Un dispositivo elettronico collegato via USB alla workstation del comandante di una nave. Creato appositamente per iniettare comandi tramite driver di tastiere generiche, capace di eludere i sistemi di detection a bordo. Attribuito a soggetti con possibili legami con strutture terroristiche, oggi al vaglio delle forze di polizia. È uno dei casi operativi documentati nel Y-Report 2026, la nona edizione del rapporto annuale di Yarix, il centro di competenza per la cybersecurity di Var Group.
Ma il caso navale è solo la punta di un iceberg molto più vasto. Cinquecentoventiduemila eventi di sicurezza gestiti in dodici mesi. Oltre 7.100 attacchi ransomware mappati a livello globale, in crescita del 51%. Più di 1,2 miliardi di credenziali rubate da malware infostealer. E 58.800 carte di credito italiane finite nei mercati underground. Il documento – costruito sui dati raccolti dal Security Operations Center (SOC), dal team di Incident Response, dall’unità di Cyber Threat Intelligence e dal Red Team di Yarix – non è una semplice raccolta statistica. È la fotografia di un ecosistema della minaccia che ha cambiato pelle: non cresciuto soltanto in volume, ma trasformato strutturalmente nei metodi, negli obiettivi e nei tempi di esecuzione.
“Il 2025 rappresenta un passaggio di maturità per il contesto cyber: non ci troviamo più soltanto di fronte a una crescita dei numeri, ma a un cambiamento profondo delle modalità con cui la minaccia si manifesta”, ha dichiarato Mirko Gatto, Head of Cybersecurity di Var Group. “Gli attacchi sono diventati più veloci, frammentati e capaci di adattarsi rapidamente, sostenuti da un ecosistema criminale ormai strutturato e dall’accesso sempre più diffuso a strumenti avanzati, compresi quelli basati sull’intelligenza artificiale. Nei prossimi anni diventerà sempre più evidente il passaggio da una cybersecurity semplicemente ‘dichiarata’ a una cybersecurity ‘dimostrabile’. Normative come la NIS2, insieme all’evoluzione del panorama delle minacce, spingeranno le organizzazioni verso modelli fondati su governance, tracciabilità, controlli costanti e reale capacità di risposta”.
522.486 eventi: l’8% in più, ma i critici volano del 62%
Il dato aggregato segna un incremento medio dell’8% rispetto al 2024, in linea con il trend degli anni precedenti. Ma è il dettaglio a raccontare la storia più importante: gli eventi classificati come critici sono cresciuti del 62% su base annua. Una forbice che non si spiega semplicemente con un aumento del volume di attività malevola, ma con un salto qualitativo nelle capacità offensive.
Di questi 522.486 eventi, 158.316 si sono evoluti in incidenti di sicurezza veri e propri – circa il 30% del totale – suddivisi per gravità in tre fasce: Medium (110.795), High (46.780) e Critical (741). Per gli eventi critici, alle attività di analisi si sono affiancate operazioni di Emergency Response condotte dal team YIR (Yarix Incident Response), con l’obiettivo di identificare l’origine dell’attacco, valutare i danni collaterali e rilevare eventuali attività persistenti.
I settori più colpiti nell’analisi SOC sono stati il Manufacturing (17,9%) e l’IT (8,3%). Nel primo caso, la vulnerabilità strutturale deriva dalla presenza di sistemi obsoleti legati alla componente produttiva e da infrastrutture distribuite con modelli di governance limitati. Nel settore IT, a pesare sono la sensibilità dei dati trattati e l’elevata superficie di attacco generata dall’alto numero di servizi esposti.
Incident Response: 176 major incident, e l’AI entra nei processi di risposta
Il team di Incident Response di Yarix ha gestito nel 2025 176 major incident, con un aumento del 20,55% rispetto all’anno precedente. In molti casi, la risoluzione ha richiesto lo sviluppo di metodologie personalizzate nelle fasi più critiche – containment ed eradication – in assenza di documentazione tecnica specifica sulle varianti di malware incontrate.
