Il Report Globale di Incident Response 2026 di Unit 42, pubblicato da Palo Alto Networks il 9 giugno 2026, ridisegna il quadro della minaccia informatica con numeri che non lasciano margini di interpretazione: gli attacchi sono diventati quattro volte più veloci rispetto al 2024, l’identità digitale è coinvolta nell’89% delle violazioni investigate, e una vulnerabilità critica come CVE-2026-1731, con punteggio CVSS 9.9, ha esposto oltre 16.000 istanze di piattaforme di accesso remoto privilegiato prima che le organizzazioni applicassero la patch. Basato su più di 750 interventi di risposta a incidenti in oltre 50 paesi, condotti tra ottobre 2024 e settembre 2025, il rapporto offre la fotografia più precisa disponibile sul panorama delle minacce nel 2026.
Per le organizzazioni europee e italiane, i dati assumono una rilevanza particolare in questo momento. Il Cyber Resilience Act europeo impone dal 11 settembre 2026 la segnalazione delle vulnerabilità sfruttate attivamente entro 24 ore, e gli attaccanti iniziano la scansione di un nuovo CVE entro 15 minuti dalla sua pubblicazione. La finestra tra divulgazione e sfruttamento si è ridotta a tal punto da rendere obsoleti i processi di patching tradizionali basati su cicli mensili o trimestrali.
I Numeri del Rapporto: 750 Indagini, 50 Paesi, 12 Mesi di Dati
Il Report Unit 42 2026 è costruito su più di 750 interventi di risposta a incidenti di grandi dimensioni, distribuiti in oltre 50 paesi, con dati raccolti nell’arco di un anno tra ottobre 2024 e settembre 2025. Non si tratta di un’analisi su campioni: i dati provengono dal lavoro operativo diretto del team di Unit 42, il gruppo di ricerca e risposta agli incidenti di Palo Alto Networks.
La metodologia combina telemetria raccolta dagli strumenti di sicurezza dei clienti, analisi forense degli incidenti e intelligence sulle minacce. Il risultato è una visione che copre endpoint, reti, ambienti cloud, applicazioni SaaS e identità. I quattro trend principali identificati dal rapporto sono: l’IA come moltiplicatore di forza per gli attaccanti; l’identità come percorso di accesso principale; l’espansione del rischio nella supply chain software; l’adattamento degli attori statali alle moderne infrastrutture enterprise.
Il contesto globale del report è significativo: i 750 incidenti coprono ogni settore industriale principale e più di 50 paesi. La rappresentatività geografica include organizzazioni nordamericane, europee, asiatiche e del Medio Oriente, permettendo di identificare trend trasversali che non riflettono solo la realtà di un singolo mercato. Per i professionisti della sicurezza in Italia e in Europa, il valore principale del report è la possibilità di comparare la propria postura di sicurezza con le lacune sistematiche documentate in centinaia di incidenti reali.
La Velocità degli Attacchi Quadruplica: da 285 a 72 Minuti all’Esfiltrazione
Il dato più dirompente del Report Unit 42 2026 è la drastica accelerazione dei tempi di attacco. Il 25% più veloce degli incidenti ha raggiunto l’esfiltrazione dei dati in soli 72 minuti nel 2025, rispetto ai 285 minuti rilevati l’anno precedente. Gli attacchi più rapidi sono diventati quattro volte più veloci in 12 mesi. La quota di incidenti che raggiunge l’esfiltrazione in meno di un’ora è salita dal 19% nel 2024 al 22% nel 2025.
Apparentemente un incremento modesto in punti percentuali, ma in termini operativi significa che uno su cinque attacchi gravi si conclude prima che la maggior parte dei team di sicurezza abbia completato l’analisi dell’alert iniziale. La finestra di rilevamento e risposta si è ridotta a tal punto da rendere inefficaci i processi di incident response basati su analisi manuali sequenziali. I modelli di risposta progettati intorno a un’ipotesi di 4-8 ore prima dell’esfiltrazione sono ora strutturalmente inadeguati per il 22% degli incidenti più gravi.
