“Il cyberspazio è diventato un dominio politico”. Non è una metafora e non è una proiezione: "siamo passati da una cybersecurity che serviva solo a difendere le aziende a una cybersecurity che diventa difesa nazionale". A sottolinearlo è Francesco Seminaroti, Country Manager Italia di Palo Alto Networks, alla quarta edizione di Ignite on Tour Milano 2026. Insieme a lui, SecurityOpenLab ha intervistato Helmut Reisinger, CEO EMEA di Palo Alto Networks, e Umberto Pirovano, Senior Manager Technical Solutions. I tre manager convergono su un punto: AI, identità digitale e pressione normativa stanno ridefinendo l'architettura del rischio nel suo complesso.

Seminaroti parte da un dato politico: "il Ministro Crosetto ha presentato nel piano di ridefinizione della strategia nazionale il dominio cibernetico come un ruolo centrale per la difesa nazionale [...] e questo pone noi aziende e i clienti di fronte a una responsabilità concreta verso il Paese". I numeri che accompagnano questa transizione sono quelli di un Paese sotto pressione crescente: come rivelato ieri nel Rapporto Clusit, l'Italia ha registrato un incremento degli attacchi del 42% anno su anno e si colloca tra i bersagli più rilevanti su scala globale. Il settore manifatturiero, colonna portante dell'economia italiana, è destinatario del 12,6% degli attacchi subiti in Italia, e il 16% di quelli registrati a livello globale: significa che su 100 attacchi nel mondo contro il comparto manifatturiero, 16 colpiscono aziende italiane.

A questi dati si affianca una nuova consapevolezza che Seminaroti ha colto nei suoi interlocutori: "il problema delle aziende oggi non è solo proteggere sé stesse, ma disporre di una sorta di threat intelligence geopolitica, ossia di qualcuno che li supporti per capire che cosa sta succedendo nel mondo". Un ruolo per il quale Palo Alto si candida grazie alla divisione di threat intelligence Unit 42, che aggrega i dati provenienti dalle proprie piattaforme globali e aggiorna le piattaforme aziendali, così da poter prevenire gli attacchi.

Francesco Seminaroti, Country Manager Italia di Palo Alto Networks

Il fattore AI, fra pro e contro

In meno di tre anni ChatGPT e la GenAI hanno raggiunto un miliardo di utenti. Per ottenere lo stesso traguardo di utenza, Internet impiegò ventitré anni, il Mobile sedici anni. Seminaroti ha usato questa proporzione per spiegare la velocità di adozione di una tecnologia che ha travolto le imprese, e cita i dati dell'Osservatorio del Politecnico di Milano secondo cui il 71% delle aziende italiane ha già avviato progetti di intelligenza artificiale. Però solo il 15% di queste ha integrato la sicurezza nel processo, creando un problema che sarà sempre più grande, ha avvertito Seminaroti, "perché la possibilità che i dati vengano manipolati in modo incorretto è quello che poi porterà a guai che noi vendor dovremo gestire".

Pirovano si è fatto carico della lettura tecnica di questo scenario: oltre che essere uno strumento importante per i difensori, l’AI è già un moltiplicatore di forza nelle mani degli attaccanti, probabilmente in misura superiore a quanto si potesse prevedere. Non si tratta soltanto della capacità di scrivere codice malevolo più velocemente o di modificare il payload per bypassare le difese: “l'AI supporta oggi la definizione delle strategie di attacco, l'identificazione dei vettori di ingresso, la profilazione delle vittime”. I risultati sono sconcertanti; a titolo di esempio basti pensare che "la profilatura completa di una persona nel dark web e con sistemi automatizzati, oggi avviene in ore", contro le settimane che erano necessarie in passato. A questo si aggiunge il problema del deepfake, che ha raggiunto un livello qualitativo tale da rendere impossibile la distinzione a occhio nudo di contenuti reali da quelli generati: "La possibilità di interagire con qualcuno che simula viso, voce e speech in maniera completamente realistica rappresenta – nelle parole di Pirovano - una discontinuità senza precedenti nella storia delle minacce digitali”.

Sul piano globale, Reisinger ha snocciolato le misure di questa accelerazione. Le piattaforme di Palo Alto Networks rilevano ogni giorno 8,95 milioni di attacchi nuovi: minacce che non esistevano il giorno precedente, alimentate dall'automazione delle campagne offensive ottenuta grazie all’AI. Il tempo tra la compromissione di un sistema e l'esfiltrazione dei dati si è ridotto dai nove giorni di tre anni fa a una media di un giorno, con i casi più rapidi che si attestano intorno all'ora. "Una finestra di risposta di sei giorni semplicemente non è più sufficiente", ha sintetizzato Reisinger. "Un terzo delle vulnerabilità pubblicate viene sfruttato in meno di un'ora" e il tempo di reazione dei robot ricognitivi dopo la pubblicazione di una patch si misura in dodici-quindici minuti.

Helmut Reisinger, CEO EMEA di Palo Alto Networks

L'identità come nuovo perimetro di sicurezza

Il denominatore comune degli interventi dei tre manager è l'identità. Pirovano ha rimarcato più volte che "la identity è diventata uno degli elementi fondamentali" e che le debolezze nella gestione delle identità sono alla base di “circa il 90% degli attacchi di successo analizzati dalla Unit 42. La ragione è strutturale: chi riesce ad appropriarsi delle credenziali di un utente legittimo non ha bisogno di forzare i sistemi, semplicemente vi accede con un login. Questo è il problema".