Il dato più rilevante non è però numerico, ma concettuale: nel 2025 l’Incident Response ha smesso definitivamente di essere un’attività puramente reattiva per diventare un processo continuativo integrato nella strategia di resilienza aziendale. I concetti di Mean Time To Detect (MTTD) e Mean Time To Respond (MTTR) sono diventati KPI di business, non solo metriche tecniche.
L’intelligenza artificiale ha avuto un ruolo concreto in questo passaggio: ha contribuito a migliorare la correlazione degli eventi, a ridurre i falsi positivi e ad accelerare la raccolta degli artefatti necessari alla ricostruzione degli attacchi. Non ha sostituito l’analista, ma ha reso il processo più efficiente in un contesto dove il tempo di reazione è un fattore critico.
Sul fronte dei Threat Actor identificati, il quadro conferma la centralità dell’ecosistema ransomware: Akira si conferma il gruppo più ricorrente (9 casi gestiti direttamente dal team YIR), seguito da RansomHub (5 casi) e LockBit Black (2 casi). La quota più ampia degli attacchi – classificati come UNKNOWN (97 casi) – corrisponde a intrusioni intercettate e bloccate nelle fasi preliminari della kill chain, prima che raggiungessero un livello di maturità sufficiente per consentire un’attribuzione affidabile.
I vettori di ingresso: servizi esposti e phishing AiTM al centro
L’analisi dei punti di accesso iniziale nei 176 major incident gestiti restituisce un quadro chiaro su dove si gioca la partita. Il vettore principale è l’exploit di servizi pubblici esposti (32 casi), seguito dagli accessi tramite SSL VPN con modalità non determinata (22 casi) e dalle campagne di phishing AiTM (Adversary-in-the-Middle, 20 casi) – tecniche progettate per intercettare credenziali e token di sessione anche in presenza di autenticazione multifattore.
In 17 casi il punto di ingresso è rimasto non determinato, indicando probabili lacune nel logging o nella visibilità forense. I restanti vettori – exploit su firewall (13 casi), infezioni da malware lato client (9 casi), phishing tradizionale senza bypass MFA (6 casi) – completano un quadro in cui prevalgono nettamente i vettori legati a servizi esposti e credenziali compromesse.
Il caso dello spionaggio navale
Tra i casi gestiti nel 2025, il report dedica un approfondimento a un episodio di particolare rilevanza emerso dalla collaborazione tra il team di Incident Response e quello di Digital Forensics: un attacco mirato al settore navale, attribuito a soggetti con possibili legami con strutture terroristiche, attualmente al vaglio delle forze di polizia.
L’allarme è scattato dal SOC a seguito del rilevamento di comandi PowerShell anomali su un endpoint a bordo nave – la workstation del comandante – con pattern difformi dalle campagne malevole attive nello stesso periodo. L’indagine on-site ha portato alla scoperta di un dispositivo hardware collegato fisicamente via USB, creato appositamente per l’attacco e capace di iniettare comandi tramite driver di tastiere generiche, eludendo i sistemi di detection presenti sull’imbarcazione. Successive analisi di reverse engineering hanno rivelato la presenza di dispositivi analoghi in diversi punti strategici europei. L’attacco è stato sventato in coordinamento con le autorità competenti, senza impatti operativi per il cliente.
Il malware del 2025: modulare, fileless, assistito dall’AI
La sezione dedicata all’evoluzione del malware descrive uno scenario in cui la sofisticazione tecnica degli attaccanti ha fatto un salto significativo. Il malware del 2025 è prevalentemente modulare e fileless: gli attaccanti evitano payload monolitici in favore di loader e dropper leggeri che scaricano moduli su richiesta, riducendo drasticamente la superficie di rilevamento.