L’accelerazione è strettamente legata all’adozione dell’IA da parte degli attaccanti. Il modello operativo si è trasformato: la sequenza “monitorare il CVE, analizzare il diff, testare l’exploit, armarlo” è ora automatizzata attraverso pipeline di IA che operano continuativamente senza intervento umano. In un test simulato condotto dal team di Unit 42, un attacco assistito dall’IA ha raggiunto l’esfiltrazione in 25 minuti, circa un terzo del tempo già record dei casi reali più veloci. “L’avversario di oggi non è solo più intelligente, è molto più veloce,” si legge nel comunicato ufficiale di Palo Alto Networks. “L’IA ha compresso il ciclo di attacco dall’accesso iniziale all’esfiltrazione, rendendo obsoleti i framework di gestione del rischio tradizionali.”
La Scansione Inizia 15 Minuti dopo la Pubblicazione del CVE
La ricerca di Unit 42 documenta con precisione un fenomeno che i professionisti della sicurezza temevano ma faticavano a misurare: gli attaccanti iniziano la scansione attiva di vulnerabilità appena pubblicate entro 15 minuti dall’annuncio del CVE. I tentativi di sfruttamento cominciano prima che molti team di sicurezza abbiano terminato di leggere l’advisory. Il concetto di “finestra di patching” di 30 giorni è diventato un artefatto del passato per le vulnerabilità critiche ad alta visibilità.
Questo crea un problema strutturale che va oltre la velocità di patching: anche con un processo di remediation eccellente, le organizzazioni non possono applicare patch a tutti i sistemi in meno di 15 minuti. La risposta necessaria è una combinazione di rilevamento comportamentale che intercetti lo sfruttamento anche prima che la patch sia disponibile, segmentazione della rete che limiti il movimento laterale dopo l’accesso iniziale, e monitoraggio continuo dell’esposizione alla superficie di attacco.
L’Identità: la Superficie di Attacco nel 89% delle Violazioni
Il dato più significativo per la strategia di difesa è che l’identità digitale è coinvolta nell’89% di tutti gli incidenti investigati da Unit 42. Questa percentuale non si riferisce solo agli incidenti in cui le credenziali sono state rubate direttamente, ma all’intera superficie di attacco legata alla gestione delle identità: account compromessi, token di sessione rubati, bypass dell’autenticazione a più fattori, misconfigurazioni IAM e account con privilegi eccessivi. Il 65% degli accessi iniziali è guidato specificatamente da tecniche basate sull’identità.
Questo ribalta il paradigma difensivo tradizionale centrato sul patching delle vulnerabilità. La maggior parte degli attaccanti non “sfonda” il perimetro, ma ci “accede” utilizzando credenziali legittime. Una volta dentro, sfruttano la frammentazione degli ecosistemi di identità, la proliferazione di account con privilegi eccessivi e l’assenza di controlli sull’accesso condizionale per escalare i privilegi e muoversi lateralmente senza generare alert evidenti. Gli attaccanti “log in” invece di “break in”, per usare la formulazione del report.
In oltre il 90% delle violazioni, le lacune che hanno permesso l’intrusione erano prevenibili: visibilità limitata sull’infrastruttura, controlli applicati in modo non uniforme e fiducia eccessiva nell’identità. “Le lacune d’identità, la visibilità limitata e i controlli applicati inconsistentemente sono ancora responsabili di oltre il 90% delle violazioni investigate,” sottolinea l’analisi di Industrial Cyber sul report. Il messaggio è diretto: la maggior parte delle violazioni non richiede exploit sofisticati, ma sfrutta configurazioni errate e politiche di accesso permissive che restano in piedi per mesi o anni.
Il problema dell’identità è amplificato dalla proliferazione di account di servizio, identità machine-to-machine e integrazioni SaaS non gestite. Nelle indagini di Unit 42, gli attaccanti hanno sfruttato regolarmente account di servizio con privilegi sovradimensionati che non venivano monitorati attivamente perché “non umani”. In molti ambienti enterprise, il numero di identità non umane supera di 10-20 volte quello delle identità umane, creando una superficie di attacco ampia e spesso non governata.
