L’intelligenza artificiale non è più un vantaggio competitivo: è il terreno stesso su cui si combattono gli attacchi informatici. Chi non usa l’AI per difendersi, oggi, la subisce. A mettere in chiaro la portata di questo cambio di paradigma è Dennis Cassinerio, Senior Director e General Manager Sud Europa e CEE di Acronis, che durante la conferenza stampa di fine anno ha fatto il punto sugli attacchi già potenziati dall’AI, contrapposti alle piattaforme di sicurezza che sono chiamate a rispondere con gli stessi strumenti. Secondo Cassinerio, circa il 90% degli attacchi analizzati nel 2024 sfrutta una qualche forma di intelligenza artificiale, e questa corsa sta spingendo il mercato globale della cybersecurity basata su AI a passare da circa 25 miliardi di dollari nel 2024 a circa 94 miliardi di dollari nell’arco di cinque anni, con una crescita aggregata vicina al 24%.

L’Italia

In questo scenario, “l’Italia cresce anno su anno del 46%, ampiamente sopra alla media europea, che si ferma al 32%”, ha spiegato Cassinerio, sottolineando come il ritmo di adozione delle strategie Acronis sul canale sia quasi il 50% più veloce rispetto al resto del Continente. Il lavoro non si è concentrato solo sull’ampliamento numerico della base di partner, ma sul consolidamento qualitativo: i service provider attivi sono aumentati del 6% (contro il 4% europeo), mentre i clienti finali raggiunti tramite il canale sono cresciuti del 26%, a fronte di un +23% nel resto d’Europa. ​

Il dato più eloquente per leggere la trazione del mercato italiano è quello dei workload protetti: nell’ultimo anno sono aumentati del 39%, a fronte di una media europea del +24%. Ancora più marcata la crescita dei sensori EDR, che Cassinerio definisce “il punto di correlazione su cui costruiamo i servizi di cyber resilienza”: qui l’Italia segna un +135% rispetto al +103% del Vecchio Continente, sintomo di un’adozione “estremamente veloce di tutte le componenti di security inserite in piattaforma”.

Dennis Cassinerio, Senior Director e General Manager Sud Europa e CEE di Acronis

A supporto di questo sviluppo, Acronis continua a investire sull’infrastruttura locale: il data center italiano (che è uno dei 54 a livello globale), ha recentemente rinnovato la qualificazione ACN ai livelli QC1 e QC2, che è un requisito chiave per ospitare dati della pubblica amministrazione e per garantire piena aderenza alle politiche di data sovereignty. “Manteniamo la residenza dei dati e la massima trasparenza richiesta dall’ACN, ed è un elemento che ci sta aiutando moltissimo nel dialogo con i partner e con la PA”, ha rimarcato Cassinerio.​

Equity, AI e strategia al 2026

Sul piano corporate, il 2024 è stato segnato dall’ingresso del fondo di private equity EQT, che ha acquisito il 51% di Acronis con l’obiettivo dichiarato di triplicare il valore dell’azienda nei prossimi quattro anni. Il 2026 viene descritto come l’anno di demarcazione in cui convergeranno due direttrici: l’operatività dei service provider e l’iper‑automazione dei processi, resa possibile dagli agenti di AI integrati in piattaforma. “Dobbiamo riservare tempo alle attività che producono davvero valore e restituire agli operatori il lusso di pensare, perché l’AI assorbirà la parte più ripetitiva dei task di sicurezza”, ha detto Cassinerio, richiamando una logica paretiana in cui “l’applicazione dell’intelligenza artificiale nelle piattaforme di sicurezza permetterà di concentrarci su quel 20% di attività che genera l’80% dell’output”.

A questo discorso si riallaccia la questione dello skill shortage: secondo Cassinerio, i circa 4 milioni di posti vacanti in cybersecurity che il mercato non riesce a coprire saranno in parte colmati dal reskilling, in buona parte da piattaforme in grado di aumentare in modo drastico la produttività delle risorse esistenti. “Probabilmente nei prossimi cinque anni avremo più persone disponibili a entrare nei processi, se diamo loro strumenti che consentano di usare la creatività per migliorare i flussi, anziché inseguire log e alert”, ha detto Cassinerio, definendo il 2026 “un anno di sperimentazione” anche per capire dove l’AI aprirà nuovi fronti di sicurezza. A tale proposito Acronis sta lavorando con i partner a un re‑skilling che non riguarda solo la tecnologia, ma il ruolo stesso degli operatori all’interno dell’ecosistema cyber: “nel mondo dei servizi MDR non basta più capire che cosa fa il servizio, bisogna definire che cosa succede quando avviene l’incidente, come lavorano insieme le diverse parti e come si restituisce al cliente un miglioramento continuo, anche dopo il breach”, ha osservato Cassinerio.

