{"id":205,"date":"2026-06-18T08:32:10","date_gmt":"2026-06-18T08:32:10","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/18\/unit-42-incident-response-report-2026\/"},"modified":"2026-06-18T08:33:49","modified_gmt":"2026-06-18T08:33:49","slug":"unit-42-incident-response-report-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/18\/unit-42-incident-response-report-2026\/","title":{"rendered":"Unit 42 2026: Attacchi 4x Veloci, 89% delle Violazioni su Identit\u00e0 [2026]"},"content":{"rendered":"\n

Il Report Globale di Incident Response 2026<\/strong> di Unit 42, pubblicato da Palo Alto Networks il 9 giugno 2026, ridisegna il quadro della minaccia informatica con numeri che non lasciano margini di interpretazione: gli attacchi sono diventati quattro volte pi\u00f9 veloci rispetto al 2024, l’identit\u00e0 digitale \u00e8 coinvolta nell’89% delle violazioni investigate<\/strong>, e una vulnerabilit\u00e0 critica come CVE-2026-1731, con punteggio CVSS 9.9, ha esposto oltre 16.000 istanze di piattaforme di accesso remoto privilegiato prima che le organizzazioni applicassero la patch. Basato su pi\u00f9 di 750 interventi di risposta a incidenti<\/strong> in oltre 50 paesi, condotti tra ottobre 2024 e settembre 2025, il rapporto offre la fotografia pi\u00f9 precisa disponibile sul panorama delle minacce nel 2026.<\/p>\n\n\n\n

Per le organizzazioni europee e italiane, i dati assumono una rilevanza particolare in questo momento. Il Cyber Resilience Act europeo impone dal 11 settembre 2026<\/strong> la segnalazione delle vulnerabilit\u00e0 sfruttate attivamente entro 24 ore, e gli attaccanti iniziano la scansione di un nuovo CVE entro 15 minuti<\/strong> dalla sua pubblicazione. La finestra tra divulgazione e sfruttamento si \u00e8 ridotta a tal punto da rendere obsoleti i processi di patching tradizionali basati su cicli mensili o trimestrali.<\/p>\n\n\n\n

I Numeri del Rapporto: 750 Indagini, 50 Paesi, 12 Mesi di Dati<\/h2>\n\n\n\n

Il Report Unit 42 2026 \u00e8 costruito su pi\u00f9 di 750 interventi di risposta a incidenti di grandi dimensioni<\/strong>, distribuiti in oltre 50 paesi, con dati raccolti nell’arco di un anno tra ottobre 2024 e settembre 2025. Non si tratta di un’analisi su campioni: i dati provengono dal lavoro operativo diretto del team di Unit 42, il gruppo di ricerca e risposta agli incidenti di Palo Alto Networks.<\/p>\n\n\n\n

La metodologia combina telemetria raccolta dagli strumenti di sicurezza dei clienti, analisi forense degli incidenti e intelligence sulle minacce. Il risultato \u00e8 una visione che copre endpoint, reti, ambienti cloud, applicazioni SaaS e identit\u00e0. I quattro trend principali identificati dal rapporto sono: l’IA come moltiplicatore di forza per gli attaccanti; l’identit\u00e0 come percorso di accesso principale; l’espansione del rischio nella supply chain software; l’adattamento degli attori statali alle moderne infrastrutture enterprise.<\/p>\n\n\n\n

Il contesto globale del report \u00e8 significativo: i 750 incidenti coprono ogni settore industriale principale e pi\u00f9 di 50 paesi. La rappresentativit\u00e0 geografica include organizzazioni nordamericane, europee, asiatiche e del Medio Oriente, permettendo di identificare trend trasversali che non riflettono solo la realt\u00e0 di un singolo mercato. Per i professionisti della sicurezza in Italia e in Europa, il valore principale del report \u00e8 la possibilit\u00e0 di comparare la propria postura di sicurezza con le lacune sistematiche documentate in centinaia di incidenti reali.<\/p>\n\n\n\n

