Cybersecurity oggi significa soprattutto una cosa: ridurre il tempo che separa una vulnerabilità scoperta da una violazione compiuta. È questo il messaggio più forte del nuovo Data Breach Investigations Report di Verizon Business, che fotografa un passaggio di fase nel mercato della sicurezza. Per la prima volta in 19 anni, infatti, lo sfruttamento delle vulnerabilità supera il furto di credenziali come principale punto di ingresso dei data breach. E sullo sfondo c’è l’impatto crescente dell’AI, che accelera attacco, ricognizione e capacità di adattamento dei criminali.
Il dato chiave del report è chiaro: il 31% delle violazioni analizzate nasce dallo sfruttamento di falle software. Fino a poco tempo fa erano password rubate, credenziali deboli e accessi compromessi a guidare la classifica. Oggi la cybersecurity deve invece misurarsi con una pressione diversa, molto più legata alla velocità operativa degli attaccanti e alla capacità delle aziende di chiudere rapidamente i punti esposti.
Indice degli argomenti
L’AI comprime i tempi della difesa
Il sorpasso delle vulnerabilità sulle credenziali non è un semplice cambio statistico. Indica che la finestra utile per intervenire si sta restringendo. Verizon collega questa dinamica all’uso crescente dell’AI da parte dei threat actor, che la impiegano per individuare bersagli, affinare la fase di accesso iniziale, supportare lo sviluppo di malware e migliorare gli strumenti offensivi.
Secondo il report, gli attaccanti hanno studiato o usato assistenza AI in media in 15 tecniche documentate. In alcuni casi si arriva a 40 o 50. Questo significa che attività prima più lente e costose diventano più rapide, più economiche e più scalabili. Nella cybersecurity aziendale, quindi, la priorità si sposta dalla sola prevenzione statica a una resilienza molto più dinamica, capace di reagire in ore e non in settimane.
Per i team di sicurezza cambia il modello di lavoro. Servono inventari aggiornati degli asset, priorità chiare nelle patch, segmentazione, monitoraggio continuo e una migliore lettura del rischio reale. Quando la velocità offensiva cresce, le buone pratiche non perdono valore. Al contrario, diventano il vero fattore competitivo della difesa.
Lo sottolinea anche Daniel Lawson, Svp Global Solutions di Verizon Business, secondo cui “mentre la velocità delle minacce aumenta, spinta dall’AI e da uno sfruttamento più rapido delle vulnerabilità, i principi fondamentali della sicurezza e una solida gestione del rischio restano la difesa più efficace”.
Il ransomware cresce, ma rende meno
Un altro elemento rilevante del Dbir riguarda il ransomware, presente nel 48% dei data breach osservati. La pressione resta dunque molto alta. Eppure il modello economico di questo tipo di attacco mostra alcuni segnali di trasformazione. Il 69% delle vittime rifiuta di pagare, mentre il valore medio dei riscatti versati scende a 139.875 dollari, contro i 150.000 dell’anno precedente.
Per la cybersecurity d’impresa è un passaggio interessante. Non significa che il ransomware stia perdendo centralità, ma che le aziende iniziano a rafforzare capacità di risposta, continuità operativa e procedure di recupero. Di conseguenza, i gruppi criminali devono spingere di più su volume, automazione e diversificazione degli accessi. Anche qui l’AI può diventare un moltiplicatore, perché permette di adattare campagne e strumenti con maggiore efficienza.
Il fattore umano si sposta su mobile e messaggistica
Il report segnala poi un tema molto rilevante per telco e imprese: il successo crescente degli attacchi mobile-centric. Le campagne basate su voce o testo ottengono tassi di riuscita superiori del 40% rispetto all’email. Il phishing tradizionale resta stabile, con un tasso del 16%, ma perde centralità nel momento in cui i criminali si spostano su canali percepiti come più immediati e credibili.
Per la cybersecurity questo cambia il terreno dello scontro. Il dispositivo mobile non è più solo un terminale accessorio. È una porta di accesso continua a sistemi aziendali, account personali, autenticazioni e conversazioni di lavoro. Verizon evidenzia in particolare la crescita del pretexting via Sms, usato dentro schemi di estorsione o ransomware. In sostanza, gli attaccanti cercano meno il clic casuale e più la relazione manipolata, costruita in tempo reale.