L’uso dell’intelligenza artificiale da parte degli attori malevoli non è più una prospettiva futura: il report documenta che buona parte del codice malevolo osservato nel 2025 è stato scritto e offuscato con il supporto di AI. Le campagne ransomware continuano a operare secondo il modello Ransomware-as-a-Service (RaaS), con affiliati plurimandatari che rendono più difficile l’attribuzione.
Le tecniche Living-off-the-Land (LotL) – l’abuso di strumenti legittimi come PowerShell o WMI per attività malevole – restano centrali. Paradossalmente, nonostante questa sofisticazione crescente, il report segnala che rimane frequentissimo l’utilizzo di strumenti storicamente noti come Mimikatz, Lazagne e PingCastle, non appena i controlli di sicurezza dell’ambiente compromesso vengono disattivati.
1,2 miliardi di credenziali rubate: l’economia degli infostealer
Sul fronte degli infostealer, il 2025 ha registrato un’ulteriore escalation difficile da sintetizzare: il team YCTI ha identificato oltre 1,2 miliardi di credenziali compromesse (+35,3% rispetto al 2024), esfiltrate da oltre 6,9 milioni di sistemi. In Italia, il malware più diffuso è stato LummaC2 (60,1% delle infezioni), seguito da RedLine (30,8%) e Vidar (7,2%).
La ricaduta pratica è immediata: sono stati identificati oltre 21.900 punti di accesso relativi a portali VPN aziendali critici, per un totale di oltre 506.000 credenziali associate. Di questi, oltre 280 punti di accesso riguardano portali di aziende italiane, per circa 2.200 credenziali. I portali più esposti per tipologia sono quelli Citrix (30,5%), F5 (26,6%) e Ivanti (17,38%).
Per quanto riguarda la distribuzione geografica delle vittime, sul podio globale troviamo India (oltre 43 milioni di credenziali), Brasile (42,2 milioni) e Stati Uniti (24 milioni). L’Italia si posiziona al 19° posto mondiale – sei posizioni sopra rispetto al 2024 – con oltre 8,1 milioni di credenziali e 29.000 dispositivi infetti, al terzo posto in Europa dopo Spagna (12,6 milioni) e Francia (9,9 milioni).
Carte di credito e IBAN: il mercato underground degli italiani
Il team YCTI ha condotto nel 2025 un monitoraggio sistematico dei mercati underground e dei gruppi Telegram privati dedicati alla compravendita di dati finanziari. I numeri per l’Italia sono tutt’altro che confortanti.
Sul fronte delle carte di credito, sono state raccolte e validate oltre 5,5 milioni di carte compromesse a livello globale, per una media di 15.300 carte al giorno. Le carte collegate a enti bancari italiani ammontano a oltre 58.800 unità – 167 al giorno – che posizionano l’Italia al 12° posto mondiale e al 4° posto in Europa, dopo Regno Unito (178.300), Francia (62.200) e Spagna (59.800). Tra gli istituti più colpiti a livello nazionale figurano PostePay Spa (33,5%), Nexi Payments (12,46%), Unicredit (10,68%) e Intesa SanPaolo (10,25%).
Sul fronte degli IBAN, il monitoraggio ha raccolto 37.184 codici univoci, di cui 5.483 italiani – secondi in Europa dopo la Spagna (9.327) e davanti alla Germania (4.289). Tra gli istituti coinvolti: Intesa SanPaolo, Unicredit, Postepay, Banco BPM e BPER Banca.
L’infrastruttura del crimine: server C2 tra Amazon, Alibaba e un provider tedesco sorprendente
Il team di Threat Hunting di Yarix ha monitorato nel 2025 le infrastrutture di Command & Control (C2) utilizzate dai threat actor per coordinare le operazioni. Il framework C2 più diffuso per numero di server esposti è risultato Sliver (13,37%), seguito da Cobalt Strike (10,62%), Mythic (8,43%), Async RAT (8,25%) e Hak5 (6,97%).