La Velocit\u00e0 degli Attacchi Quadruplica: da 285 a 72 Minuti all’Esfiltrazione<\/h2>\n\n\n\n

Il dato pi\u00f9 dirompente del Report Unit 42 2026 \u00e8 la drastica accelerazione dei tempi di attacco. Il 25% pi\u00f9 veloce degli incidenti<\/strong> ha raggiunto l’esfiltrazione dei dati in soli 72 minuti<\/strong> nel 2025, rispetto ai 285 minuti<\/strong> rilevati l’anno precedente. Gli attacchi pi\u00f9 rapidi sono diventati quattro volte pi\u00f9 veloci in 12 mesi. La quota di incidenti che raggiunge l’esfiltrazione in meno di un’ora \u00e8 salita dal 19% nel 2024 al 22% nel 2025<\/strong>.<\/p>\n\n\n\n

Apparentemente un incremento modesto in punti percentuali, ma in termini operativi significa che uno su cinque attacchi gravi si conclude prima che la maggior parte dei team di sicurezza abbia completato l’analisi dell’alert iniziale. La finestra di rilevamento e risposta si \u00e8 ridotta a tal punto da rendere inefficaci i processi di incident response basati su analisi manuali sequenziali. I modelli di risposta progettati intorno a un’ipotesi di 4-8 ore prima dell’esfiltrazione sono ora strutturalmente inadeguati per il 22% degli incidenti pi\u00f9 gravi.<\/p>\n\n\n\n

L’accelerazione \u00e8 strettamente legata all’adozione dell’IA da parte degli attaccanti. Il modello operativo si \u00e8 trasformato: la sequenza “monitorare il CVE, analizzare il diff, testare l’exploit, armarlo” \u00e8 ora automatizzata attraverso pipeline di IA che operano continuativamente senza intervento umano. In un test simulato condotto dal team di Unit 42, un attacco assistito dall’IA ha raggiunto l’esfiltrazione in 25 minuti<\/strong>, circa un terzo del tempo gi\u00e0 record dei casi reali pi\u00f9 veloci. “L’avversario di oggi non \u00e8 solo pi\u00f9 intelligente, \u00e8 molto pi\u00f9 veloce,” si legge nel comunicato ufficiale di Palo Alto Networks. “L’IA ha compresso il ciclo di attacco dall’accesso iniziale all’esfiltrazione, rendendo obsoleti i framework di gestione del rischio tradizionali.”<\/p>\n\n\n\n

La Scansione Inizia 15 Minuti dopo la Pubblicazione del CVE<\/h3>\n\n\n\n

La ricerca di Unit 42 documenta con precisione un fenomeno che i professionisti della sicurezza temevano ma faticavano a misurare: gli attaccanti iniziano la scansione attiva di vulnerabilit\u00e0 appena pubblicate entro 15 minuti dall’annuncio del CVE<\/strong>. I tentativi di sfruttamento cominciano prima che molti team di sicurezza abbiano terminato di leggere l’advisory. Il concetto di “finestra di patching” di 30 giorni \u00e8 diventato un artefatto del passato per le vulnerabilit\u00e0 critiche ad alta visibilit\u00e0.<\/p>\n\n\n\n

Questo crea un problema strutturale che va oltre la velocit\u00e0 di patching: anche con un processo di remediation eccellente, le organizzazioni non possono applicare patch a tutti i sistemi in meno di 15 minuti. La risposta necessaria \u00e8 una combinazione di rilevamento comportamentale che intercetti lo sfruttamento anche prima che la patch sia disponibile, segmentazione della rete che limiti il movimento laterale dopo l’accesso iniziale, e monitoraggio continuo dell’esposizione alla superficie di attacco.<\/p>\n\n\n\n

