Tecnologia, fattori economici e comportamenti umani modellano il rischio cyber a livello globale e il 2026 rappresenterà un punto di svolta in tale evoluzione: è la previsione che emerge dal report Cyberthreat Predictions for 2026.
I dati confermano che il cybercrime continuerà a trasformarsi in un’industria organizzata, basata su automazione, specializzazione e intelligenza artificiale (AI). Ma nel 2026, il successo – tanto per gli attaccanti quanto per i difensori – sarà determinato meno dall’innovazione e più dal throughput: la rapidità con cui l’intelligence si traduce in azione.
Indice degli argomenti
Dall’innovazione al throughput
Dal momento che intelligenza artificiale, automazione e una supply chain del cybercrime ormai matura renderanno le intrusioni più rapide e semplici, gli attaccanti dedicheranno meno tempo a sviluppare nuovi strumenti e più tempo a perfezionare e automatizzare tecniche già efficaci.
Sistemi basati sull’AI gestiranno la fase di ricognizione, accelereranno l’intrusione, analizzeranno i dati sottratti e genereranno le negoziazioni per il riscatto.
Parallelamente, agenti autonomi di cybercrime presenti nel dark web inizieranno a eseguire intere fasi della catena d’attacco con una supervisione umana minima.
Questi cambiamenti aumenteranno in modo esponenziale la capacità offensiva degli attaccanti. Un affiliato del cybercrime che un tempo gestiva poche campagne potrà presto lanciarne decine in parallelo. E il tempo tra intrusione e impatto si ridurrà da giorni a minuti, rendendo la velocità il principale fattore di rischio per le organizzazioni nel 2026.
La nuova generazione di capacità offensive
I FortiGuard Labs prevedono l’emergere di agenti AI specializzati, progettati per supportare operazioni criminali. Sebbene non ancora completamente autonomi, questi agenti inizieranno ad automatizzare e potenziare fasi critiche della cyber kill chain, tra cui il furto di credenziali, il movimento laterale e la data monetization.
Parallelamente, l’AI accelererà anche la trasformazione dei dati in denaro. Una volta ottenuto l’accesso a database sottratti, strumenti di AI li analizzeranno istantaneamente, li prioritizzeranno, identificheranno le vittime più remunerative e genereranno messaggi di estorsione personalizzati.
Di conseguenza, i dati diventeranno “valuta” più rapidamente che mai.
L’economia sotterranea del cybercrime diventerà inoltre più strutturata. Nel 2026, i servizi di botnet e di rental di credenziali si faranno sempre più mirati.
Arricchimento dei dati e automazione consentiranno ai venditori di offrire pacchetti di accesso estremamente specifici per settore, geografia e profilo di sistema, sostituendo i bundle generici oggi dominanti.
I black market adotteranno modelli di customer service, sistemi di reputazione ed escrow automatizzati.
Grazie a queste innovazioni, il cybercrime accelererà ulteriormente la sua evoluzione verso una piena industrializzazione.
L’AI come rischio per la sicurezza
L’AI è ormai impiegata trasversalmente, dalle vendite alla produzione, fino alla finanza. Tuttavia, questo utilizzo diffuso introduce rischi critici: il problema della “black box” in molti modelli rende complessa la conformità normativa e l’attribuzione delle responsabilità.
Dati aziendali sensibili vengono caricati su sistemi di AI basati su cloud senza un’adeguata consapevolezza dei rischi da parte dei dipendenti.
Particolarmente problematiche, in questo scenario, sono le vulnerabilità legate agli attacchi adversarial, in cui input manipolati inducono i modelli a generare predizioni errate.
Ma la minaccia più rilevante deriva dagli agenti autonomi: la sicurezza delle identità non umane diventa una nuova superficie d’attacco, poiché la compromissione dell’identità di un agente può generare effetti a catena lungo l’intera infrastruttura.
Nel 2026, il numero di violazioni che coinvolgeranno modelli di tipo LLM aumenterà sia in frequenza sia in gravità, man mano che tali sistemi accederanno a dati sempre più sensibili e si moltiplicheranno le interazioni tra agenti privi di adeguati meccanismi di protezione.
Deepfake e disinformazione
Servizi di AI come OpenAI DALL·E e Sora 2 rendono molto facile produrre contenuti audio, immagini e video estremamente realistici.
Già tra il 2024 e il 2025 si è osservato un netto salto di qualità nelle campagne di phishing; nel prossimo anno i dipendenti dovranno fronteggiare attacchi BEC (Business Email Compromise) e attività di social engineering supportati da contenuti audio e video generati artificialmente. Fortinet prevede un forte incremento del valore economico delle truffe basate su deepfake nel 2026.