Acronis ha già in produzione molti tasselli di questa visione. Nell’ambito XDR, per esempio, la piattaforma automatizza la correlazione degli eventi e suggerisce in modo proattivo risposte e remediation, lasciando agli analisti la valutazione critica dei casi più complessi. All’interno del portafoglio è poi presente “un copilot Acronis che guida le operation consentendo, fra le altre cose, di riscrivere script di servizio e ottenere suggerimenti di ottimizzazione” sottolinea Cassinerio.

L’AI, però, non è declinata solo sulla detection: “Il leitmotiv non è più soltanto l’intelligenza artificiale ma l’automazione dei servizi, anche nel billing”, ha insistito Cassinerio, spiegando che nel 2026 vedremo una trasformazione profonda delle operation dei provider, con API, sistemi di fatturazione e moduli PSA e di remote management sempre più integrati e intelligenti, che abilitino il risultato di business e la riduzione misurabile del rischio.

Gli acceleratori

La leva regolamentare è un altro pilastro della strategia di Acronis. Il vendor vede nella NIS2 e nel regolamento Dora “un abilitatore estremamente forte” perché costringono le aziende a passare dalla semplice protezione alla gestione strutturata del rischio e del recovery. “Come piattaforma centrata sulla data protection copriamo protezione, rilevamento e recupero applicando i framework internazionali e garantiamo una piena aderenza ai requisiti NIS2, soprattutto nel dialogo con i service provider e con gli utenti finali”, ha affermato Cassinerio.

Il manager ricorda che l’Italia è una delle prime nazioni ad aver recepito rapidamente la direttiva, e che dal 2026 scatta l’obbligo di reporting degli incidenti all’Agenzia per la Cybersicurezza Nazionale, con controlli sul campo attesi da ottobre 2026. “La compliance ci accompagna: stiamo mostrando ai partner come erogare offerte al mercato che siano compatibili con NIS2, perché i gap di maturità, soprattutto nella supply chain, sono ancora evidenti ma destinati ad accelerare nei prossimi mesi”, ha aggiunto.

Sul fronte dei settori verticali, Acronis sta spingendo in tre direzioni: pubblica amministrazione, manifatturiero OT e supply chain regolata. In Italia, Acronis ha avviato con il partner romano Eurodigit un percorso per portare servizi di cyber‑resilienza alla PA tramite il Mercato Elettronico della PA (MEPA), e sta preparando il passo successivo verso le convenzioni Consip, così da rendere ancora più diretto l’accesso alle piattaforme per gli enti pubblici.

Nel manifatturiero, uno dei settori maggiormente sotto pressione per l’aumento degli attacchi che sfruttano AI e interfacce uomo‑macchina, Acronis sta ragionando su una struttura commerciale più elastica per accelerare l’offerta di sicurezza OT. Cassinerio sottolinea inoltre come i fornitori lungo la cyber supply chain saranno sempre più valutati dai consigli di amministrazione anche per il loro contributo alla riduzione del rischio e alla generazione di valore, spingendo verso modelli di servizio misurabili e outcome‑based.

Le minacce del TRU di Acronis

Irina Artioli, Security Success Manager e ricercatrice della Threat Research Unit di Acronis, ha tracciato il panorama delle minacce per il 2025‑2026. “Al primo posto posiziono i celebri attacchi che provengono dagli sviluppatori nordcoreani che si infiltrano nelle aziende in tutto il mondo”, ha esordito Artioli, ricordando un caso europeo che ha coinvolto una nota società di sicurezza. Queste campagne sfruttano Deepfake e Deepvoice per costruire candidati perfetti, capaci di superare quattro o cinque colloqui di lavoro prima che qualcuno si accorga di avere assunto un insider che diffonde malware, e questo avviene spesso solo al momento della consegna del PC aziendale. Per questi casi “è necessario rivedere la gestione dei privilegi: non possiamo concedere troppi diritti a chi è appena arrivato in azienda, proprio perché il vettore è umano e non più solo tecnologico”, ha sottolineato Artioli.

Irina Artioli, Security Success Manager e ricercatrice della Threat Research Unit di Acronis

La ricerca più recente della TRU, pubblicata a novembre, analizza poi il malware TamperedChef, diffuso tramite manuali scaricati da siti web compromessi. È un chiaro esempio di come gli attaccanti colleghino sapientemente social engineering, AI e payload tradizionali. Un’altra famiglia di tecniche emergenti è quella legata al gruppo Scattered Spider, che utilizza telefonate di finto supporto IT (vishing) e meccanismi come ClickFix e la sua evoluzione JackFix per spingere le vittime ad azioni malevole.