L’Identit\u00e0: la Superficie di Attacco nel 89% delle Violazioni<\/h2>\n\n\n\n

Il dato pi\u00f9 significativo per la strategia di difesa \u00e8 che l’identit\u00e0 digitale \u00e8 coinvolta nell’89% di tutti gli incidenti<\/strong> investigati da Unit 42. Questa percentuale non si riferisce solo agli incidenti in cui le credenziali sono state rubate direttamente, ma all’intera superficie di attacco legata alla gestione delle identit\u00e0: account compromessi, token di sessione rubati, bypass dell’autenticazione a pi\u00f9 fattori, misconfigurazioni IAM e account con privilegi eccessivi. Il 65% degli accessi iniziali<\/strong> \u00e8 guidato specificatamente da tecniche basate sull’identit\u00e0.<\/p>\n\n\n\n

Questo ribalta il paradigma difensivo tradizionale centrato sul patching delle vulnerabilit\u00e0. La maggior parte degli attaccanti non “sfonda” il perimetro, ma ci “accede” utilizzando credenziali legittime. Una volta dentro, sfruttano la frammentazione degli ecosistemi di identit\u00e0, la proliferazione di account con privilegi eccessivi e l’assenza di controlli sull’accesso condizionale per escalare i privilegi e muoversi lateralmente senza generare alert evidenti. Gli attaccanti “log in” invece di “break in”, per usare la formulazione del report.<\/p>\n\n\n\n

In oltre il 90% delle violazioni<\/strong>, le lacune che hanno permesso l’intrusione erano prevenibili: visibilit\u00e0 limitata sull’infrastruttura, controlli applicati in modo non uniforme e fiducia eccessiva nell’identit\u00e0. “Le lacune d’identit\u00e0, la visibilit\u00e0 limitata e i controlli applicati inconsistentemente sono ancora responsabili di oltre il 90% delle violazioni investigate,” sottolinea l’analisi di Industrial Cyber sul report. Il messaggio \u00e8 diretto: la maggior parte delle violazioni non richiede exploit sofisticati, ma sfrutta configurazioni errate e politiche di accesso permissive che restano in piedi per mesi o anni.<\/p>\n\n\n\n

Il problema dell’identit\u00e0 \u00e8 amplificato dalla proliferazione di account di servizio, identit\u00e0 machine-to-machine e integrazioni SaaS non gestite. Nelle indagini di Unit 42, gli attaccanti hanno sfruttato regolarmente account di servizio con privilegi sovradimensionati che non venivano monitorati attivamente perch\u00e9 “non umani”. In molti ambienti enterprise, il numero di identit\u00e0 non umane supera di 10-20 volte quello delle identit\u00e0 umane, creando una superficie di attacco ampia e spesso non governata.<\/p>\n\n\n\n

CVE-2026-1731 BeyondTrust: CVSS 9.9, 16.000 Istanze Esposte<\/h2>\n\n\n\n

A illustrare concretamente i rischi documentati nel report Unit 42 c’\u00e8 CVE-2026-1731<\/strong>, la vulnerabilit\u00e0 critica che ha colpito BeyondTrust Remote Support e Privileged Remote Access. Divulgata il 6 febbraio 2026<\/strong> con advisory BT26-02, questa falla ha ricevuto un punteggio CVSS v4 di 9.9<\/strong>. Si tratta di un’iniezione di comandi OS (CWE-78) pre-autenticazione: un attaccante remoto senza credenziali pu\u00f2 eseguire comandi arbitrari sul sistema operativo del server BeyondTrust inviando richieste appositamente costruite.<\/p>\n\n\n\n

I prodotti interessati sono BeyondTrust Remote Support (RS) versione 25.3.1 e precedenti<\/strong> e Privileged Remote Access (PRA) versione 24.3.4 e precedenti<\/strong>. La patch \u00e8 disponibile: RS \u00e8 stato corretto nella versione 25.3.2, PRA nella versione 25.1.1. I clienti cloud di BeyondTrust hanno ricevuto la patch automaticamente il 2 febbraio 2026, quattro giorni prima della divulgazione pubblica. I clienti on-premise hanno dovuto applicare manualmente l’aggiornamento.<\/p>\n\n\n\n

