L’industria del crimine accelera e ora corre a una velocità spaventosa. A imprimere questa brusca accelerazione la diffusione di intelligenza artificiale e soluzioni di automazione, che permettono ai criminali informatici di attivare campagne di hacking quasi totalmente automatizzate e sempre più efficienti, con malware polimorfici, in grado di mutare per sfuggire ai tentativi di identificazione, e deepfake sempre più credibili. Nel 2026, gli obiettivi principali degli attacchi saranno le infrastrutture di cloud ibrido, quelle di IA, ma anche la supply chain del software.
Questi i dati che emergono dallo studio “The AI-fication of Cyberthreats – Trend Micro Security Predictions for 2026“, realizzato da TrendAI, business unit di Trend Micro, che è stato presentato in occasione dell’evento #SecurityBarcamp organizzato a Milano dall’azienda, al quale ha partecipato anche Edge9.
Il crimine informatico diventa un’industria
L’adozione dell’IA nei processi aziendali procede in parallelo a quella dei criminali informatici. In pratica, le stesse tecnologie utilizzate per aumentare produttività, efficienza e automazione nel business diventano leve per attacchi più rapidi, mirati e difficili da intercettare. E, soprattutto, facili da portare a termine anche per attaccanti non particolarmente esperti.
Esattamente come sta accadendo nel mondo lavorativo, infatti, gli attaccanti hanno iniziato ad appoggiarsi ad agenti di IA in grado di avviare e portare a termine campagne di attacco in maniera totalmente autonoma. Non solo: hanno imparato a sfruttare gli errori nelle implementazioni di IA aziendali, cercando di compromettere agenti di IA non adeguatamente protetti. In parte, il lavoro dei criminali è anche facilitato dalla diffusione del vibe coding, cioè dello sviluppo software assistito dall’intelligenza artificiale, che velocizza enormemente la scrittura del codice, rendendo accessibile lo sviluppo anche a persone non esperte in programmazione. C’è però un rovescio della medaglia: se il vibe coding da un lato accelera di molto la creazione di nuove app aziendali, dall’altro apre nuove potenziali falle di sicurezza. Che i criminali cercano di sfruttare per compromettere le infrastrutture IT aziendali.
“Il 2026 sarà ricordato come l’anno in cui il crimine informatico ha smesso di essere un settore basato sui servizi ed è diventato completamente automatizzato”, spiega Salvatore Marcis, Country Manager di TrendAI Italia. “È iniziata l’era in cui agenti di intelligenza artificiale scoprono, sfruttano e monetizzano i punti deboli senza l’intervento umano. Il compito dei responsabili aziendali non è più solo quello di rilevare gli attacchi, ma di contrastare il ritmo sempre più frenetico delle minacce guidate dalle macchine”.
Gli APT uniscono le forze
Da qualche anno i gruppi criminali hanno iniziato a specializzarsi e a collaborare fra loro, scambiando informazioni e tecniche. Ci sono team che si occupano di scrivere i malware, altri che scovano, e vendono, gli accessi a sistemi compromessi, altri ancora si sono specializzati nella negoziazione i termini riscatto dei ransomware.
Recentemente, anche gli APT, i gruppi legati o sponsorizzati da governi o entità a loro legate, hanno iniziato a collaborare fra loro. Con un duplice risultato: riescono a organizzare campagne più efficaci e allo stesso tempo rendere ancora più incerta e complicata l’attribuzione degli attacchi.
Cosa possono fare le aziende e gli enti pubblici per proteggersi? Secondo Matteo Macina, Head of Cyber Security di TIM, presente all’evento di TrendAI, “nel 2026 la priorità nella cybersecurity sarà rafforzare la governance e i meccanismi di controllo dei sistemi basati su intelligenza artificiale. L’adozione di Agenti di IA richiede nuove capability di security assessment, pensate non solo per il singolo sistema ma per le interazioni tra sistemi. Il rischio principale non è un’IA intenzionalmente malevola, ma un’IA legittima che opera in modo autonomo senza essere pienamente compresa. In questi contesti, anche un errore può diventare operativo e propagarsi rapidamente. È su questo che va spostato il focus: prevenzione, controllo e responsabilità degli ecosistemi di IA, prima che degli incidenti”.
Cosa fare in caso di ransomware? Resistere (e rischiare di chiudere) o cedere al ricatto?
Durante l’evento Luca Bechelli, Membro del Comitato Direttivo del Clusit, ha sottolineato la necessità di rendere illegale il pagamento del ransomware. A oggi, infatti, non è prevista alcuna sanzione per chi scende a compromessi con i criminali informatici. Secondo Bechelli, sarebbe opportuna una legge che impedisca esplicitamente di pagare, così da evitare di finanziare l’industria del crimine. Un’opinione condivisibile, per molti versi, ma che si scontra con la realtà dei fatti: per molte PMI, pagare è l’unico modo per poter riprendere le attività. L’alternativa è quella di licenziare i dipendenti e chiudere. Viene lecito chiedersi se, in tali situazioni, pagare forse non sia il male minore.
Sicuramente, come sottolinea Bechelli, è fondamentale la prevenzione: le aziende devono essere pronte a un evento distruttivo come il blocco dei sistemi informatici dovuto a ransomware, predisporre piani di emergenza e di disaster recovery, così da poter riprendere il controllo in caso di incidente. Ma questa è la teoria: la realtà è che solo le grandi aziende, oggi, hanno le competenze e le risorse economiche per predisporre contromisure efficaci. Se da un lato è fondamentale aiutare queste realtà a evolvere e a migliorare la propria postura, dall’altro rendere un crimine il pagamento di un riscatto forse non è la via più efficace per risolvere il problema.