Il Debrief del panorama delle minacce: Lezioni dal 2025 e segnali per il 2026

Guarda più da vicino i rischi che si nascondono in piena vista

Per molte organizzazioni, gran parte della conversazione sulla cybersicurezza continua a concentrarsi su ciò che verrà dopo: Attacchi guidati dall’intelligenza artificiale, nuove classi di malware, disruption quantistica e l’ipotesi che le minacce di ieri siano già sotto controllo.

Ma se si guarda più da vicino a come si sono svolti gli incidenti reali nell’ultimo anno, emerge un quadro più istruttivo, che sta delineando il panorama delle minacce che le organizzazioni devono affrontare in questo momento. In molti casi, a ben guardare, non è stata la tecnologia a fallire, ma il comportamento umano sotto pressione.

Le violazioni più dannose non sono state causate da percorsi di attacco nuovi o futuristici. Sono nate da punti deboli già noti, che erano già stati documentati, patchati o sfruttati in precedenza, ma che sono rimasti presenti negli ambienti in cui si opera. . Uso improprio dell’identità. Ritardi nelle patch. Ingegneria sociale che si integrava perfettamente nei flussi di lavoro quotidiani. Lacune operative che persistevano nonostante dashboard rassicuranti, metriche di conformità e stack tecnologici apparentemente maturi.

Questo debrief taglia le speculazioni e si concentra sulle prove. I comportamenti, i modelli di attacco e i rischi trascurati che hanno caratterizzato le recenti violazioni e che continuano a influenzare il modo in cui gli aggressori operano nel 2026.

Le minacce in sé non sono nuove. Il rischio sta nel fatto che spesso vengono sottovalutate e che le organizzazioni sono impreparate quando vengono sfruttate.

Cosa è successo realmente l’anno scorso

1. Le vulnerabilità sono state sfruttate più velocemente di quanto le organizzazioni potessero rispondere

La velocità di sfruttamento ha subito un’ulteriore accelerazione nel 2025. In molti casi ad alta gravità, il codice proof-of-concept e lo sfruttamento attivo sono apparsi a poche ore dalla divulgazione, non a giorni o settimane; come si è visto in incidenti ampiamente riportati che hanno interessato piattaforme VPN e firewall come Ivanti Connect Secure e Palo Alto PAN-OSper citarne alcuni.

In molti casi, gli aggressori hanno agito sulla base delle vulnerabilità appena divulgate a poche ore dalla pubblicazione degli avvisi pubblici.. Sebbene gli zero-day abbiano fatto notizia, una percentuale significativa di intrusioni riuscite si è basata su vulnerabilità più vecchie e ben documentate che le organizzazioni ritenevano essere rischi già “noti”.

I servizi remoti come VPN, firewall, hypervisor e identity provider sono rimasti gli obiettivi più interessanti grazie al loro accesso diretto agli ambienti interni.

Per molte organizzazioni il problema non era la complessità delle vulnerabilità, ma il divario operativo tra il sapere dell’esistenza di una patch e la capacità di applicarla in modo rapido e sicuro.

Perché è importante:

“Patchare più velocemente” sembra semplice, ma l’anno scorso ha dimostrato che lo sfruttamento supera abitualmente i cicli di patch tradizionali. Senza un’accurata visibilità degli asset, una prioritizzazione basata sul rischio e una capacità operativa, le vulnerabilità note continuano a fornire punti di accesso affidabili.

2. Il ransomware non è diminuito, ha cambiato forma in modo silenzioso

Le previsioni sul declino del ransomware non si sono avverate. Al contrario, il ransomware si è evoluto.

Il Rapporto ENISA sul panorama delle minacce mostra che l’attività del ransomware è aumentata in frequenza e impatto nel corso del 2025, con un chiaro spostamento verso l’esfiltrazione dei dati e l’estorsione senza crittografia. Tuttavia, molte campagne non iniziano più con eventi di crittografia eclatanti e dirompenti. Al contrario, gli aggressori si sono concentrati prima sul furto di dati, sulla ricognizione e sulla raccolta di credenziali.

La crittografia è diventata facoltativa. In molti casi, è stata saltata del tutto. La sola minaccia di divulgazione dei dati si è dimostrata sufficiente a forzare le trattative, anche quando i backup erano intatti.

L’accesso iniziale è stato spesso ottenuto attraverso una combinazione di sfruttamento della vulnerabilità e di credenziali rubate, piuttosto che attraverso la sola distribuzione di malware.

Perché è importante:

I backup non sono più una rete di sicurezza sufficiente. La difesa contro il ransomware deve ora coprire l’intero ciclo di vita dell’intrusione, dall’accesso iniziale al movimento laterale fino all’esfiltrazione dei dati.