La vulnerabilit\u00e0 \u00e8 stata scoperta dai ricercatori di Hacktron AI. Rapid7 ha identificato circa 8.500 istanze on-premise esposte a Internet<\/strong> come potenzialmente vulnerabili al momento della divulgazione. Analisi successive di SecPod hanno stimato in oltre 16.000 istanze esposte<\/strong> la superficie di attacco globale, con complessit\u00e0 di sfruttamento classificata come bassa: nessuna credenziale richiesta, nessuna interazione utente necessaria. Il 13 febbraio 2026<\/strong>, CISA ha aggiunto CVE-2026-1731 al catalogo Known Exploited Vulnerabilities (KEV), imponendo la remediation obbligatoria alle agenzie federali statunitensi. Il 10 febbraio 2026, un proof-of-concept era gi\u00e0 apparso su GitHub.<\/p>\n\n\n\n

La Campagna di Sfruttamento: VShell, SparkRAT e Paesi Europei Colpiti<\/h3>\n\n\n\n

L’analisi di SecPod ha documentato una campagna di sfruttamento attivo di CVE-2026-1731 che ha coinvolto organizzazioni in Stati Uniti, Francia, Germania, Australia e Canada<\/strong>. La campagna ha impiegato strumenti come VShell<\/strong> e SparkRAT<\/strong> per il comando e controllo, con tecniche che includono distribuzione di web shell, takeover di account amministrativi, movimenti laterali, C2 basato su DNS ed esfiltrazione di dati su larga scala.<\/p>\n\n\n\n

I settori colpiti includono servizi finanziari, servizi legali, alta tecnologia, istruzione universitaria, commercio all’ingrosso e al dettaglio, e sanit\u00e0<\/strong>. La presenza di Francia e Germania nella lista dei paesi europei colpiti \u00e8 rilevante per le organizzazioni italiane: BeyondTrust \u00e8 utilizzato in molte grandi aziende europee come strumento standard per la gestione dell’accesso privilegiato IT. “Una vulnerabilit\u00e0 di questa gravit\u00e0 nelle piattaforme di accesso remoto privilegiato \u00e8 particolarmente pericolosa perch\u00e9 BeyondTrust \u00e8 il gateway verso l’intera infrastruttura gestita,” ha notato il team di Rapid7 nell’analisi tecnica della vulnerabilit\u00e0. “Comprometterlo significa avere accesso a tutto ci\u00f2 che amministra.”<\/p>\n\n\n\n

Le Otto Superfici di Attacco: Come Si Muovono i Criminali Informatici<\/h2>\n\n\n\n

Uno degli aspetti pi\u00f9 utili del Report Unit 42 2026 \u00e8 la mappatura precisa di come gli attaccanti distribuiscono la propria attivit\u00e0 su multiple superfici contemporaneamente. In 87% degli incidenti<\/strong> i criminali hanno operato su due o pi\u00f9 superfici. Nel 67%<\/strong> dei casi le superfici erano almeno tre, e nel 43%<\/strong> almeno quattro. Sono stati documentati casi con attivit\u00e0 simultanea su fino a otto superfici diverse, un livello di complessit\u00e0 operativa che supera le capacit\u00e0 di correlazione della maggior parte degli strumenti di sicurezza tradizionali non integrati.<\/p>\n\n\n\n