Nella classifica dei provider che ospitano server C2 malevoli, il podio è occupato da Amazon.com (7,45%), Hangzhou Alibaba Advertising (6,88%) e DigitalOcean (5,44%) – una conferma della tendenza degli attaccanti a nascondersi nel traffico legittimo dei grandi cloud provider. Ma il dato più anomalo riguarda GHOSTnet GmbH, un hosting provider tedesco relativamente poco noto che da solo contribuisce al 4,25% dei server C2 rilevati, posizionandosi in classifica accanto a giganti come Tencent, Huawei Cloud e Microsoft. Una concentrazione che si riflette anche nella geografia: la Germania risulta il terzo Paese per numero di server C2 ospitati (10,40%), dopo Stati Uniti (21,98%) e Cina (20,67%).
Threat Hunting: un threat actor cinese intercettato, senza impatti
Il report documenta un caso di threat hunting di particolare rilevanza operativa. Durante un’attività di hunting mirata su tecniche di lateral movement, il team Yarix ha identificato un’operatività riconducibile a un threat actor di matrice cinese, caratterizzata da elevata sofisticazione tecnica e capacità di evasione degli strumenti di sicurezza tradizionali.
L’attore aveva impiegato tecniche avanzate per sfruttare servizi custom pubblicati, con utilizzo selettivo di componenti legittimi del sistema per ridurre al minimo la superficie di rilevazione – una firma tipica degli attori APT (Advanced Persistent Threat). L’individuazione è stata possibile esclusivamente grazie a correlazioni comportamentali avanzate e all’analisi di deviazioni minime rispetto alle baseline storiche: segnali deboli, ma sufficienti per chi sa dove cercare. L’evento ha portato all’attivazione immediata delle procedure di contenimento e a un incremento specifico del monitoraggio su vettori di attacco ad alta complessità tecnica. Il tutto senza alcun impatto operativo o di business per il cliente.
Ransomware globale: +51%, 124 gruppi attivi, e l’Italia esce dalla Top 5
Il capitolo dedicato alla Cyber Threat Intelligence offre la prospettiva più ampia sul panorama ransomware. Nel 2025 il team YCTI ha mappato e analizzato 7.133 eventi attribuibili a 124 gruppi ransomware – contro i 4.721 eventi e 92 gruppi del 2024 – registrando un incremento del 51% negli attacchi e del 35% nel numero di gruppi attivi.
La struttura del mercato criminale rivela una tendenza alla polarizzazione: circa 70 nuovi gruppi sono comparsi nel corso dell’anno, ma la maggior parte si posiziona nelle ultime posizioni per numero di vittime. Nella Top 10 – che da sola concentra il 56% degli attacchi globali – la graduatoria è guidata da: Qilin (13,44%), con una crescita del 470% rispetto al 2024; Akira (10,46%), con una crescita media annua del 218% dalla sua fondazione nel 2023; Cl0p (7,08%), protagonista di due campagne su larga scala sfruttando vulnerabilità zero-day; INC Ransom (5,06%); SafePay (4,82%).
Sul fronte geografico, gli Stati Uniti restano il bersaglio preferito (52,19% degli attacchi globali), seguiti da Canada (5,55%), Germania (3,80%), Regno Unito (3,41%), Francia (2,47%) e Italia (2,27%). Il posizionamento italiano al sesto posto segna un’uscita dalla Top 5, dove il Paese si trovava nel 2024 al quarto posto.
L’Italia nel mirino: PMI e Nord Italia più esposti
All’interno del contesto italiano, l’analisi per settore vede il Manufacturing al primo posto (23%), seguito da Consulting (17%), IT (12%), Retail (11%) e Technical Services (6%). La distribuzione per dimensione aziendale mostra che il 66,7% delle vittime italiane sono piccole imprese (11-100 dipendenti), una percentuale superiore di 10 punti rispetto alla media globale del 57,7%.
