa un passo ulteriore, in quanto la tratta come metrica economica e organizzativa, e non la confina più a semplice capacità tecnica.
La resilienza, in questa prospettiva, rappresenta la capacità di assorbire gli incidenti senza compromettere in modo irreversibile la continuità operativa, la fiducia del mercato e la capacità decisionale.
È un passo molto rilevante, perché sposta l’attenzione dalla prevenzione assoluta (irrealistica) alla gestione dell’impatto. Il cambiamento è infatti operativo: ad essere valutata deve essere la qualità delle decisioni prese durante l’incidente, non l’assenza di incidenti.
Questo approccio richiede però un ripensamento profondo delle metriche di performance della sicurezza; oltre a misurare quanti attacchi vengono bloccati, è essenziale valutare quanto velocemente un’organizzazione riesce a comprendere, contenere e recuperare. E soprattutto, quanto è in grado di prendere decisioni informate sotto pressione.
Il report fa intendere implicitamente che molte organizzazioni non sono ancora pronte a questo salto, in quanto, sebbene investano in tecnologia, non investono ancora in processi decisionali resilienti, né in una cultura che accetti l’errore come evento gestibile anziché come fallimento da occultare.
Supply chain digitali: l’illusione del controllo locale
Uno dei punti più solidi del report riguarda le catene di fornitura digitali, ormai ampiamente riconosciute come uno dei principali vettori di rischio sistemico. La complessità delle supply chain moderne rende sempre più difficile distinguere tra rischio interno ed esterno, dal momento che le dipendenze software, infrastrutturali e di servizio sono pervasive e spesso invisibili.
La presenza di fornitori vulnerabili è senz’altro uno dei problemi, ma la vera criticità della filiera è rappresentata dalla mancanza di visibilità aggregata. Molte organizzazioni non sono infatti in grado di mappare con precisione le proprie dipendenze critiche/strategiche, né di valutare l’impatto di un incidente che coinvolga un attore apparentemente marginale.
In molti casi, queste dipendenze vengono scoperte solo a seguito di un incidente, cioè quando non sono più governabili ma solo subite.
Il report sottolinea come gli attacchi alla supply chain colpiscono interi ecosistemi, andando oltre le singole organizzazioni. In questo contesto, la sicurezza non può essere garantita unilateralmente perché richiede meccanismi di condivisione delle informazioni, standard comuni e un livello di fiducia oggi spesso mancante.
Cyber inequity: il rischio sistemico che non entra nei SOC
Tra le intuizioni più rilevanti del Global Cybersecurity Outlook 2026 c’è poi il concetto di cyber inequity. Si tratta di una vera e propria frattura strutturale nella capacità di difesa digitale e non di una semplice constatazione relativa a differenze di budget o competenze.
Le organizzazioni con maggiori risorse possono permettersi strumenti avanzati, talenti qualificati e consulenze di alto livello; le altre no. Questa disparità crea un effetto a catena, con gli attaccanti che sfruttano gli anelli più deboli, compromettendo però l’intera filiera e aumentando così il rischio anche per chi ha fatto maggiori investimenti. La cyber inequity diventa così un moltiplicatore di rischio sistemico, non una debolezza “periferica”.
Il report suggerisce che la cyber inequity deve essere intesa come minaccia diretta alla stabilità dell’economia digitale globale: un sistema in cui la sicurezza è accessibile solo a una parte degli attori è, per definizione, un sistema instabile.
Un panorama di minacce sempre più interconnesse
La mappa dei rischi delineata dal WEF conferma una tendenza già evidente, ovverossia che le minacce crescono sia in numero che in interdipendenza. AI, phishing avanzato, frodi digitali, vulnerabilità software e attacchi alla supply chain si alimentano a vicenda, creando catene di eventi difficili da interrompere.
Questo rende sempre meno efficace un approccio basato su silos tecnologici o organizzativi e richiede una visione sistemica della sicurezza, capace di collegare segnali deboli, contesti diversi e informazioni eterogenee. Un compito che va oltre le capacità di molti dei modelli organizzativi di cyber security.
Sicurezza è capacità di scegliere “sotto vincolo”
Il Global Cybersecurity Outlook 2026 non offre soluzioni semplici, e questo è probabilmente il suo merito principale.
Considerare la sicurezza come capacità di scegliere sotto vincolo significa riconoscere che la cyber security opera stabilmente in condizioni di limitazione e non di controllo.
I vincoli economici, geopolitici, tecnologici e organizzativi definiscono il perimetro reale delle decisioni e non possono essere eliminati attraverso soluzioni tecniche; non esistono poi architetture completamente sicure, supply chain prive di dipendenze critiche o sistemi di intelligenza artificiale pienamente trasparenti.
In questo quadro, il punto più scomodo del report è probabilmente la constatazione che le organizzazioni non avranno tutte le stesse opzioni, né gli stessi margini di manovra, cioè che la sicurezza del futuro non sarà uniforme, né equamente distribuita, poiché sarà il risultato di decisioni strategiche prese in condizioni di incertezza crescente.
E, dal momento che ogni decisione introduce inevitabilmente un rischio residuo che deve essere valutato e gestito, la sicurezza diventa la capacità di assumere decisioni consapevoli ed informate, rendendo espliciti i compromessi tra protezione, continuità operativa e obiettivi di business.
La vulnerabilità digitale non può più essere considerata un problema estirpabile una volta per tutte e la sicurezza non può più essere una funzione delegabile esclusivamente alla tecnologia.
Il ruolo della cyber security si colloca ormai sul piano della governance delle scelte e non è più limitato esclusivamente a quello dell’implementazione dei controlli.
Così, più che domandarci come rendere i sistemi perfettamente sicuri, dovremmo iniziare a chiederci quali compromessi siamo disposti a rendere espliciti e quali, invece, intendiamo ancora nascondere dietro il linguaggio rassicurante dell’innovazione, che racconta come neutralizzare il rischio anziché renderlo governabile.