CVE-2026-1731 BeyondTrust: CVSS 9.9, 16.000 Istanze Esposte
A illustrare concretamente i rischi documentati nel report Unit 42 c’è CVE-2026-1731, la vulnerabilità critica che ha colpito BeyondTrust Remote Support e Privileged Remote Access. Divulgata il 6 febbraio 2026 con advisory BT26-02, questa falla ha ricevuto un punteggio CVSS v4 di 9.9. Si tratta di un’iniezione di comandi OS (CWE-78) pre-autenticazione: un attaccante remoto senza credenziali può eseguire comandi arbitrari sul sistema operativo del server BeyondTrust inviando richieste appositamente costruite.
I prodotti interessati sono BeyondTrust Remote Support (RS) versione 25.3.1 e precedenti e Privileged Remote Access (PRA) versione 24.3.4 e precedenti. La patch è disponibile: RS è stato corretto nella versione 25.3.2, PRA nella versione 25.1.1. I clienti cloud di BeyondTrust hanno ricevuto la patch automaticamente il 2 febbraio 2026, quattro giorni prima della divulgazione pubblica. I clienti on-premise hanno dovuto applicare manualmente l’aggiornamento.
La vulnerabilità è stata scoperta dai ricercatori di Hacktron AI. Rapid7 ha identificato circa 8.500 istanze on-premise esposte a Internet come potenzialmente vulnerabili al momento della divulgazione. Analisi successive di SecPod hanno stimato in oltre 16.000 istanze esposte la superficie di attacco globale, con complessità di sfruttamento classificata come bassa: nessuna credenziale richiesta, nessuna interazione utente necessaria. Il 13 febbraio 2026, CISA ha aggiunto CVE-2026-1731 al catalogo Known Exploited Vulnerabilities (KEV), imponendo la remediation obbligatoria alle agenzie federali statunitensi. Il 10 febbraio 2026, un proof-of-concept era già apparso su GitHub.
La Campagna di Sfruttamento: VShell, SparkRAT e Paesi Europei Colpiti
L’analisi di SecPod ha documentato una campagna di sfruttamento attivo di CVE-2026-1731 che ha coinvolto organizzazioni in Stati Uniti, Francia, Germania, Australia e Canada. La campagna ha impiegato strumenti come VShell e SparkRAT per il comando e controllo, con tecniche che includono distribuzione di web shell, takeover di account amministrativi, movimenti laterali, C2 basato su DNS ed esfiltrazione di dati su larga scala.
I settori colpiti includono servizi finanziari, servizi legali, alta tecnologia, istruzione universitaria, commercio all’ingrosso e al dettaglio, e sanità. La presenza di Francia e Germania nella lista dei paesi europei colpiti è rilevante per le organizzazioni italiane: BeyondTrust è utilizzato in molte grandi aziende europee come strumento standard per la gestione dell’accesso privilegiato IT. “Una vulnerabilità di questa gravità nelle piattaforme di accesso remoto privilegiato è particolarmente pericolosa perché BeyondTrust è il gateway verso l’intera infrastruttura gestita,” ha notato il team di Rapid7 nell’analisi tecnica della vulnerabilità. “Comprometterlo significa avere accesso a tutto ciò che amministra.”
Le Otto Superfici di Attacco: Come Si Muovono i Criminali Informatici
Uno degli aspetti più utili del Report Unit 42 2026 è la mappatura precisa di come gli attaccanti distribuiscono la propria attività su multiple superfici contemporaneamente. In 87% degli incidenti i criminali hanno operato su due o più superfici. Nel 67% dei casi le superfici erano almeno tre, e nel 43% almeno quattro. Sono stati documentati casi con attività simultanea su fino a otto superfici diverse, un livello di complessità operativa che supera le capacità di correlazione della maggior parte degli strumenti di sicurezza tradizionali non integrati.