Quasi la met\u00e0 degli incidenti (48%<\/strong>) ha coinvolto attivit\u00e0 basate sul browser, riflettendo quanto spesso gli attacchi si sovrappongano ai flussi di lavoro quotidiani come l’accesso alla posta elettronica, la navigazione web e l’utilizzo delle applicazioni SaaS. Questo rende il browser un fronte critico nella difesa moderna, spesso sottovalutato rispetto agli strumenti di endpoint detection o di sicurezza di rete.<\/p>\n\n\n\n
Superficie di Attacco<\/th>Percentuale degli Incidenti (Unit 42 2026)<\/th><\/tr>
Identit\u00e0<\/td>89%<\/td><\/tr>
Endpoint<\/td>61%<\/td><\/tr>
Rete<\/td>50%<\/td><\/tr>
Browser<\/td>48%<\/td><\/tr>
Fattore Umano<\/td>45%<\/td><\/tr>
Email<\/td>27%<\/td><\/tr>
Applicazioni<\/td>26%<\/td><\/tr>
Cloud<\/td>20%<\/td><\/tr>
SecOps<\/td>10%<\/td><\/tr><\/tbody><\/table>\n\n\n\n

La superficie “SecOps” al 10% \u00e8 particolarmente preoccupante: significa che in un incidente su dieci i criminali hanno compromesso gli stessi strumenti di sicurezza e monitoraggio, rendendo le proprie attivit\u00e0 invisibili ai difensori. Questo dato rappresenta un salto qualitativo rispetto alla semplice violazione di un endpoint: compromettere gli strumenti di difesa significa che l’organizzazione \u00e8 cieca durante la fase pi\u00f9 critica dell’attacco. Il cloud, al 20%, mostra la crescita pi\u00f9 rapida in termini di trend rispetto agli anni precedenti.<\/p>\n\n\n\n

L’IA come Moltiplicatore di Forza per i Criminali Informatici<\/h2>\n\n\n\n

Il 2025 ha segnato il passaggio dall’sperimentazione dell’IA all’utilizzo di routine<\/strong> da parte degli attaccanti. Mentre nel 2024 l’uso dell’IA nel crimine informatico era ancora in fase sperimentale e limitata, il report Unit 42 documenta come nel periodo coperto dall’analisi i threat actor abbiano integrato strumenti di IA generativa nelle operazioni quotidiane, dalla ricognizione iniziale all’estorsione finale.<\/p>\n\n\n\n

Le applicazioni principali documentate includono: automazione della scansione delle vulnerabilit\u00e0 entro minuti dalla pubblicazione dei CVE; parallelizzazione della ricognizione su centinaia di target contemporaneamente; generazione automatica di messaggi di phishing personalizzati e convincenti; scripting automatico per la distribuzione di payload; automazione delle comunicazioni di estorsione. Un caso documentato da CERT-UA nel luglio 2025 ha rilevato che il malware russo LAMEHUG utilizzava un LLM per generare istruzioni C2 attraverso un’API, segnando la prima documentazione pubblica di un malware nation-state con IA generativa integrata nel ciclo operativo.<\/p>\n\n\n\n

Il risultato \u00e8 misurabile: la velocit\u00e0 di esfiltrazione nel test simulato da Unit 42 ha raggiunto i 25 minuti. Per i team di sicurezza, questo crea un problema strutturale: le pipeline di analisi e risposta umana non possono competere in velocit\u00e0 con pipeline di attacco automatizzate dall’IA. La risposta difensiva deve anch’essa essere in larga parte automatizzata, con policy-based response e playbook eseguiti senza approvazione manuale per le categorie di incidenti pi\u00f9 comuni e urgenti.<\/p>\n\n\n\n

CVE Critiche 2026: il Catalogo CISA KEV e le Vulnerabilit\u00e0 da Patchare Subito<\/h2>\n\n\n\n