“Gli attaccanti non puntano più sui sistemi ma sulle persone: l’essere umano diventa il vettore iniziale più facile da ingannare, non serve creare zero‑day o usare AI per trovarle, basta saper chiedere nella maniera giusta”, ha sintetizzato Artioli. Per questo, secondo la ricercatrice, la difesa deve muoversi verso modelli comportamentali: threat hunting, analisi e AI devono concentrarsi sull’intento dell’attaccante, non solo su file e indicatori statici.

Artioli ha citato anche il caso italiano che ha coinvolto il ministro della Difesa Guido Crosetto, vittima di una combinazione di email malevola e deep voice che dimostra quanto questi attacchi possano essere convincenti: “dobbiamo cambiare approccio: l’automazione ci serve per classificare gli alert più tradizionali, ma gli analisti devono avere un ruolo più strategico, capire come si sta comportando il Cyber Threat Landscape per anticipare tattiche e tecniche”, ha ribadito. Per farlo, diventa cruciale sfruttare in modo più evoluto la telemetria: log, eventi dai server, dal cloud e dagli ambienti di virtualizzazione vanno raccolti e soprattutto classificati con l’aiuto dell’AI, così da costruire un quadro coerente di ciò che avviene nell’ambiente. “Dobbiamo memorizzare tutti i dettagli per essere pronti ad affrontare queste minacce, sapendo che il malware di oggi è in grado di adattarsi al sistema in cui lavora”, ha aggiunto Artioli, ammettendo che questo scenario “deve spaventare ogni analista” ma può essere gestito investendo sia sugli strumenti sia sulle persone.

Il riferimento di Artioli è ai malware automodificanti, che utilizzano l’AI per spingere il codice in loop, ripetendo sequenze di comportamento che si adattano progressivamente all’ambiente compromesso. “Per noi è fondamentale riconoscere questi pattern perché il malware può ormai modificarsi per adattarsi ai sistemi, ed è qui che la shortage of skills diventa un problema ancora più grande”, ha osservato.

Parallelamente crescono gli attacchi senza malware, in cui l’attaccante sfrutta strumenti legittimi, living‑off‑the‑land e prompt injection contro sistemi di intelligenza artificiale e agenti di AI, inclusi i browser che incorporano funzioni avanzate. “Se prima guardavamo solo gli Indicatori di Compromissione, per sopravvivere al 2026 dovremo basarci sul comportamento e sull’intento”, ha sintetizzato Artioli, sottolineando la necessità di costruire competenze nuove partendo dalla capacità di formulare prompt corretti e di comprendere i limiti dei modelli generativi.

L’AI democratizza il malware

La terza voce del briefing, Umberto Zanatta, CISM, CISSP, Senior Solution Engineer di Acronis, ha portato il punto di vista sul rapporto fra AI, compliance e ruoli aziendali. Zanatta ricorda che l’intelligenza artificiale accelera lo sviluppo in scala esponenziale: basta chiedere all’AI di scrivere un mastermind in C++ e in pochissimi secondi si ha il codice pronto, quindi “in pochissimi secondi chiunque può oggi accedere a malware molto sofisticati”. Quello che comporta questo cambiamento è evidente: se in passato la creazione e la delivery di un attacco richiedevano team esperti, oggi la democratizzazione degli strumenti ribalta le proporzioni fra difensori e aggressori. “La cyber‑kill chain in alcuni incidenti che abbiamo studiato si è compressa in 30‑40 minuti: il tempo di andare a prendere un caffè e l’attacco è già concluso”, ha osservato Zanatta, per poi aggiungere che la difesa deve quindi “rispondere nell’arco di pochi secondi” grazie a SOC e applicazioni potenziati dall’AI.

Umberto Zanatta, CISM, CISSP, Senior Solution Engineer di Acronis

Zanatta condivide la visione dei colleghi sul fatto che l’AI non sostituirà il lavoro umano ma lo trasformerà, perché l’AI ha bisogno di qualcuno che la controlli, che addestri i sistemi e che colmi i gap fra minacce reali e capacità di detection. Per gli analisti questo significa spostare il focus dal file al contesto, monitorando che cosa sanno i threat actor dell’azienda, cosa circola nel dark web e quali campagne sono in preparazione, così da usare la potenza di calcolo dell’AI per anticipare l’intento malevolo.

Per i CISO, invece, la sfida è duplice: governare i costi dei nuovi sistemi intelligenti e garantire che restino allineati ai framework esistenti, dal GDPR alla NIS2, fino ai futuri regolamenti come il Cyber Resilience Act che imporranno patching sempre più automatizzato e capacità di auto‑protezione dei prodotti software. Tuttavia, è bene ricordare che “applicare questi sistemi non toglie responsabilità sulla compliance, per questo motivo bisogna continuare a lavorare sull’aspetto legale, perché non stiamo solo parlando di framework tecnici ma di impatti concreti in caso di breach e di mancata conformità”, ha ricordato Zanatta.