Quasi la metà degli incidenti (48%) ha coinvolto attività basate sul browser, riflettendo quanto spesso gli attacchi si sovrappongano ai flussi di lavoro quotidiani come l’accesso alla posta elettronica, la navigazione web e l’utilizzo delle applicazioni SaaS. Questo rende il browser un fronte critico nella difesa moderna, spesso sottovalutato rispetto agli strumenti di endpoint detection o di sicurezza di rete.
| Superficie di Attacco | Percentuale degli Incidenti (Unit 42 2026) |
|---|---|
| Identità | 89% |
| Endpoint | 61% |
| Rete | 50% |
| Browser | 48% |
| Fattore Umano | 45% |
| 27% | |
| Applicazioni | 26% |
| Cloud | 20% |
| SecOps | 10% |
La superficie “SecOps” al 10% è particolarmente preoccupante: significa che in un incidente su dieci i criminali hanno compromesso gli stessi strumenti di sicurezza e monitoraggio, rendendo le proprie attività invisibili ai difensori. Questo dato rappresenta un salto qualitativo rispetto alla semplice violazione di un endpoint: compromettere gli strumenti di difesa significa che l’organizzazione è cieca durante la fase più critica dell’attacco. Il cloud, al 20%, mostra la crescita più rapida in termini di trend rispetto agli anni precedenti.
L’IA come Moltiplicatore di Forza per i Criminali Informatici
Il 2025 ha segnato il passaggio dall’sperimentazione dell’IA all’utilizzo di routine da parte degli attaccanti. Mentre nel 2024 l’uso dell’IA nel crimine informatico era ancora in fase sperimentale e limitata, il report Unit 42 documenta come nel periodo coperto dall’analisi i threat actor abbiano integrato strumenti di IA generativa nelle operazioni quotidiane, dalla ricognizione iniziale all’estorsione finale.
Le applicazioni principali documentate includono: automazione della scansione delle vulnerabilità entro minuti dalla pubblicazione dei CVE; parallelizzazione della ricognizione su centinaia di target contemporaneamente; generazione automatica di messaggi di phishing personalizzati e convincenti; scripting automatico per la distribuzione di payload; automazione delle comunicazioni di estorsione. Un caso documentato da CERT-UA nel luglio 2025 ha rilevato che il malware russo LAMEHUG utilizzava un LLM per generare istruzioni C2 attraverso un’API, segnando la prima documentazione pubblica di un malware nation-state con IA generativa integrata nel ciclo operativo.
Il risultato è misurabile: la velocità di esfiltrazione nel test simulato da Unit 42 ha raggiunto i 25 minuti. Per i team di sicurezza, questo crea un problema strutturale: le pipeline di analisi e risposta umana non possono competere in velocità con pipeline di attacco automatizzate dall’IA. La risposta difensiva deve anch’essa essere in larga parte automatizzata, con policy-based response e playbook eseguiti senza approvazione manuale per le categorie di incidenti più comuni e urgenti.
CVE Critiche 2026: il Catalogo CISA KEV e le Vulnerabilità da Patchare Subito
Il catalogo CISA Known Exploited Vulnerabilities (KEV) rimane lo strumento di prioritizzazione più diretto per i team di sicurezza che devono decidere quali patch applicare con urgenza. Nel febbraio-marzo 2026, il catalogo ha registrato tre aggiunte di alto profilo in rapida successione, tutte con CVSS superiore a 8.0 e con evidenza di sfruttamento attivo confermato prima della divulgazione.