Il quadro si amplifica a dismisura se si considerano le identità non umane: Pirovano stima che oggi esistono circa 80 identità macchina per ogni essere umano. Con l'avvento degli agenti AI, quella proporzione è destinata a esplodere: nei prossimi anni sono attesi in produzione 1,3 miliardi di agenti. Un agente è un oggetto ibrido, a metà tra una macchina e un essere umano, con comportamenti dinamici che i sistemi di identity tradizionali non sono attrezzati a gestire", ha spiegato Pirovano. La behavioral analysis deve seguire la modalità con cui lavorano, e la comunicazione tra agenti, inclusa l'infrastruttura MCP all'interno del singolo host, va protetta con strumenti specifici.

È in questo contesto che si inquadra l'acquisizione di CyberArk, leader di mercato nella Identity Security, il cui processo di integrazione nella piattaforma Palo Alto Networks è in corso. Il primo rilascio concreto è Zero Touch PKI, finalizzato alla gestione automatizzata dei certificati digitali all'interno dell'infrastruttura Palo Alto. È una necessità concreta, perché il tempo di vita media dei certificati si è ridotto a 47 giorni e il rinnovo manuale non è più praticabile su scala. Seminaroti ha sintetizzato la traiettoria complessiva dell'integrazione di CyberArk in tre assi: governance delle identità (chi fa cosa, con quali credenziali e privilegi), observability dei comportamenti agentici, e intervento automatico tramite il modulo AIRS (AI Runtime Security) nel momento in cui viene rilevata un'anomalia.

Umberto Pirovano, Senior Manager Technical Solutions

Si apre così il tema della platformization, nata per risolvere un problema diffuso: un'organizzazione media dispone oggi di circa 30 strumenti diversi per proteggere la propria infrastruttura digitale, e ogni confine tra questi strumenti è una superficie esposta. Palo Alto Networks risponde con una piattaforma che aggrega telemetria da firewall, reti, asset cloud ed endpoint, a cui si aggiunge la scansione continua di Internet. "La cybersecurity è un problema di dati", ha sottolineato Reisinger, "e più telemetria è disponibile, più velocemente si potranno correlare e rilevare le minacce".

CyberArk è solo una delle molte acquisizioni portate avanti da Palo Alto per estendere questa strategia, in cui ogni nuova componente si integra senza creare nuovi silos. Perché ogni gap tra soluzioni diverse, ha ricordato Reisinger, è un punto di ingresso potenziale per gli attaccanti. Il manager ha chiarito la logica di quelle più recenti:  la startup israeliana Koi Security presidia l'agentic endpoint security, compiendo "un salto in avanti e anticipando quello che diventerà una necessità nell'ambito della sicurezza agentica degli endpoint", mentre la statunitense Chronosphere presidia la data observability. Riguardo a quest'ultima, Reisinger sottolinea che si tratta di "un disruptive leader nella data observability", in grado di gestire volumi di dati scalabili per i modelli AI, a un costo pari al 50% rispetto agli attuali leader del mercato.

L'architettura del SOC è il punto in cui questa filosofia assume una forma operativa, radunando in un unico punto dati, AI e automazione. Nella visione moderna i playbook statici tradizionali lasciano il posto ad AgentX, la soluzione di automazione agentica per i SOC, capace di gestire l'intero ciclo di vita di un incidente dalla detection alla remediation, inclusa l'analisi forense, che è sempre più rilevante ai fini della compliance normativa. La particolarità di AgentX è che i guardrail che lo rendono sicuro sono gli stessi che Palo Alto Networks mette a disposizione dei propri clienti per proteggere i loro agenti AI, mettendo a frutto l'esperienza maturata nella sicurezza degli agenti.

Sul tema dell'apertura della piattaforma verso terze parti, Reisinger ha sgombrato il campo da un possibile equivoco sul lock-in: "non reputiamo che le aziende debbano per forza avere solo soluzioni Palo Alto. Possiamo comunque acquisire telemetria da soluzioni di terze parti”.

Compliance normativa

La pressione normativa è un tema centrale, con NIS2 e Dora che hanno allargato significativamente il perimetro delle organizzazioni soggette a obblighi di cybersecurity. In entrambi i casi si parla di una transizione che procede per gradi ma che sta comunque producendo effetti concreti: "circa il 50% delle aziende sottoposte a NIS2 ha già applicato tutti i meccanismi di risposta agli incidenti", ha chiarito Reisinger citando uno studio presentato a CyberSec 2026.

In relazione all’Italia, Seminaroti ha osservato che per ora si è svolta la corsa ad apporre il primo check sugli elementi essenziali, a volte a scapito della profondità dell'intervento, resta molto da fare. Però l'effetto positivo è reale: la responsabilità personale introdotta da NIS2 per i CXO ha spostato la cybersecurity ai piani alti delle organizzazioni "e questo ci aiuta a cancellare l’errore concettuale che la sicurezza sia una commodity".

Pirovano ha aggiunto la prospettiva delle PMI, che costituiscono la struttura portante dell'economia italiana. Per queste realtà, la compliance non è una scelta ma una condizione di accesso alle filiere delle grandi imprese e comporta la soluzione di problemi che non sono solo tecnologici: c'è un deficit culturale diffuso nella capacità di tradurre i requisiti normativi in azioni concrete, e una percezione di complessità che spesso paralizza prima ancora di iniziare. La risposta, in questo segmento, passa per gli MSSP, che Palo Alto Networks supporta con strumenti di AI e automazione per erogare servizi complessi in modo scalabile, senza che la crescita del numero di clienti richieda una crescita lineare del numero di analisti.