Le credenziali rubate, spesso ottenute tramite phishing o password spraying, sono state il primo passaggio in un attacco ransomware su tre nel 2025. Ad affermarlo è il Threat Intelligence Report 2026 di Truesec, basato sui casi reali gestiti dai team SOC e CSIRT di Truesec nel corso del 2025.

Secondo Truesec, l’evoluzione delle minacce si lega soprattutto a due fattori: l’adozione massiccia dell’AI nei contesti produttivi e l’intensificarsi delle tensioni geopolitiche globali. L’AI sta accelerando i tempi sia della difesa che dell’attacco: modelli di linguaggio, automazione dei workflow e agenti software permettono di accorciare il tempo che separa l’accesso iniziale dall’impatto. Proprio per questo gli attaccanti fanno un uso crescente di LLM e di strumenti generativi. Quanto al secondo punto, il piano digitale ricalca il contesto geopolitico e il relativo indebolimento progressivo dell’ordine internazionale basato su accordi, trasparenza e flessibilità delle alleanze. Gruppi criminali organizzati e gruppi di hacktivisti si mescolano, collaborano e si scambiano i servizi, rendendo difficile distinguere con chiarezza se una campagna abbia obiettivi economici, di intelligence o di disinformazione.

Passiamo al piano tecnico. Come accennato in apertura, uno dei passaggi più interessanti del report è che la superficie di ingresso privilegiata per gli attacchi cyber resta il lato umano. L’analisi degli interventi condotti dagli analisti di Truesec mostra che in più di un terzo degli incidenti andati a buon fine, la porta d’ingresso sono state le credenziali valide. In questo caso l’AI c’è, ma come moltiplicatore: testo persuasivo, tempi di consegna più rapidi, siti clone credibili raggirano meglio le vittime.

Accanto al tema dell’accesso iniziale, il report sottolinea che la diffusione di sistemi di AI in azienda crea nuove superfici d’attacco e potenziali single point of failure, se non sono gestiti con controlli adeguati. Gli esperti insistono sulla necessità di compiere un salto di qualità nella gestione delle identità, nella governance degli accessi e nel monitoraggio delle chiamate alle API, soprattutto quando vengono usate come backend per automazioni decisionali o generative.

Al netto delle differenze di settore, dal report emerge un messaggio piuttosto chiaro: investire in sicurezza porta a benefici misurabili. Secondo i dati di Truesec, le organizzazioni che negli ultimi anni hanno rafforzato in modo strutturato la security hanno registrato un calo degli incidenti ransomware gravi. Sul piano operativo, questo si traduce in un modello di difesa basato sulla riduzione del tempo di permanenza degli attaccanti in rete, sull’aumento del costo per ogni passo avanti all’interno dell’infrastruttura target e sulla limitazione dei danni possibili.

Infine, il report delinea una serie di direttrici in cui potrebbe muoversi il 2026. L’AI sarà uno strumento di massa usato sia dagli attaccanti che dai difensori. A fare la differenza sui nuovi vettori di attacco sarà la velocità con cui vengono testati, adattati e replicati su larga scala.
In un quadro che cambia così in fretta, continuare a usare framework vecchi e checklist basate su superfici d’attacco datate rischia di dare un vantaggio competitivo agli attaccanti.