| CVE | Prodotto | CVSS | Aggiunta CISA KEV | Tipo di Vulnerabilità |
|---|---|---|---|---|
| CVE-2026-1731 | BeyondTrust RS/PRA | 9.9 (v4) | 13 feb 2026 | OS Command Injection pre-autenticazione |
| CVE-2026-22769 | Dell RecoverPoint for VMs | 10.0 | 28 feb 2026 | RCE con sfruttamento covert dal mid-2024 |
| CVE-2026-22719 | VMware Aria Operations (versioni < 8.18.6) | 8.1 | 3 mar 2026 | Sfruttamento attivo in the wild |
CVE-2026-22769, con punteggio CVSS massimo di 10.0, colpisce Dell RecoverPoint for Virtual Machines ed è particolarmente critica perché gli analisti di Greenbone documentano uno sfruttamento covert iniziato già dalla metà del 2024, ovvero quasi 18 mesi prima della divulgazione pubblica. CISA ha concesso alle agenzie federali solo tre giorni per applicare la patch, una delle finestre di remediation più strette mai imposte dalla direttiva BOD 22-01. “Questi tre CVE illustrano un ‘fiume di rischio perpetuo’ con vulnerabilità critiche nell’infrastruttura enterprise,” si legge nel report di Greenbone. “La concentrazione di CVSS 9+ in strumenti di recupero, virtualizzazione e accesso privilegiato indica che gli attaccanti puntano sistematicamente alle fondamenta dell’IT aziendale moderno.”
CVE-2026-22719 riguarda VMware Aria Operations nelle versioni precedenti alla 8.18.6 ed è stata aggiunta al KEV il 3 marzo 2026, con scadenza di remediation al 24 marzo. Per le organizzazioni che usano questi prodotti, il messaggio operativo è chiaro: le vulnerabilità nell’infrastruttura di virtualizzazione, backup e accesso privilegiato devono essere trattate come priorità assoluta con SLA di 24-48 ore dall’aggiunta al catalogo KEV.
Supply Chain Software: il Terzo Vettore d’Attacco in Espansione
Il terzo trend principale documentato nel report è l’espansione del rischio nella supply chain software oltre il codice vulnerabile diretto. Gli attaccanti hanno spostato l’obiettivo sull’abuso delle connessioni di fiducia: integrazioni SaaS, strumenti di gestione dei fornitori e dipendenze open source transitive creano percorsi di accesso ereditati che bypassano completamente le difese perimetrali. L’impatto non è una violazione isolata, ma un’interruzione operativa diffusa che colpisce tutti i clienti del componente compromesso.
Il caso di CVE-2026-1731 illustra questo rischio concretamente: BeyondTrust è uno strumento di gestione dell’accesso privilegiato utilizzato da migliaia di organizzazioni come componente critico della supply chain di sicurezza IT. Compromettere BeyondTrust significa accedere potenzialmente a tutto ciò che gestisce, inclusi i sistemi dei clienti finali. Questo tipo di attacco a cascata è esattamente il vettore che il report identifica come in crescita più rapida nel panorama delle minacce 2026.
La risposta difensiva alla supply chain richiede un approccio diverso rispetto alla gestione delle vulnerabilità tradizionale. Non basta patchare i propri sistemi: è necessario condurre due diligence proattiva sui fornitori critici, richiedere attestazioni di sicurezza e SBOM (Software Bill of Materials), e implementare monitoring delle connessioni in uscita verso sistemi di gestione di terze parti per rilevare comportamenti anomali anche quando il fornitore stesso non ha ancora notificato una violazione.
Il Mercato del Riscatto: Domande Mediane Salgono a 1,5 Milioni di Dollari
Il report Unit 42 include un’analisi delle dinamiche economiche del crimine informatico che mostra una traiettoria crescente inesorabile. La domanda di riscatto mediana è salita da 1,25 milioni di dollari nel 2024 a 1,5 milioni di dollari nel 2025, un incremento del 20% in dodici mesi. Questo aumento riflette la maggiore capacità degli attaccanti di qualificare e massimizzare il danno prima di avanzare la richiesta, grazie all’esfiltrazione più rapida e al volume maggiore di dati sottratti.
L’accelerazione dei tempi di esfiltrazione ha un impatto diretto su queste cifre: più dati vengono sottratti in meno tempo, maggiore è la leva negoziale dell’attaccante. La combinazione di esfiltrazione rapida e minaccia di pubblicazione ha trasformato il ransomware da semplice attacco di cifratura a un’estorsione a doppia o tripla leva, con conseguenze reputazionali, legali e finanziarie che si moltiplicano nel tempo. Per il settore Retail e Commercio all’Ingrosso, che ha rappresentato il 18% degli obiettivi e il 19% degli impatti degli incidenti di estorsione nel 2025, la stagionalità delle operazioni amplifica ulteriormente la pressione al pagamento nei periodi di picco commerciale.