Dal punto di vista delle telco, questo trend rafforza la necessità di integrare sicurezza, rete e protezione dell’utente finale. La cybersecurity non può più limitarsi al perimetro classico del data center. Deve presidiare l’interazione quotidiana tra persona, dispositivo e canale di comunicazione.
Shadow AI, il rischio entra nei processi ordinari
Se l’AI potenzia gli attaccanti, apre anche un fronte interno alle organizzazioni. Il Dbir rileva che il 45% dei dipendenti usa regolarmente strumenti AI sui dispositivi aziendali. Un anno prima la quota era al 15%. Cresce anche il ricorso ad account non aziendali su device di lavoro, che riguarda il 67% degli utenti osservati. Per questo la shadow AI diventa la terza attività più comune collegata a perdite di dati non malevole.
Qui la cybersecurity incontra un problema di governance, oltre che tecnico. I dipendenti adottano strumenti generativi per velocizzare compiti, scrittura, analisi e supporto operativo. Ma se questi strumenti non sono approvati, i dati aziendali rischiano di finire in ambienti esterni, fuori controllo e fuori policy. Il rischio non nasce sempre da comportamenti ostili. Spesso nasce da abitudini apparentemente innocue.
La risposta non può essere solo restrittiva. Le imprese devono costruire un perimetro di adozione governata dell’AI, con strumenti autorizzati, regole comprensibili, formazione concreta e controlli coerenti. In caso contrario, la cybersecurity rincorre l’innovazione invece di accompagnarla.
Supply chain, la vulnerabilità passa dai terzi
Il report mette in evidenza anche la crescita delle violazioni che coinvolgono terze parti. I breach legati alla supply chain aumentano del 60% e arrivano a rappresentare il 48% del totale. È un dato che pesa molto perché riflette la struttura dell’economia digitale contemporanea, sempre più basata su fornitori esterni, piattaforme cloud, partner software e servizi gestiti.
Per la cybersecurity questo significa che il rischio non coincide più con il solo perimetro aziendale. Ogni integrazione amplia la superficie d’attacco. Ogni dipendenza esterna può trasformarsi in un punto di esposizione. Le organizzazioni devono quindi rafforzare due livelli insieme: controllo interno e verifica continua della catena dei fornitori.
Il punto non è rallentare la trasformazione digitale, ma riconoscere che efficienza e interdipendenza hanno un costo di sicurezza. Se la supply chain diventa parte della postura cyber, allora contratti, audit, monitoraggio e criteri minimi comuni non sono più aspetti secondari. Sono componenti strutturali della resilienza.
Crimine organizzato e logica industriale degli attacchi
Sul fronte degli attori, Verizon conferma che il crimine organizzato domina il panorama. I gruppi strutturati sono responsabili dell’87% degli attacchi esterni, mentre quelli affiliati a Stati coprono la gran parte della quota restante. Anche la motivazione resta stabile: il guadagno economico pesa per l’88%, molto più dello spionaggio.
Questo dato aiuta a leggere il mercato della cybersecurity con maggiore lucidità. Le minacce non arrivano soltanto da soggetti sofisticati in senso geopolitico. Arrivano soprattutto da organizzazioni criminali che operano con logiche d’impresa, processi ripetibili e modelli scalabili. In questo quadro, l’AI non crea da zero il rischio. Lo industrializza ulteriormente.
Perché il Dbir parla soprattutto ai Ciso
Il lavoro di Verizon si basa su 31.000 incidenti di sicurezza nel mondo, di cui 22.000 classificati come data breach, distribuiti in 145 Paesi tra novembre 2024 e ottobre 2025. La base osservativa è ampia e restituisce un’indicazione precisa ai Ciso e ai responsabili della trasformazione digitale.
La cybersecurity entra in una fase in cui non basta più difendere meglio. Bisogna decidere prima, correggere prima e governare prima. Le priorità si concentrano su vulnerability management, protezione del mobile, controllo della supply chain e uso regolato dell’AI interna. In parallelo, l’automazione difensiva diventa sempre meno opzionale.
