Cybersecurity nel 2026: l’AI cambia le regole e il tempo per difendersi da un attacco scende a 29 minuti.
Dal Global Threat Report di CrowdStrike alla lettura di Luca Nilo Livrieri: perché siamo entrati in una nuova fase della sicurezza digitale
C’è un dato che più di tutti fotografa il momento storico che stiamo vivendo nella cybersecurity: 29 minuti. È il tempo medio che oggi un’azienda ha a disposizione per fermare un attaccante prima che inizi a muoversi lateralmente nella rete, a scalare privilegi, a esfiltrare dati. Nel caso più estremo osservato nel 2025, quel tempo si è contratto a 27 secondi. Non è una provocazione, è un numero nero su bianco nel Global Threat Report 2026 di CrowdStrike.
Il report, pubblicato il 26 febbraio 2026, parla esplicitamente di una “AI arms race”, una corsa agli armamenti dell’intelligenza artificiale. E non è un’espressione giornalistica: è la constatazione che l’AI sta accelerando gli avversari e, contemporaneamente, sta diventando essa stessa una nuova superficie di attacco.
L’infografica ufficiale del report – Global Threat Report 2026 – riassume con immediatezza visiva questa trasformazione: aumento dell’89% degli attacchi condotti da avversari che utilizzano l’AI, +266% di intrusioni cloud-conscious da parte di attori legati a Stati, +42% di aumento dello sfruttamento di vulnerabilità zero-day prima della disclosure pubblica, 82% dei rilevamenti ormai privi di malware.
Non siamo davanti a un semplice incremento statistico. Siamo dentro un cambio di paradigma.
[Cybersecurity nel 2026: l’AI cambia le regole e il tempo per difendersi da un attacco scende a 29 minuti. Guarda e ascolta l’esclusiva video intervista con Luca Nilo Livrieri, Senior Director Sales Engineering Southern Europe di CrowdStrike. I dati dell’atteso Global Threat Report di CrowdStrike, le cose da sapere, capire e le regole per affrontare la sfida della scuriti come serve in questa fase]
Cybersecurity, l’AI non è solo uno strumento: è un acceleratore e un bersaglio
Nell’intervista rilasciata da Luca Nilo Livrieri, Senior Director Sales Engineering Southern Europe di CrowdStrike, emerge con chiarezza che non si tratta di una “normale evoluzione” delle minacce. È una nuova fase.
Gli attacchi AI-enabled sono cresciuti dell’89% anno su anno. Gli attaccanti usano modelli linguistici per automatizzare la ricognizione, ottimizzare la ricerca di documenti, generare script per il credential dumping, cancellare tracce forensi. Nel report si cita, ad esempio, l’utilizzo di malware abilitato da LLM da parte di gruppi come FANCY BEAR, capace di integrare prompt direttamente nel codice malevolo per velocizzare le operazioni di raccolta informazioni.
Ma la vera novità nello scenario della Cybersecurity è la doppia natura dell’AI: arma e bersaglio.
Oltre 90 organizzazioni hanno subito l’exploit dei propri strumenti di GenAI legittimi attraverso tecniche di prompt injection volte a generare comandi per il furto di credenziali e criptovalute. Nell’infografica si parla apertamente di “prompts are the new malware”.
Questo significa che il perimetro si è spostato. Non si attacca solo l’infrastruttura tradizionale: si attacca la capacità cognitiva aumentata dell’azienda. Si manipolano modelli, si sfruttano piattaforme di sviluppo AI vulnerabili, si pubblicano server AI malevoli che impersonano servizi affidabili per intercettare dati sensibili.
Per le organizzazioni che hanno abbracciato l’AI come leva di produttività, il messaggio è chiaro: ogni integrazione è anche una possibile esposizione.
Cybersecurity. 29 minuti prima che l’incendio divampi
Il concetto di breakout time è uno dei più rilevanti del report. Nel 2025 il tempo medio di breakout per l’eCrime è sceso a 29 minuti, con un’accelerazione del 65% rispetto al 2024. Il record assoluto osservato è stato di 27 secondi.