La distribuzione geografica interna è fortemente concentrata: Lombardia (36,25%), Emilia-Romagna (12,50%) e Lazio (10,60%) raccolgono quasi il 60% degli attacchi, riflettendo la densità del tessuto produttivo e imprenditoriale di queste regioni. Seguono Veneto (10%) e Piemonte (7,5%).
Il caso Cl0p: zero-day su Cleo e Oracle come arma di attacco di massa
Il report dedica un approfondimento specifico alle campagne del gruppo Cl0p, che nel 2025 ha coinvolto oltre 500 organizzazioni in due ondate principali, rappresentando complessivamente il 98,42% delle vittime attribuite al gruppo nell’anno.
La prima – e più impattante – ha sfruttato una vulnerabilità zero-day nel software di file transfer Cleo Lexicom (CVE-2024-50623, CVSS 9.8), che consentiva upload e download di file senza autenticazione e l’esecuzione remota di codice. Questo vettore ha generato oltre 380 rivendicazioni pubblicate a metà gennaio 2025, concentrate prevalentemente negli Stati Uniti (77,66%) e in Canada (10,65%), con Manufacturing (25,71%) e Retail (25,45%) come settori più colpiti.
La seconda campagna ha sfruttato una vulnerabilità zero-day nell’Oracle E-Business Suite (CVE-2025-61882, CVSS 9.8), che ha permesso agli attaccanti di prendere il controllo del componente Oracle Concurrent Processing e accedere ai dati interni senza autenticazione. La campagna avrebbe avuto origine già ad agosto 2025, mantenendosi silenziosa fino a fine ottobre – una testimonianza della capacità di Cl0p di operare a lungo senza essere rilevato. Il 66,38% delle organizzazioni colpite in questa seconda ondata erano aziende enterprise, a differenza della campagna Cleo dove prevalevano le PMI.
Un ulteriore elemento di interesse: il collettivo Scattered LAPSUS$ Hunters avrebbe dichiarato di aver condiviso l’exploit usato da Cl0p nel proprio canale Telegram a inizio novembre, sollevando interrogativi su possibili collaborazioni tra i due gruppi o su un mercato secondario degli exploit zero-day.
Hacktivism: l’Italia bersaglio geopolitico, NoName057(16) in testa
Il 2025 ha confermato la dimensione geopolitica della minaccia cyber contro obiettivi italiani. Il team YCTI ha monitorato campagne sistematiche di DoS/DDoS e web defacement, con un andamento “a ondate” strettamente correlato agli eventi internazionali.
Il collettivo dominante è stato NoName057(16), responsabile del 72,1% di tutti gli eventi hacktivisti contro l’Italia, seguito a grande distanza da Server Killers (5,6%), Alixsec (4,8%) e Mr Hamza (3,1%). In termini di allineamento geopolitico, la netta prevalenza spetta agli attori filorussi (83% del totale), con attori filo-palestinesi e filo-arabi come componente secondaria.
Il picco principale si è registrato tra giugno e luglio (oltre il 27% degli attacchi annui), in coincidenza con il vertice NATO dell’Aja – dove gli alleati si sono impegnati a investire in difesa fino al 5% del PIL entro il 2035 – e con la Conferenza sulla Ripresa dell’Ucraina ospitata a Roma il 10 e 11 luglio. Entrambi gli eventi hanno fornito materiale narrativo ai collettivi filorussi per giustificare azioni dimostrative contro obiettivi italiani.
Il secondo picco, tra settembre e ottobre (23,5%), è stato alimentato dall’anniversario del 7 ottobre e dalle campagne in solidarietà con la causa palestinese: tra i bersagli colpiti, le università La Sapienza di Roma e l’Alma Mater Studiorum di Bologna, in concomitanza con proteste studentesche già in corso nelle stesse città. Un elemento narrativo ricorrente nelle rivendicazioni di questo periodo è stato quello della Sumud Flotilla, citata come simbolo di resistenza e come elemento propagandistico per amplificare il messaggio politico delle azioni cyber.