Attori Statali: Identità Sintetiche e Compromissione delle Piattaforme di Virtualizzazione
Il quarto trend del report riguarda l’evoluzione delle tattiche degli attori statali, che stanno adattando le proprie tecniche agli ambienti enterprise moderni. Il cambiamento più significativo è il passaggio dall’utilizzo di exploit zero-day sofisticati all’infiltrazione persona-driven: falsa occupazione, identità sintetiche e credenziali acquisite sul mercato nero vengono utilizzate per ottenere accesso legittimo alle organizzazioni target. Un dipendente IT assunto con un’identità sintetica ha accesso nativo ai sistemi interni senza dover sfruttare alcuna vulnerabilità tecnica.
Parallelamente, questi attori stanno approfondendo la compromissione dell’infrastruttura core e delle piattaforme di virtualizzazione. CVE-2026-22769 in Dell RecoverPoint, sfruttata covertamente per quasi 18 mesi prima della scoperta, è un esempio concreto di questo approccio: una backdoor silente nell’infrastruttura di backup garantisce accesso permanente indipendentemente dai cambiamenti di configurazione o dalle rotazioni delle credenziali. Il report documenta i “primi segnali di tecniche AI-enabled” utilizzate da questi attori per simulare comportamenti utente legittimi e sfuggire ai sistemi di rilevamento comportamentale.
La Risposta Europea: Cyber Resilience Act, NIS2 ed ENISA come Root CVE
Il contesto normativo europeo sta evolvendo in risposta diretta alle minacce documentate nel report Unit 42. Due sviluppi sono particolarmente rilevanti per le organizzazioni italiane ed europee. Il primo è il Cyber Resilience Act (CRA), che impone dal 11 settembre 2026 ai fabbricanti di prodotti con elementi digitali l’obbligo di segnalare le vulnerabilità sfruttate attivamente entro 24 ore a ENISA e al CSIRT nazionale competente. Il processo di segnalazione è strutturato in tre fasi: notifica iniziale entro 24 ore, report di follow-up entro 72 ore, report finale entro 14 giorni. Le sanzioni per la mancata compliance arrivano fino a 15 milioni di euro o il 2,5% del fatturato annuo mondiale.
Il secondo sviluppo è l’elevazione di ENISA al ruolo di Root del programma CVE globale, annunciata nel novembre 2025. Questa promozione trasforma ENISA da CNA (autorità di numerazione CVE) a hub di coordinamento centrale per la gestione delle vulnerabilità nell’UE, con responsabilità di supervisione sui CNAs subordinati nella giurisdizione europea. Per le organizzazioni italiane, questo significa che le vulnerabilità scoperte nel contesto europeo possono ora essere coordinate con maggiore rapidità attraverso una catena di responsabilità chiaramente definita.
La combinazione tra velocità di sfruttamento (15 minuti dalla pubblicazione del CVE) e obbligo di segnalazione CRA entro 24 ore crea una pressione operativa significativa. Un fabbricante che viene a conoscenza di uno sfruttamento attivo a mezzanotte ha fino alle ore 00:00 del giorno seguente per notificare ENISA, indipendentemente dal fuso orario, dal numero di sistemi da analizzare e dalla complessità tecnica dell’indagine preliminare. Le organizzazioni che non hanno ancora automatizzato i processi di vulnerability detection e incident triage si troveranno strutturalmente in difficoltà rispetto a questa scadenza.
Confronto Storico: L’Accelerazione degli Attacchi 2024-2026
Per comprendere la portata del cambiamento documentato nel Report Unit 42 2026, è utile contestualizzarlo nel trend degli ultimi anni. Il tempo di esfiltrazione per il 25% più veloce degli incidenti è passato da 285 minuti nel 2024 a 72 minuti nel 2025. Nello scenario simulato con IA, 25 minuti. La direzione del trend suggerisce che il prossimo report potrebbe mostrare il 25% più veloce sotto i 45 minuti, avvicinandosi ulteriormente al benchmark IA di 25 minuti man mano che gli attaccanti integrano pipeline più sofisticate.