3. L’ingegneria sociale è diventata consapevole del contesto e più difficile da vedere

Il cambiamento più significativo nell’ingegneria sociale durante il 2025 non è stato il volume, ma l’accuratezza.

Gli aggressori hanno utilizzato sempre più spesso esche altamente contestuali che rispecchiavano i flussi di lavoro interni, le comunicazioni con i fornitori, le richieste di approvazione e gli avvisi di sistema. Gli strumenti assistiti dall’intelligenza artificiale hanno permesso di variare rapidamente il linguaggio, la formattazione e il branding, aiutando i tentativi di phishing a eludere i controlli di rilevamento statico.

Molti utenti non rispondevano a e-mail palesemente sospette. Reagivano a messaggi che sembravano e sembrano comunicazioni operative di routine.

L’uso diffuso di strumenti di accesso remoto, VPN e modelli di lavoro ibridi ha creato ulteriori punti di pressione, in particolare per quanto riguarda gli account amministrativi e privilegiati.

Perché è importante:

La formazione di sensibilizzazione basata su esempi di phishing obsoleti non rispecchia più la realtà. Quando l’inganno sembra autentico, il rischio si sposta dalle lacune di conoscenza al processo decisionale sotto pressione.

4. L’identità è diventata la principale superficie di attacco

Una delle lezioni più chiare dello scorso anno è stato il ruolo centrale degli attacchi basati sull’identità.

L’abuso di credenziali, la diffusione di password, il dirottamento di sessioni, il furto di token e l’affaticamento dell’MFA sono stati fattori ricorrenti nelle violazioni in diversi settori. Le minacce basate sull’identità sono aumentate sensibilmente dal 2023, rappresentando 59% di tutti gli incidenti confermati entro l’inizio del 2025. Ciò rappresenta un aumento del 156% degli attacchi basati sull’identità in un periodo di due anni.

In molti ambienti, gli spostamenti laterali sono rimasti sorprendentemente facili a causa della segmentazione limitata e della debole governance degli accessi.

Perché è importante:

L’identità ha superato gli endpoint come punto di accesso più affidabile. Il privilegio minimo (limitare gli utenti e i sistemi solo all’accesso di cui hanno realmente bisogno), insieme a una forte governance degli accessi e all’MFA resistente al phishing, è ora un controllo di sicurezza fondamentale piuttosto che un miglioramento opzionale.

5. Le maggiori interruzioni sono arrivate da fallimenti familiari

Molti degli incidenti più gravi verificatisi nel 2025 sono riconducibili a carenze operative già note, tra cui interfacce di gestione esposte, asset cloud mal configurati, sistemi a fine vita, scarsa separazione tra ambienti critici e non critici e singoli punti di guasto all’interno di servizi di terze parti.

Non si trattava di attacchi avanzati. Si trattava di fallimenti evitabili che persistevano dietro a presupposti di maturità e controllo.

Perché è importante:

Gli strumenti avanzati non possono compensare la debolezza delle basi operative. La differenza tra un incidente contenuto e un evento da prima pagina spesso si riduce a elementi di base che si pensava fossero già “fatti”.

Le principali vulnerabilità ed esposizioni comuni sfruttate (CVE)

Tra i vari report globali, sono emersi diversi modelli:

1. Gli sfruttamenti si concentrano in modo massiccio sui sistemi rivolti al pubblico

Le appliance VPN, i dispositivi firewall, i gateway di posta elettronica e i provider di identità cloud hanno continuato a essere i bersagli principali.

2. Le vulnerabilità ampiamente conosciute erano ancora tra le più sfruttate

I CVE più vecchi con patch disponibili sono rimasti prevalenti a causa delle lunghe tempistiche di correzione, dei sistemi legacy o del rollout incompleto delle patch.

3. Gli attaccanti hanno sfruttato le opportunità di concatenazione

Piuttosto che affidarsi a una singola falla, gli attori delle minacce spesso combinano tra loro:

• Una vulnerabilità nota per l’esecuzione di codice remoto

• Una falla nell’escalation dei privilegi

• Una configurazione errata o una credenziale non protetta

Questo approccio concatenato ha permesso un rapido spostamento laterale dopo l’accesso iniziale.

4. I tempi di armamento si sono accelerati notevolmente

Diverse vulnerabilità critiche sono state sfruttate attivamente lo stesso giorno in cui sono stati pubblicati gli avvisi dei fornitori.