La geopolitica come minaccia cyber
I conflitti geopolitici hanno un impatto diretto sui rischi informatici per le aziende di tutto il mondo. Attacchi contro piattaforme finanziarie, come exchange di criptovalute e istituti bancari, possono causare perdite milionarie.
Le infrastrutture globali sono particolarmente vulnerabili: cavi sottomarini in fibra ottica sono stati recisi in aree strategiche, compromettendo le comunicazioni internazionali. Molti di questi episodi sono attribuiti ad attori sponsorizzati da Stati, spesso impegnati anche nell’infiltrazione silente di reti aziendali.
Le organizzazioni con legami commerciali in aree geopoliticamente sensibili diventano spesso target indipendentemente dalla loro posizione geografica.
Se un tempo i conflitti lontani sembravano irrilevanti per il business, oggi le minacce cyber ne rendono tangibili gli effetti in tempo reale.
Gli esperti prevedono che questa tendenza si intensificherà nel 2026, rendendo indispensabile per i CISO prepararsi a un livello di rischio aggiuntivo.
Il “Quantum of Solace”
Il quantum computing rappresenta una sfida complessa: una tecnologia radicalmente diversa, difficile da comprendere appieno. E sebbene un computer quantistico in grado di infrangere la crittografia attuale sembri ancora distante almeno un decennio – salvo improvvisi balzi tecnologici – il rischio non è remoto.
Gli attori malevoli potrebbero infatti adottare strategie “harvest now, decrypt later”, raccogliendo oggi dati cifrati per decifrarli in futuro. Ciò rende urgente la preparazione alla transizione verso standard crittografici post-quantum.
Non tanto una previsione, quanto un consiglio: non aspettare. Inserire requisiti di “quantum readiness” già ora nei processi di procurement permette di garantire che le tecnologie acquistate oggi siano resilienti agli scenari futuri.
L’evoluzione della difesa
In questo contesto di rischio, le organizzazioni per difendersi dovranno rispondere con efficienza e coordinazione. Nel 2026, le security operation si avvicineranno a ciò che i FortiGuard Labs definiscono “difesa a velocità macchina”: un processo continuo di intelligence, validazione e contenimento che riduce i tempi di rilevamento e risposta da ore a minuti.
Framework come CTEM (Continuous Threat Exposure Management) e MITRE ATT&CK dovranno essere utilizzati per consentire ai defender di mappare rapidamente le minacce attive, identificare le esposizioni e prioritizzare la remediation sulla base di dati in tempo reale.
L’identità dovrà inoltre diventare la base delle operation di sicurezza: le organizzazioni dovranno autenticare non solo le persone, ma anche agenti automatizzati, processi di AI e interazioni machine-to-machine.
La gestione di queste identità non umane diventerà critica per prevenire escalation di privilegi ed esposizioni di dati su larga scala.
Collaborazione e deterrenza
L’industrializzazione del cybercrime richiederà una risposta globale più coordinata. Iniziative come l’Operation Serengeti 2.0 di INTERPOL, supportata da Fortinet e altri partner privati, dimostrano come la condivisione congiunta di intelligence e interventi mirati possano smantellare infrastrutture criminali.
Si prevedono, inoltre, investimenti continui in programmi di educazione e deterrenza rivolti a giovani o categorie a rischio attratte dal crimine online.
Prevenire la prossima generazione di criminali informatici dipenderà dalla capacità di intercettarli e reindirizzarli prima che entrino nell’ecosistema criminale.
Dal CISO al Chief Resilience Officer
Le grandi aziende respingono quotidianamente centinaia di migliaia di attacchi, ma all’avversario basta un solo successo.
I CISO devono prepararsi a gestire scenari di emergenza. La priorità non è più solo la sicurezza delle informazioni: il CISO diventa un abilitatore del business, responsabile di assicurare la continuità operativa anche nelle situazioni critiche.
Ciò richiede la definizione del Minimum Viable Business (MVB), con piani di business continuity solidi ed esercitazioni teoriche ricorrenti.
Per i CISO, questo implica:
- Costruire resilienza, accettando che le interruzioni sono inevitabili.
- Considerare l’AI una capability da governare: modelli, dati e accessi devono essere protetti con la stessa cura dei sistemi critici.
- Gli agenti di AI sono ormai essenziali: le identità non umane devono essere gestite e verificate continuamente.
- Eliminare i silos e rendere l’apprendimento continuo e il testing pratiche fondamentali.
La leadership digitale apparterrà a chi saprà combinare profondità tecnica e visione strategica, trasformando la sicurezza da funzione reattiva a motore di resilienza, fiducia e crescita.