La domanda di riscatto mediana ha seguìto una curva crescente analoga: da livelli sotto il milione di dollari nel 2022-2023, a 1,25 milioni nel 2024, a 1,5 milioni nel 2025. La superficie di identità ha consolidato la propria posizione come vettore dominante, raggiungendo l’89% nel 2025. Questi trend convergenti disegnano un futuro in cui gli attacchi sono più veloci, più costosi, più difficili da rilevare e più difficili da contenere. La risposta industriale passa attraverso l’automazione della difesa, il consolidamento degli stack di sicurezza e una governance rigorosa dell’identità digitale.
Copertura Correlata
Approfondimenti su Sicurezza, CVE e Normativa Europea
- Zero-Day Oracle PeopleSoft: CVSS 9.8, 68% degli Atenei a Rischio [2026]
- Sandworm: 30 Impianti UE, 500K Famiglie a Rischio [2026]
- Cyber Resilience Act: 15M€ e 3 Scadenze UE [2026]
- Cybersecurity Act 2.0: ENISA e 28.700 Aziende UE [2026]
- Commissione Europea Hackerata Due Volte: 350 GB Rubati [2026]
- OWASP Top 10 2025 in Node.js: 10 Vulnerabilità, 12 Difese [2026]
- Guida alla Sicurezza Informatica
Previsioni per il Secondo Semestre 2026
Sulla base dei dati del Report Unit 42 2026 e delle tendenze in corso, è possibile formulare cinque previsioni concrete per i prossimi mesi.
Prima previsione, tempi di esfiltrazione: con la maturazione degli strumenti di IA offensiva, il 25% più veloce degli incidenti probabilmente scenderà sotto i 45 minuti entro la fine del 2026, avvicinandosi ulteriormente al benchmark simulato di 25 minuti. Le organizzazioni che non hanno automatizzato la risposta agli incidenti si troveranno in una posizione sempre più svantaggiata.
Seconda previsione, superficie identità: la percentuale di incidenti con identità come superficie di attacco è destinata a superare il 93% entro fine anno, spinta dall’adozione crescente di ambienti multi-cloud e dall’esplosione degli account di servizio e degli accessi machine-to-machine non gestiti con le politiche IAM tradizionali.
Terza previsione, domande di riscatto: l’accelerazione delle capacità di esfiltrazione consentirà agli attaccanti di sottrarre più dati in meno tempo, aumentando la leva negoziale. Le domande mediane potrebbero avvicinarsi a 2 milioni di dollari entro fine 2026 per le organizzazioni di medie e grandi dimensioni nei settori a maggiore valore (finanza, sanità, tecnologia).
Quarta previsione, CRA compliance: la deadline del 11 settembre 2026 genererà un’ondata di attività di compliance nel settore manifatturiero e IoT europeo. Le organizzazioni che non si sono ancora adeguate hanno meno di 90 giorni dalla data di pubblicazione di questo articolo per implementare i processi di vulnerability detection e reporting verso ENISA.
Quinta previsione, infrastruttura di virtualizzazione: il pattern documentato da Greenbone di vulnerabilità CVSS 9+ in VMware, Dell RecoverPoint e BeyondTrust suggerisce che questo vettore continuerà a essere preferito dagli attaccanti nel secondo semestre 2026. Le organizzazioni che usano questi prodotti devono implementare processi di patch management con SLA di 24-48 ore per i CVE aggiunti al catalogo CISA KEV.
FAQ: Domande Frequenti sul Report Unit 42 2026
Cos’è il Report Unit 42 Global Incident Response 2026?
È il rapporto annuale di Palo Alto Networks basato su più di 750 interventi reali di incident response condotti in oltre 50 paesi tra ottobre 2024 e settembre 2025. Documenta i trend principali delle minacce informatiche, i vettori di attacco più utilizzati, i tempi di esfiltrazione e le raccomandazioni difensive per organizzazioni di ogni dimensione e settore.