Cosa ci dice questo:

La minaccia non riguarda solo le nuove vulnerabilità, ma anche la visibilità, la definizione delle priorità e la velocità. Gli aggressori si concentrano sulla via d’accesso più facile, non su quella più sofisticata.

Tattiche, tecniche e procedure del ransomware

• L’attività dei ransomware è ripresa nel 2025: un’analisi stima un aumento del 34% circa degli incidenti ransomware confermati rispetto al 2024.

• Tuttavia, contrariamente ai vecchi modelli che si concentravano sulla pura crittografia dei file, molti aggressori ora privilegiano doppia estorsione: prima esfiltrare i dati, poi crittografarli o minacciare di farli trapelare.

• L’economia del ransomware sta cambiando. Secondo un sondaggio globale, il pagamento medio del riscatto in 2025 è rimasto alto (≈ US$1.0 M)ma solo una minoranza di organizzazioni ha pagato.
• Gli attori del ransomware combinano sempre più spesso lo sfruttamento di vulnerabilità (ad esempio, VPN/firewall non patchati) con il furto di credenziali o il phishing/social engineering per ottenere l’accesso iniziale.

Perché è importante:

Il passaggio a una tattica che privilegia l’esfiltrazione e la crittografia come elemento secondario significa che i difensori non possono fare affidamento solo sui backup dei file. Il rilevamento e la prevenzione devono ora coprire l’intero ciclo di vita dell’intrusione, dall’accesso all’esfiltrazione, e tenere il passo con gli attacchi guidati dagli exploit.

Evoluzioni dell’ingegneria sociale: Cosa ha sorpreso (e avuto successo)

• L’ingegneria sociale è rimasta un elemento centrale delle campagne ransomware e di violazione nel 2025. In particolare, il phishing come punto di accesso iniziale è aumentato significativamente.

• L’ascesa del phishing potenziato dall’AIGli aggressori utilizzano spesso strumenti automatizzati o assistiti dall’intelligenza artificiale per creare email di phishing convincenti e altamente personalizzate, in grado di eludere il rilevamento tradizionale.

• Di conseguenza, molte email di phishing ora utilizzano “polimorfe” che variano i nomi dei mittenti, i metadati, i soggetti e i loghi per eludere i filtri basati sulle firme ed evitare il rilevamento dei modelli.
• Il passaggio al lavoro ibrido, agli ambienti remoti e all’uso diffuso di software di accesso remoto (VPN, RDP, strumenti di remote-desktop) ha aumentato ulteriormente l’efficacia del furto di credenziali e delle tattiche di social-engineering.

Perché è importante:

La consapevolezza della sicurezza da sola non è più sufficiente. Poiché gli aggressori utilizzano l’intelligenza artificiale per scalare e personalizzare l’ingegneria sociale, le organizzazioni devono investire in difese stratificate (controlli tecnici, formazione umana e rilevamento delle anomalie), soprattutto per quanto riguarda l’accesso alle e-mail e alle identità.

Dove le previsioni sono state sbagliate e perché

Molte previsioni precedenti ipotizzavano che il ransomware avrebbe continuato a essere dominato da attacchi di crittografia ad alto impatto e che i cicli di patch avrebbero tenuto il passo. Questa visione è stata sottovalutata:

1. L’esplosione del volume delle vulnerabilità e la loro rapida armaturaNel 2025 è stato divulgato un numero di CVE molto superiore a quello previsto da molte previsioni e gli aggressori ne hanno sfruttato molte nel giro di poche ore.

1. Il passaggio a modelli di business a doppia estorsione/fuga di dati: La crittografia da sola sta perdendo valore quando gli obiettivi hanno dei buoni backup; il furto di dati e l’estorsione offrono una leva maggiore.

1. Il potere dell’ingegneria sociale + AILe previsioni che si concentrano esclusivamente sulle vulnerabilità tecniche non tengono conto dell’efficacia del phishing e degli attacchi basati su credenziali assistiti dall’intelligenza artificiale.

Ciò significa che i difensori e i modelli di rischio che si basavano principalmente sui cicli di patch, sulla resilienza dei backup o sulla mitigazione basata sulla crittografia devono essere rivalutati. La vera minaccia, soprattutto per molte organizzazioni, è ora più ampia: riguarda l’identità, l’accesso iniziale, l’esfiltrazione dei dati e l’ingegneria sociale.

Cosa indica il panorama delle minacce per il 2026

Se si osserva da vicino come si sono svolti i recenti attacchi, inizia a delinearsi uno schema. Gli aggressori non si sono affidati a tecniche futuristiche o a complessi zero-day. Nella maggior parte dei casi, hanno scelto la via più semplice e affidabile per entrare in un’organizzazione.