Livrieri utilizza una metafora efficace: è come un incendio in casa. Se non lo domi immediatamente, diventa incontrollabile. Con tempi così compressi, la risposta manuale non è più sostenibile. L’attaccante spesso entra già con credenziali valide, rubate in precedenza, e si muove sfruttando strumenti legittimi presenti nel sistema.
Il report documenta anche casi in cui l’esfiltrazione dei dati è iniziata entro quattro minuti dall’accesso iniziale. Nell’infografica viene citato il caso di CHATTY SPIDER, capace di ottenere accesso a dati sensibili e tentare l’esfiltrazione in quattro minuti.
Il tempo non è più una variabile neutra. È il campo di battaglia.
[Cybersecurity nel 2026: l’AI cambia le regole e il tempo per difendersi da un attacco scende a 29 minuti. Scarica qui l’attesissima nuova edizione del Global Threat Report di CrowdStrike, le cose da sapere, capire e le regole per affrontare la sfida della security come serve in questa fase]
Attacchi senza malware: il mimetismo perfetto nella Cybersecurity
Uno dei dati più inquietanti è l’82% di rilevamenti malware-free nel 2025, contro il 51% del 2020. Significa che la stragrande maggioranza delle intrusioni non utilizza codice malevolo tradizionale.
Gli attaccanti abusano di identità legittime, registrano dispositivi, aggirano policy di conditional access, sfruttano relazioni di fiducia tra fornitori. Si mescolano al traffico normale. Operano nel cloud, nelle SaaS, nelle infrastrutture edge.
Il 40% delle vulnerabilità sfruttate da attori legati alla Cina ha preso di mira dispositivi edge non adeguatamente monitorati. Le intrusioni cloud-conscious da parte di attori state-sponsored sono cresciute del 266%.
Se l’attacco utilizza account validi e strumenti amministrativi già presenti, distinguere l’utente reale dall’intruso diventa un esercizio di analisi comportamentale avanzata. È qui che l’automazione e l’intelligenza artificiale difensiva diventano non un’opzione, ma una necessità.
CrowdStrike espande la sovranità dei dati in Arabia Saudita, India ed Emirati Arabi Uniti
Geopolitica e cyber: la saldatura definitiva
Il report conferma che la dimensione geopolitica e quella cyber sono ormai inscindibili.
Le attività legate alla Cina sono aumentate del 38% nel 2025, con un incremento dell’85% nel settore logistico. Gli incidenti collegati alla Corea del Nord sono cresciuti di oltre il 130%, con il più grande furto finanziario singolo mai riportato: 1,46 miliardi di dollari in criptovalute.
Gli obiettivi sono allineati alle priorità strategiche nazionali: spionaggio industriale, raccolta di intelligence, sabotaggio, generazione di profitti per sostenere economie sotto sanzioni.
Non è più solo criminalità digitale. È proiezione di potenza.
Cosa dovrebbe fare oggi un manager
La domanda finale dell’intervista è la più concreta: cosa cambia, da domani, per chi guida un’azienda?
La risposta di Livrieri (nella foto sotto) è netta: gli strumenti tradizionali non sono più alla stessa velocità degli attaccanti. Occorre eliminare i punti ciechi tra domini di sicurezza – cloud, identità, endpoint, SaaS – consolidare la telemetria, correlare i segnali, automatizzare rilevamento, investigazione e risposta.
L’obiettivo è un SOC “agentico”, capace di usare l’AI per rispondere con la stessa rapidità degli avversari.
Il Global Threat Report 2026 non è solo una fotografia delle minacce. È un manuale di sopravvivenza per un ecosistema digitale in cui l’innovazione corre alla stessa velocità dell’abuso.
Se il 2025 è stato l’anno in cui l’AI ha dimostrato di poter comprimere il tempo tra intento ed esecuzione, il 2026 sarà l’anno in cui le organizzazioni dovranno decidere se restare spettatrici o diventare realmente adattive.
«Perché quando il breakout time è di 29 minuti – o 27 secondi – non vince chi reagisce meglio. Vince chi era già pronto».