Un caso di particolare rilevanza riguarda l’Operazione Eastwood, la risposta internazionale coordinata da Europol ed Eurojust contro l’infrastruttura di NoName057(16), svoltasi tra il 14 e il 17 luglio 2025 con il coinvolgimento della Polizia Postale italiana e del CNAIPIC. Piuttosto che frenare il collettivo, l’operazione è stata trasformata in materiale di propaganda e in una giustificazione per il rilancio: dopo una breve pausa, l’attività è ripresa con toni di sfida, inserendo obiettivi italiani nelle liste diffuse dal gruppo.
Red Team: spear phishing in crescita, vulnerabilità critiche al 3%
Il Red Team di Yarix fornisce ogni anno una prospettiva offensiva sullo stato di salute delle organizzazioni italiane. Nel 2025, le campagne di spear phishing mostrano un trend preoccupante su un campione medio di 350 dipendenti: il 45% apre la mail di phishing (era il 32,5% nel 2024: +12,5 punti), il 28% interagisce con link o pulsanti contenuti nel messaggio (era il 24,6%), il 17% inserisce credenziali valide nel form-trappola (era il 19,6% – un miglioramento, ma marginale) e solo l’11% segnala correttamente la mail come malevola (in leggera crescita rispetto al 7,3%)
Sul fronte dei Vulnerability Assessment, l’analisi di circa 20.000 target ha identificato oltre 47.000 vulnerabilità, di cui 985 classificate come “Urgenti” secondo la metodologia proprietaria Yarix – che integra gravità tecnica, probabilità di sfruttamento e pattern osservati nei threat actor reali. In un perimetro medio di 800 IP, le vulnerabilità urgenti rappresentano il 3% del totale ma interessano l’8% del perimetro, con una media di circa 5 vulnerabilità per IP analizzato, almeno 10 credenziali deboli, 19 componenti fuori supporto e 4 share di rete liberamente accessibili.
La YRT Top 10 2025 – la classifica delle bad practice più ricorrenti – vede al primo posto la gestione non conforme di informazioni confidenziali (con particolare incidenza dell’uso improprio della casella mail come archivio di documenti sensibili), seguita dalle bad practice di sicurezza da parte dei fornitori e dalla copertura parziale dei sistemi di protezione. Due nuove voci entrano nella lista rispetto al 2024: la mancanza di un processo continuativo di tuning e verifica (Purple Team) e lo scarso controllo della superficie di attacco esposta.
NIS2 e compliance: l’analisi è fatta, ma la governance latita
La sezione dedicata alla Security Advisory, Strategy & Governance offre una radiografia dello stato di avanzamento delle organizzazioni italiane nell’adeguamento alla Direttiva NIS2. Il campione analizzato è composto per l’89% da soggetti classificati come “importanti” – PMI e mid-market – con Manufacturing come settore prevalente.
Il dato più significativo è la distanza tra chi ha completato l’assessment iniziale (84% delle organizzazioni) e chi ha tradotto quell’analisi in governance formalizzata, processi documentati e capacità operative reali. La maggior parte delle aziende sa cosa manca; molto meno hanno costruito le strutture per colmarlo.
Le criticità principali identificate sono tre: la visione ancora IT-centrica della cybersecurity (con il management lontano dalle decisioni strategiche), la mancanza di pianificazione finanziaria strutturata (con investimenti reattivi piuttosto che programmati), e l’assenza di evidenze documentali verificabili – prerequisito indispensabile per dimostrare la conformità in caso di audit o ispezione ACN.
