I criminali informatici si evolvono a un ritmo senza precedenti e, nel 2026, le aziende affronteranno un cambiamento decisivo: passeranno da un approccio difensivo e reattivo a tattiche di prevenzione avanzata e gestione proattiva delle minacce. Questa transizione è guidata dal crescente utilizzo delle vulnerabilità delle reti periferiche e delle tattiche LOTL (living-off-the-land) progettate per aggirare silenziosamente le soluzioni di protezione degli endpoint. Una recente ricerca che ha analizzato 700.000 incidenti di sicurezza ha rilevato che l'84% degli attacchi ora sfrutta tecniche LOTL, il che significa che i criminali informatici si affidano ad applicazioni o strumenti legittimi già presenti nell'ambiente invece che ricorrere al malware. Poiché gli hacker riescono a confondersi sempre meglio nel traffico di rete legittimo, le aziende devono adottare modelli di sicurezza orientati alla prevenzione, in grado di ridurre dinamicamente le superfici di attacco, garantire accessi su misura e rafforzare le difese prima ancora che le minacce vengano rilevate.

 Gli ambienti devono essere progettati per respingere i criminali informatici non solo per rilevarli

Per anni le strategie di sicurezza si sono basate sull’idea che individuare e contrastare rapidamente un attacco fosse sufficiente a limitarne i danni. Oggi però questo approccio perde efficacia: gli avversari non si affidano più al malware e le loro attività risultano identiche a quelle dei dipendenti. Le tecniche LOTL consentono agli hacker di muoversi silenziosamente utilizzando strumenti nativi del sistema operativo, ottenendo privilegi più elevati e spostandosi lateralmente nella rete senza attivare gli allarmi di sicurezza.

Allo stesso tempo, gli strumenti di rilevamento e risposta degli endpoint (EDR) e di rilevamento e risposta estesi (XDR) hanno raggiunto un elevato livello di maturità e diffusione, diventando oggi funzionalità standard piuttosto che elementi distintivi. Sebbene siano ancora essenziali, da soli non sono sufficienti. I criminali informatici hanno imparato ad aggirare i loro sistemi di rilevamento e hanno sviluppato metodi per disabilitare completamente gli agenti EDR/XDR durante le prime fasi di un attacco.

Nel 2026 le aziende realizzeranno sempre più ambienti progettati specificamente per ostacolare i criminali informatici. Questi ultimi, nel frattempo, automatizzano le attività di ricognizione, trasformano le vulnerabilità in strumenti di attacco nel giro di poche ore dalla loro divulgazione e sfruttano strumenti legittimi come PowerShell, WMIC o Certutil per simulare comportamenti affidabili. Poiché queste azioni spesso non lasciano tracce di malware o file binari sospetti, anche le piattaforme EDR e XDR avanzate possono generare grandi volumi di alert con segnale debole o innocui, rendendo difficile per i team di sicurezza distinguere le attività realmente dannose dal normale comportamento del sistema.

Il risultato è evidente: oggi il vero campo di battaglia è la superficie di attacco stessa, non più la precisione del rilevamento.

L'intelligenza artificiale rafforzerà controlli preventivi che si adattano alla velocità delle macchine

Una delle principali tendenze che caratterizzeranno il 2026 sarà l'ascesa dei sistemi di prevenzione adattivi basati sull'intelligenza artificiale, che rafforzano continuamente gli ambienti sulla base dei comportamenti reali e delle informazioni sulle minacce. Storicamente, i controlli di prevenzione erano considerati rigidi o dirompenti, ma grazie all’intelligenza artificiale moderna, questi sistemi diventano precisi, dinamici e scalabili, imparando come ogni dipendente utilizza applicazioni e strumenti di sistema, regolando i privilegi di accesso in base alle necessità lavorative e al livello di rischio, e bloccando le azioni ad alto rischio prima che possano essere rilevate.

Ad esempio, se un utente non utilizza mai PowerShell, l'accesso può essere limitato completamente. Se un altro utente lo utilizza normalmente per attività regolari, il sistema può permettere i comandi abituali, ma bloccare quelli crittografati o offuscati legati a intenti dannosi.

Ne deriva un approccio alla sicurezza in continua evoluzione, capace di chiudere le vie di accesso ai criminali informatici in tempo reale e di ridurre al minimo le possibilità di escalation. Grazie all’IA, che agisce in autonomia e monitora i modelli su interi ambienti, la prevenzione proattiva risulta molto più efficace rispetto all’affidarsi all’intervento umano per la gestione degli avvisi.

Le capacità di rilevamento e risposta rimarranno essenziali, ma le aziende le potenzieranno sempre più con tecnologie preventive di nuova generazione progettate per fermare i criminali informatici che sfruttano tecniche basate sulla fiducia come gli attacchi LOTL. Con la prevenzione che assume un ruolo sempre più centrale nelle strategie di difesa moderne, questi modelli supporteranno i team della sicurezza nella riduzione dell’uso eccessivo di strumenti e privilegi per colmare le vulnerabilità, limitare i percorsi di spostamento laterale e interrompere le intrusioni ripetibili, assicurando che ogni sistema adotti comportamenti unici. Contribuiranno inoltre a ridurre lo stress causato da un elevato numero di alert, permettendo ai team di concentrarsi sulle minacce effettive, mentre i controlli di sicurezza si adattano in tempo reale alle condizioni operative e ai comportamenti degli utenti.

Le aziende devono andare oltre il semplice rilevamento per riuscire a contrastare efficacemente gli attacchi informatici sempre più automatici e sofisticati. I team della sicurezza che riducono la superficie d’attacco, limitano gli strumenti non necessari, applicano i privilegi sui dati e implementano controlli adattivi saranno meglio preparati a rispondere man mano che i metodi di attacco diventano più sofisticati.

Per i professionisti della sicurezza e dell’IT, il messaggio è chiaro: la sicurezza informatica non può limitarsi a “spegnere incendi” continuamente. Affidarsi solo a difese reattive significa accettare rischi e dipendere dai tempi legati all’intervento umano di fronte ad attacchi automatizzati. Nel 2026, la prevenzione proattiva diventerà una strategia chiave, permettendo alle aziende di anticipare le minacce anziché inseguirle.