Il catalogo CISA Known Exploited Vulnerabilities (KEV) rimane lo strumento di prioritizzazione pi\u00f9 diretto per i team di sicurezza che devono decidere quali patch applicare con urgenza. Nel febbraio-marzo 2026, il catalogo ha registrato tre aggiunte di alto profilo in rapida successione, tutte con CVSS superiore a 8.0 e con evidenza di sfruttamento attivo confermato prima della divulgazione.<\/p>\n\n\n\n
CVE<\/th>Prodotto<\/th>CVSS<\/th>Aggiunta CISA KEV<\/th>Tipo di Vulnerabilit\u00e0<\/th><\/tr>
CVE-2026-1731<\/td>BeyondTrust RS\/PRA<\/td>9.9 (v4)<\/td>13 feb 2026<\/td>OS Command Injection pre-autenticazione<\/td><\/tr>
CVE-2026-22769<\/td>Dell RecoverPoint for VMs<\/td>10.0<\/td>28 feb 2026<\/td>RCE con sfruttamento covert dal mid-2024<\/td><\/tr>
CVE-2026-22719<\/td>VMware Aria Operations (versioni < 8.18.6)<\/td>8.1<\/td>3 mar 2026<\/td>Sfruttamento attivo in the wild<\/td><\/tr><\/tbody><\/table>\n\n\n\n

CVE-2026-22769<\/strong>, con punteggio CVSS massimo di 10.0<\/strong>, colpisce Dell RecoverPoint for Virtual Machines ed \u00e8 particolarmente critica perch\u00e9 gli analisti di Greenbone documentano uno sfruttamento covert iniziato gi\u00e0 dalla met\u00e0 del 2024, ovvero quasi 18 mesi prima della divulgazione pubblica. CISA ha concesso alle agenzie federali solo tre giorni<\/strong> per applicare la patch, una delle finestre di remediation pi\u00f9 strette mai imposte dalla direttiva BOD 22-01. “Questi tre CVE illustrano un ‘fiume di rischio perpetuo’ con vulnerabilit\u00e0 critiche nell’infrastruttura enterprise,” si legge nel report di Greenbone. “La concentrazione di CVSS 9+ in strumenti di recupero, virtualizzazione e accesso privilegiato indica che gli attaccanti puntano sistematicamente alle fondamenta dell’IT aziendale moderno.”<\/p>\n\n\n\n

CVE-2026-22719<\/strong> riguarda VMware Aria Operations nelle versioni precedenti alla 8.18.6 ed \u00e8 stata aggiunta al KEV il 3 marzo 2026, con scadenza di remediation al 24 marzo. Per le organizzazioni che usano questi prodotti, il messaggio operativo \u00e8 chiaro: le vulnerabilit\u00e0 nell’infrastruttura di virtualizzazione, backup e accesso privilegiato devono essere trattate come priorit\u00e0 assoluta con SLA di 24-48 ore dall’aggiunta al catalogo KEV.<\/p>\n\n\n\n

Supply Chain Software: il Terzo Vettore d’Attacco in Espansione<\/h2>\n\n\n\n

Il terzo trend principale documentato nel report \u00e8 l’espansione del rischio nella supply chain software<\/strong> oltre il codice vulnerabile diretto. Gli attaccanti hanno spostato l’obiettivo sull’abuso delle connessioni di fiducia: integrazioni SaaS, strumenti di gestione dei fornitori e dipendenze open source transitive creano percorsi di accesso ereditati che bypassano completamente le difese perimetrali. L’impatto non \u00e8 una violazione isolata, ma un’interruzione operativa diffusa che colpisce tutti i clienti del componente compromesso.<\/p>\n\n\n\n

Il caso di CVE-2026-1731 illustra questo rischio concretamente: BeyondTrust \u00e8 uno strumento di gestione dell’accesso privilegiato utilizzato da migliaia di organizzazioni come componente critico della supply chain di sicurezza IT. Compromettere BeyondTrust significa accedere potenzialmente a tutto ci\u00f2 che gestisce, inclusi i sistemi dei clienti finali. Questo tipo di attacco a cascata \u00e8 esattamente il vettore che il report identifica come in crescita pi\u00f9 rapida nel panorama delle minacce 2026.<\/p>\n\n\n\n

