Per anni abbiamo immaginato la cybersecurity come una guerra tra sistemi: firewall contro malware, antivirus contro ransomware, patch contro vulnerabilità. Ma nel 2026 questa lettura non basta più. La sicurezza informatica sta cambiando faccia perché gli attaccanti non puntano solo a violare macchine e reti: puntano sempre di più a sembrare credibili, convincenti, perfino normali. E in questo cambio di passo l’intelligenza artificiale sta giocando un ruolo enorme.
Il dato che colpisce di più arriva dal report ENISA Threat Landscape 2025: il phishing resta il principale vettore di intrusione, con il 60% dei casi osservati, e all’inizio del 2025 oltre l’80% delle attività di social engineering monitorate a livello globale risultava già supportato dall’AI. Tradotto in parole semplici: l’intelligenza artificiale non sta solo aiutando chi si difende, ma sta anche abbassando tempi, costi e barriere d’ingresso per chi attacca.
Il phishing non è sparito: è diventato più intelligente
Per molto tempo il phishing è stato raccontato quasi come una truffa banale: email scritte male, link sospetti, promesse assurde. Oggi non è più così. I nuovi strumenti generativi permettono di creare messaggi meglio scritti, più coerenti con il contesto e più vicini al tono reale di aziende, banche, colleghi o fornitori. ENISA segnala che il phishing è sempre più industrializzato, anche grazie a modelli “as a service” e a tecniche sempre più scalabili. Non si parla più solo di email false, ma di un ecosistema che include QR code malevoli, falsi CAPTCHA e campagne estremamente credibili.
Questo significa che il vecchio consiglio “basta stare attenti agli errori grammaticali” oggi vale molto meno. L’attacco moderno è più pulito, più plausibile e più vicino al linguaggio reale. In molti casi non cerca di sembrare perfetto: cerca di sembrare abbastanza normale da non destare sospetti. Ed è proprio qui che l’AI cambia il gioco, perché rende il social engineering meno artigianale e molto più replicabile.
Adesso la voce inganna quanto una mail
Uno dei segnali più interessanti arriva dal National Cyber Security Centre svizzero, che nel suo rapporto sul secondo semestre 2025 descrive un aumento di attacchi più mirati e complessi. Tra i fenomeni osservati tornano in modo forte il vishing, cioè il phishing vocale, e il phishing in tempo reale. Non solo: il report segnala anche l’uso crescente dell’AI da parte degli attaccanti e la comparsa, in Svizzera, degli “SMS blasters”, dispositivi che simulano antenne mobili per inviare messaggi malevoli direttamente ai telefoni vicini, aggirando i normali filtri dei provider.
Questo passaggio è decisivo perché mostra che la cybersicurezza del 2026 è molto più ibrida di prima. L’attacco può partire da una mail, continuare con una chiamata, rafforzarsi con un SMS e concludersi su un sito falso costruito in modo impeccabile. Non esiste più una singola porta d’ingresso: esiste una catena di fiducia da manipolare. E più gli strumenti diventano realistici, più la prima vulnerabilità torna a essere la stessa di sempre: la persona.
Il ransomware resta lì, e continua a fare danni
Nel frattempo, il ransomware non è affatto scomparso. Anzi, continua a rappresentare il cuore di molte intrusioni. ENISA sottolinea che ransomware, banking trojan e infostealer rappresentano insieme l’87,3% delle intrusioni documentate. Il report evidenzia anche che i gruppi criminali stanno reagendo alle azioni delle forze dell’ordine decentralizzando le operazioni e adottando tattiche di estorsione sempre più aggressive.
Anche il rapporto svizzero conferma la pressione: solo nel secondo semestre del 2025 sono stati segnalati 57 episodi ransomware. Tra i fattori abilitanti, il NCSC cita ancora una volta le vulnerabilità non corrette in tempo, come nel caso di dispositivi SonicWall già esposti da falle note. È un promemoria importante: mentre tutti parlano di AI, molte intrusioni riescono ancora con debolezze molto concrete e spesso banali, come patch ritardate, credenziali rubate o cattiva igiene digitale.
Il nuovo rischio in azienda si chiama Shadow AI
C’è poi un altro fronte che nel 2026 sta diventando sempre più serio: la Shadow AI. In pratica, dipendenti e collaboratori iniziano a usare strumenti di AI consumer all’interno del lavoro senza governance chiara, senza autorizzazione formale e spesso senza rendersi conto del rischio. Microsoft descrive il problema in modo molto netto: quando un lavoratore inserisce dati sensibili o carica documenti riservati dentro strumenti non approvati, il rischio non è solo immediato, ma anche di lungo periodo, perché quei contenuti possono essere trattenuti o utilizzati per addestrare modelli.
Questo tema è centrale perché sposta la cybersecurity dal solo perimetro tecnico alla governance quotidiana. Il problema non è più soltanto bloccare un attacco esterno, ma capire che cosa succede dentro l’organizzazione quando l’adozione dell’AI corre più veloce delle policy. Vietare tutto difficilmente funziona. Ma lasciare tutto senza controllo è ancora peggio. La vera sfida è costruire uso sicuro, visibilità e regole pratiche, senza soffocare la produttività.
E gli attacchi alle istituzioni ricordano che il rischio è reale
Che il contesto sia ad alta pressione lo dimostrano anche gli episodi recenti. A fine marzo la Commissione europea ha confermato di essere stata colpita da un attacco cyber che ha interessato l’infrastruttura cloud della piattaforma Europa, con primi elementi che suggerivano la possibile sottrazione di dati dai siti coinvolti. I sistemi interni non sarebbero stati colpiti, ma il messaggio resta fortissimo: anche strutture istituzionali centrali continuano a operare sotto pressione.
Quando questi episodi si sommano ai trend osservati da ENISA e dal NCSC, il quadro è molto chiaro. La cybersecurity del 2026 non è un tema per soli specialisti, ma una questione che riguarda reputazione, continuità operativa, gestione del dato, cultura interna e capacità decisionale. Le minacce sono più veloci, più credibili e più trasversali. E proprio per questo le aziende devono smettere di pensare alla sicurezza come a una funzione isolata del reparto IT.
La vera lezione del 2026
Se c’è una lezione da portarsi a casa, è questa: l’intelligenza artificiale non sta sostituendo il cybercrime tradizionale, lo sta rendendo più credibile, più economico e più scalabile. Il phishing non sparisce, migliora. Il ransomware non diminuisce, si adatta. Le persone non escono dal mirino, ci entrano ancora di più. E nelle aziende il rischio non arriva solo da fuori, ma anche da usi improvvisati e incontrollati degli strumenti AI.
Per questo nel 2026 la domanda giusta non è più soltanto “quanto siamo protetti?”, ma “quanto siamo preparati a riconoscere minacce che parlano, scrivono e si comportano sempre più come noi?”. Ed è proprio qui che si giocherà la nuova partita della cybersicurezza.