Spesso questo percorso coinvolgeva le persone.

Tra abusi di identità, ritardi nell’applicazione delle patch, intrusioni di ransomware e campagne di social engineering, il filo conduttore non era solo la tecnologia. Era il comportamento. Decisioni prese sotto pressione. Accessi che sono cresciuti nel tempo. Controlli che sembravano solidi sulla carta ma che non erano stati testati nella pratica.

L’identità continua a essere al centro di tutto questo. Le credenziali vengono condivise, riutilizzate, approvate troppo velocemente o esposte attraverso il phishing. Anche gli ambienti ben configurati diventano vulnerabili quando i comportamenti quotidiani creano aperture involontarie.

Anche la velocità di exploit sta imponendo un cambiamento di mentalità. I cicli di patch tradizionali e i controlli basati su policy possono faticare a tenere il passo quando gli aggressori agiscono nel giro di poche ore. Il divario tra il sapere e il fare è il punto di partenza del rischio.

Il ransomware ha seguito la stessa traiettoria. L’esposizione dei dati e l’estorsione ora si affiancano alla crittografia come tattiche principali. Prevenire l’impatto significa capire non solo dove i sistemi sono vulnerabili, ma anche dove le persone e i processi possono introdurre il rischio.

Anche i programmi di sensibilizzazione devono evolversi. Il phishing moderno non ha un aspetto palesemente sospetto. Ha un aspetto di routine. Rispecchia fornitori, colleghi, notifiche di sistema e richieste interne. Riconoscere questo tipo di inganno richiede più di una formazione di base. Richiede capacità di giudizio.

Ciò che il 2025 ha chiarito è che la forza operativa non dipende solo dagli strumenti. Dipende dalla visibilità del comportamento reale, dall’esposizione reale e dalla prontezza reale.

Nel 2026, le organizzazioni che comprenderanno il rischio umano con la stessa chiarezza del rischio tecnico saranno in una posizione molto più forte per prevenire le interruzioni e rispondere con sicurezza.

Lavorare con MetaCompliance

MetaCompliance aiuta le organizzazioni ad analizzare più da vicino i rischi che spesso si nascondono sotto la superficie. Gli incidenti che caratterizzano il panorama odierno delle minacce raramente accadono perché i dipendenti non conoscono le regole. Succedono perché le organizzazioni si basano su ipotesi di comportamento, copertura e preparazione che non riflettono più il reale svolgimento degli attacchi.

Il nostro approccio si basa sulla trasformazione di queste ipotesi in prove. Grazie alla nostra piattaforma di Human Risk Management, i leader della sicurezza ottengono visibilità sui rischi reali, basandosi su comportamenti reali, modelli di impegno ed esposizione alle minacce moderne, piuttosto che su tassi di completamento o metriche statiche.

Invece di programmi di sensibilizzazione uguali per tutti, le organizzazioni possono offrire interventi mirati e personalizzati in base al profilo di rischio di ciascun utente. In questo modo la formazione concentra l’attenzione dove è più importante, invece di distribuire gli sforzi in modo uniforme tra utenti a basso rischio e ad alto rischio.

I nostri corsi di formazione basati su scenari riflettono l’aspetto reale dell’inganno oggi, dal phishing contestuale all’impersonificazione del fornitore, fino ai tentativi di intrusione basati sull’identità. Questi momenti di apprendimento brevi e mirati sono progettati per affinare la capacità di giudizio in condizioni realistiche, aiutando i dipendenti a riconoscere i rischi quando sono sottili, familiari e facili da ignorare.

Le simulazioni di phishing si evolvono continuamente all’interno della piattaforma, rispecchiando le tattiche, il linguaggio e il contesto utilizzati dagli aggressori nelle campagne reali. In questo modo le organizzazioni vanno oltre il semplice test di accettazione o fallimento e si orientano verso un cambiamento di comportamento sostenuto che riduce l’esposizione nel tempo.

La gestione delle politiche e della conformità è completamente integrata e offre alle organizzazioni una visione più chiara di come si intersecano governance, comportamento e rischio. I report evidenziano le tendenze emergenti e le debolezze nascoste, consentendo ai leader di dare priorità alle azioni basate sull’evidenza piuttosto che sulla rassicurazione.

Mentre il divario tra la fiducia nella sicurezza e la realtà delle violazioni continua ad aumentare, MetaCompliance aiuta le organizzazioni a colmarlo concentrandosi sulle decisioni umane e sui controlli quotidiani che gli aggressori sfruttano più spesso. È tempo di guardare più da vicino dove il rischio vive davvero.