La risposta difensiva alla supply chain richiede un approccio diverso rispetto alla gestione delle vulnerabilit\u00e0 tradizionale. Non basta patchare i propri sistemi: \u00e8 necessario condurre due diligence proattiva sui fornitori critici, richiedere attestazioni di sicurezza e SBOM (Software Bill of Materials), e implementare monitoring delle connessioni in uscita verso sistemi di gestione di terze parti per rilevare comportamenti anomali anche quando il fornitore stesso non ha ancora notificato una violazione.<\/p>\n\n\n\n

Il Mercato del Riscatto: Domande Mediane Salgono a 1,5 Milioni di Dollari<\/h2>\n\n\n\n

Il report Unit 42 include un’analisi delle dinamiche economiche del crimine informatico che mostra una traiettoria crescente inesorabile. La domanda di riscatto mediana<\/strong> \u00e8 salita da 1,25 milioni di dollari nel 2024 a 1,5 milioni di dollari nel 2025<\/strong>, un incremento del 20% in dodici mesi. Questo aumento riflette la maggiore capacit\u00e0 degli attaccanti di qualificare e massimizzare il danno prima di avanzare la richiesta, grazie all’esfiltrazione pi\u00f9 rapida e al volume maggiore di dati sottratti.<\/p>\n\n\n\n

L’accelerazione dei tempi di esfiltrazione ha un impatto diretto su queste cifre: pi\u00f9 dati vengono sottratti in meno tempo, maggiore \u00e8 la leva negoziale dell’attaccante. La combinazione di esfiltrazione rapida e minaccia di pubblicazione ha trasformato il ransomware da semplice attacco di cifratura a un’estorsione a doppia o tripla leva, con conseguenze reputazionali, legali e finanziarie che si moltiplicano nel tempo. Per il settore Retail e Commercio all’Ingrosso<\/strong>, che ha rappresentato il 18% degli obiettivi<\/strong> e il 19% degli impatti<\/strong> degli incidenti di estorsione nel 2025, la stagionalit\u00e0 delle operazioni amplifica ulteriormente la pressione al pagamento nei periodi di picco commerciale.<\/p>\n\n\n\n

Attori Statali: Identit\u00e0 Sintetiche e Compromissione delle Piattaforme di Virtualizzazione<\/h2>\n\n\n\n

Il quarto trend del report riguarda l’evoluzione delle tattiche degli attori statali<\/strong>, che stanno adattando le proprie tecniche agli ambienti enterprise moderni. Il cambiamento pi\u00f9 significativo \u00e8 il passaggio dall’utilizzo di exploit zero-day sofisticati all’infiltrazione persona-driven<\/strong>: falsa occupazione, identit\u00e0 sintetiche e credenziali acquisite sul mercato nero vengono utilizzate per ottenere accesso legittimo alle organizzazioni target. Un dipendente IT assunto con un’identit\u00e0 sintetica ha accesso nativo ai sistemi interni senza dover sfruttare alcuna vulnerabilit\u00e0 tecnica.<\/p>\n\n\n\n

Parallelamente, questi attori stanno approfondendo la compromissione dell’infrastruttura core e delle piattaforme di virtualizzazione. CVE-2026-22769 in Dell RecoverPoint, sfruttata covertamente per quasi 18 mesi prima della scoperta, \u00e8 un esempio concreto di questo approccio: una backdoor silente nell’infrastruttura di backup garantisce accesso permanente indipendentemente dai cambiamenti di configurazione o dalle rotazioni delle credenziali. Il report documenta i “primi segnali di tecniche AI-enabled” utilizzate da questi attori per simulare comportamenti utente legittimi e sfuggire ai sistemi di rilevamento comportamentale.<\/p>\n\n\n\n

La Risposta Europea: Cyber Resilience Act, NIS2 ed ENISA come Root CVE<\/h2>\n\n\n\n