Il 2025 – con la pubblicazione delle Determinazioni ACN che hanno tradotto la NIS2 da cornice normativa a obblighi operativi concreti – ha segnato il passaggio dalla fase interpretativa a quella esecutiva. Le scadenze sono serrate: da gennaio 2026 è operativo l’obbligo di notifica degli incidenti significativi al CSIRT Italia; entro ottobre 2026 i soggetti essenziali e importanti dovranno dimostrare l’adozione delle misure di sicurezza di base. Le sanzioni per inadempienza possono arrivare fino a 10 milioni di euro o al 2% del fatturato.
La conclusione è netta: il 2025 è stato l’anno dell’analisi e della strutturazione; il 2026 dovrà essere l’anno della dimostrabilità. Il vero fattore distintivo non sarà più l’adozione delle misure, ma la capacità di provarne l’efficacia nel tempo.
Il nuovo perimetro industriale: CRA e Regolamento Macchine cambiano le regole del gioco
L’appendice del report affronta un tema destinato a dominare l’agenda della sicurezza industriale italiana nei prossimi due anni: la convergenza tra NIS2, Cyber Resilience Act (CRA, Regolamento UE 2024/2847) e Regolamento Macchine 2023/1230.
Il CRA – in vigore dall’11 dicembre 2024, pienamente applicabile dall’11 dicembre 2027 – introduce per la prima volta requisiti di cybersecurity obbligatori per tutti i prodotti con elementi digitali venduti nel mercato europeo: dagli elettrodomestici connessi ai PLC industriali, dalle applicazioni mobile ai router. I produttori dovranno documentare una valutazione del rischio cyber, mantenere attivo un processo di gestione delle vulnerabilità per almeno cinque anni e segnalare le vulnerabilità attivamente sfruttate. Le sanzioni possono raggiungere i 15 milioni di euro o il 2,5% del fatturato mondiale.
Il Regolamento Macchine 2023/1230, applicabile dal 20 gennaio 2027, va oltre: inserisce la cybersecurity tra i Requisiti Essenziali di Sicurezza e Salute (RESS) necessari per la marcatura CE. In altre parole, un attacco informatico che compromette una funzione di sicurezza di una macchina diventa un problema di safety, con il fabbricante direttamente responsabile.
Per il tessuto manifatturiero italiano – fatto di PMI, OEM e system integrator – la convergenza di questi tre framework crea una sovrapposizione di ruoli senza precedenti. La stessa azienda può trovarsi contemporaneamente soggetto NIS2, fabbricante ai sensi del CRA, costruttore di macchine soggetto al nuovo regolamento e fornitore critico nella supply chain di altri soggetti NIS2. Un nodo che richiede un approccio integrato, pena inefficienze e duplicazioni costose.
Il quadro generale: dalla cybersecurity dichiarata a quella dimostrabile
Nella sua parte conclusiva, il Y-Report 2026 delinea le tendenze strutturali che caratterizzeranno il panorama della sicurezza nei prossimi anni. Tre assi di trasformazione emergono con chiarezza.
Il primo è l’estensione della superficie di attacco: ambienti ibridi e multi-cloud, dispositivi edge, infrastrutture OT, filiere digitali, piattaforme AI-native e prodotti connessi renderanno il perimetro sempre meno definibile in termini statici.
Il secondo è la crescente automazione dell’offensiva: campagne più rapide, adattive e scalabili, supportate da broker di accesso iniziale, ecosistemi di data leak e strumenti offensivi sempre più accessibili a una platea allargata di attori.
Il terzo – forse il più rilevante sul piano strategico – è la fusione tra rischio cyber, rischio operativo e rischio normativo: ciò che fino a pochi anni fa veniva gestito come tema tecnico oggi incide direttamente su continuità, reputazione, responsabilità del management e capacità competitiva.
In questo scenario, la risposta non può più essere solo tecnica. “Il vero discrimine nei prossimi anni non sarà tra chi ha subito o meno un attacco”, conclude il report, “ma tra chi avrà sviluppato la capacità di governare l’incertezza e chi continuerà a rincorrerla.” Una distinzione che suona meno come profezia e più come constatazione, per chi lavora ogni giorno con i dati.