Perché gli attacchi sono diventati 4 volte più veloci in un anno?
L’accelerazione è diretta conseguenza dell’adozione dell’IA generativa da parte degli attaccanti. I threat actor hanno automatizzato la sequenza “monitorare CVE, analizzare, testare, armare l’exploit”, riducendo il tempo di esfiltrazione per il 25% più veloce degli incidenti da 285 minuti nel 2024 a 72 minuti nel 2025. In un test simulato con IA, questo tempo è sceso a 25 minuti.
CVE-2026-1731 è ancora pericolosa? Come si applica la patch?
CVE-2026-1731 è una vulnerabilità OS command injection senza autenticazione (CVSS v4: 9.9) in BeyondTrust Remote Support e Privileged Remote Access. Colpisce RS versione 25.3.1 e precedenti, e PRA versione 24.3.4 e precedenti. Se si utilizza una di queste versioni on-premise, è necessario applicare immediatamente la patch: RS 25.3.2 o PRA 25.1.1. I clienti cloud sono stati patchati automaticamente il 2 febbraio 2026. È presente sia nel catalogo CISA KEV che exploit pubblici disponibili dal 10 febbraio 2026.
Cosa significa concretamente “identità come superficie di attacco principale”?
Significa che in 89 incidenti su 100 investigati da Unit 42, l’identità digitale (credenziali, token, sessioni, configurazioni IAM) ha giocato un ruolo materiale nell’attacco. Nel 65% dei casi, l’accesso iniziale è stato ottenuto tramite tecniche basate sull’identità: credenziali rubate, token compromessi, bypass MFA o account di servizio con privilegi eccessivi. Gli attaccanti “accedono” alle organizzazioni più che “sfondarle”.
Come si applica il Cyber Resilience Act alle vulnerabilità come CVE-2026-1731?
Dal 11 settembre 2026, i fabbricanti di prodotti con elementi digitali devono segnalare a ENISA e al CSIRT nazionale le vulnerabilità sfruttate attivamente entro 24 ore dalla scoperta, fornire un report tecnico entro 72 ore e un report finale entro 14 giorni. La mancata segnalazione può comportare sanzioni fino a 15 milioni di euro o il 2,5% del fatturato mondiale. Questo vale anche per prodotti già sul mercato prima del dicembre 2027.
Quali settori italiani sono più a rischio secondo i dati del report?
I settori più colpiti globalmente sono Retail e Commercio all’Ingrosso (18-19% degli incidenti di estorsione), Manifatturiero, Servizi Finanziari, Alta Tecnologia e Sanità. Per l’Italia, le categorie ad alto rischio sono PMI manifatturiere con supply chain internazionali, banche e istituti di credito, ospedali e strutture sanitarie pubbliche, e università. La presenza di Francia e Germania tra i paesi europei colpiti da CVE-2026-1731 indica che l’Europa non è immune agli stessi pattern di attacco documentati nel report.
Cosa devono fare le aziende italiane adesso per ridurre il rischio?
In ordine di priorità: verificare immediatamente se si utilizzano versioni vulnerabili di BeyondTrust (RS 25.3.1 e precedenti, PRA 24.3.4 e precedenti), VMware Aria Operations (versioni precedenti a 8.18.6) o Dell RecoverPoint for VMs e applicare le patch disponibili; implementare un processo di monitoraggio del catalogo CISA KEV con SLA di 24-48 ore per i nuovi CVE critici; condurre un audit dell’infrastruttura di identità per eliminare i privilegi eccessivi e implementare controlli condizionali; avviare la preparazione alla compliance con il CRA se si producono prodotti con elementi digitali; simulare scenari di incident response con tempi di contenimento sotto i 30 minuti.
Fonti: Palo Alto Networks Unit 42 Global Incident Response Report 2026 | Rapid7: Analisi Tecnica CVE-2026-1731 | Greenbone February 2026 Threat Report | Commissione Europea: Cyber Resilience Act | ENISA: News e Ruolo Root CVE | Industrial Cyber: Analisi Unit 42 2026