Il contesto normativo europeo sta evolvendo in risposta diretta alle minacce documentate nel report Unit 42. Due sviluppi sono particolarmente rilevanti per le organizzazioni italiane ed europee. Il primo \u00e8 il Cyber Resilience Act (CRA)<\/strong>, che impone dal 11 settembre 2026<\/strong> ai fabbricanti di prodotti con elementi digitali l’obbligo di segnalare le vulnerabilit\u00e0 sfruttate attivamente entro 24 ore<\/strong> a ENISA e al CSIRT nazionale competente. Il processo di segnalazione \u00e8 strutturato in tre fasi: notifica iniziale entro 24 ore, report di follow-up entro 72 ore, report finale entro 14 giorni. Le sanzioni per la mancata compliance arrivano fino a 15 milioni di euro o il 2,5% del fatturato annuo mondiale<\/strong>.<\/p>\n\n\n\n

Il secondo sviluppo \u00e8 l’elevazione di ENISA al ruolo di Root del programma CVE globale<\/strong>, annunciata nel novembre 2025. Questa promozione trasforma ENISA da CNA (autorit\u00e0 di numerazione CVE) a hub di coordinamento centrale per la gestione delle vulnerabilit\u00e0 nell’UE, con responsabilit\u00e0 di supervisione sui CNAs subordinati nella giurisdizione europea. Per le organizzazioni italiane, questo significa che le vulnerabilit\u00e0 scoperte nel contesto europeo possono ora essere coordinate con maggiore rapidit\u00e0 attraverso una catena di responsabilit\u00e0 chiaramente definita.<\/p>\n\n\n\n

La combinazione tra velocit\u00e0 di sfruttamento (15 minuti dalla pubblicazione del CVE) e obbligo di segnalazione CRA entro 24 ore crea una pressione operativa significativa. Un fabbricante che viene a conoscenza di uno sfruttamento attivo a mezzanotte ha fino alle ore 00:00 del giorno seguente per notificare ENISA, indipendentemente dal fuso orario, dal numero di sistemi da analizzare e dalla complessit\u00e0 tecnica dell’indagine preliminare. Le organizzazioni che non hanno ancora automatizzato i processi di vulnerability detection e incident triage si troveranno strutturalmente in difficolt\u00e0 rispetto a questa scadenza.<\/p>\n\n\n\n

Confronto Storico: L’Accelerazione degli Attacchi 2024-2026<\/h2>\n\n\n\n

Per comprendere la portata del cambiamento documentato nel Report Unit 42 2026, \u00e8 utile contestualizzarlo nel trend degli ultimi anni. Il tempo di esfiltrazione per il 25% pi\u00f9 veloce degli incidenti \u00e8 passato da 285 minuti nel 2024<\/strong> a 72 minuti nel 2025<\/strong>. Nello scenario simulato con IA, 25 minuti. La direzione del trend suggerisce che il prossimo report potrebbe mostrare il 25% pi\u00f9 veloce sotto i 45 minuti, avvicinandosi ulteriormente al benchmark IA di 25 minuti man mano che gli attaccanti integrano pipeline pi\u00f9 sofisticate.<\/p>\n\n\n\n

La domanda di riscatto mediana ha segu\u00ecto una curva crescente analoga: da livelli sotto il milione di dollari nel 2022-2023, a 1,25 milioni nel 2024, a 1,5 milioni nel 2025. La superficie di identit\u00e0 ha consolidato la propria posizione come vettore dominante, raggiungendo l’89% nel 2025. Questi trend convergenti disegnano un futuro in cui gli attacchi sono pi\u00f9 veloci, pi\u00f9 costosi, pi\u00f9 difficili da rilevare e pi\u00f9 difficili da contenere. La risposta industriale passa attraverso l’automazione della difesa, il consolidamento degli stack di sicurezza e una governance rigorosa dell’identit\u00e0 digitale.<\/p>\n\n\n\n

Copertura Correlata<\/h2>\n\n\n\n

Approfondimenti su Sicurezza, CVE e Normativa Europea<\/h3>\n\n\n\n