Cybersecurity, l'AI accelera gli attacchi ma non le difese

Nel 2026 la cybersecurity entra in una fase segnata dall'accelerazione dell'intelligenza artificiale, dalla crescita delle vulnerabilità sfruttabili su scala e dal peso della supply chain. Il rischio cyber dipende sempre più da remediation, governance, continuità operativa e accesso stabile alle capacità AI avanzate.

I primi mesi del 2026 confermano un cambio di paradigma: il rischio cyber non dipende più solo dalla sofisticazione degli attacchi, ma anche dalla velocità con cui le organizzazioni riescono a governare vulnerabilità, supply chain e accesso alle capacità AI.

La cybersecurity nel 2026 non è caratterizzata soltanto da un aumento delle minacce, ma da un cambiamento più profondo del modello di rischio. L'intelligenza artificiale sta rendendo più rapide, scalabili e automatizzabili attività che fino a pochi anni fa richiedevano competenze altamente specialistiche, tempi lunghi e capacità operative distribuite.

Il punto centrale non è quindi solo che gli attacchi diventano più sofisticati. Il vero cambiamento riguarda la compressione del tempo tra individuazione delle vulnerabilità, possibilità di sfruttamento e capacità delle organizzazioni di reagire. In questo nuovo scenario, il vantaggio non dipende più esclusivamente dalla qualità delle difese tecniche, ma dalla capacità di governare l'intero ciclo della vulnerabilità: discovery, prioritizzazione, remediation, coordinamento con terze parti e continuità operativa. I recenti report di Forrester, Fortinet e Verizon convergono proprio su questo punto. La cybersecurity sta entrando in una fase in cui il rischio non deriva soltanto dalla presenza di nuove minacce, ma dalla velocità con cui minacce già note possono essere individuate, automatizzate, replicate e sfruttate su scala più ampia.

Modelli AI e vulnerabilità

In questo contesto stanno emergendo modelli AI specializzati nell'individuazione automatizzata di vulnerabilità su larga scala. Soluzioni come Mythos, modello utilizzato nell'ambito del Project Glasswing, rappresentano esempi recenti di una tendenza più ampia che punta ad applicare l'intelligenza artificiale alle attività di vulnerability discovery.

Da un lato, strumenti di questo tipo possono rafforzare le capacità di protezione, consentendo di identificare punti deboli prima che vengano sfruttati da attori malevoli. Dall’altro, mostrano quanto il confine tra capacità difensiva e potenziale offensivo sia sempre più sottile. La stessa tecnologia che accelera la discovery a fini di sicurezza può infatti accelerare anche l’individuazione di vulnerabilità da parte di attaccanti, gruppi criminali o attori statuali.

Attacchi automatizzati

Secondo Forrester, il 2026 segna il passaggio verso attacchi sempre più automatizzati, in particolare da parte di attori sponsorizzati da Stati, nei quali l’intelligenza artificiale può coprire intere fasi del ciclo di attacco. Questa evoluzione non è più soltanto teorica: i dati Verizon mostrano che lo sfruttamento delle vulnerabilità è diventato uno dei principali vettori iniziali di compromissione, superando in molti casi il furto di credenziali.

L'accelerazione di vulnerabilità e risposte

La rilevanza dei modelli AI applicati alla cybersecurity sta proprio nel rendere concreta questa accelerazione. La possibilità di individuare vulnerabilità in modo massivo e sistematico introduce un salto operativo capace di modificare l’equilibrio tra attacco e difesa. Per questo, tali strumenti rappresentano una cartina di tornasole per comprendere come cambieranno i tempi, le dipendenze e le responsabilità nella gestione del rischio cyber.

Remediation e asimmetria operativa

Il cambiamento più critico riguarda la distanza crescente tra la velocità della discovery e la lentezza della remediation. Se l’intelligenza artificiale consente di individuare vulnerabilità in modo più rapido, sistematico e scalabile, le organizzazioni continuano però a correggerle attraverso processi che restano complessi e spesso lenti. La remediation richiede valutazione del rischio, prioritizzazione, test, patching, gestione degli impatti operativi, coordinamento con fornitori e, nei contesti più critici, validazione rispetto alla continuità del servizio.

È qui che si crea la principale asimmetria. Gli attaccanti possono muoversi a velocità crescente, mentre la difesa resta vincolata da processi organizzativi, tecnologici e decisionali più lenti. Il problema, quindi, non è soltanto che l’AI può scoprire più vulnerabilità. Il problema è che le organizzazioni potrebbero non essere in grado di correggerle alla stessa velocità.

I dati del Verizon DBIR confermano questa dinamica: il tempo medio necessario per correggere vulnerabilità critiche resta elevato, mentre la velocità con cui gli attaccanti riescono a sfruttarle continua a diminuire. Ne deriva uno squilibrio strutturale tra capacità di individuazione e capacità di risposta. Questo squilibrio assume particolare rilevanza se si considera che il tempo necessario per sfruttare vulnerabilità note continua a ridursi, mentre molte organizzazioni mantengono tempi di remediation misurabili in settimane o mesi. La conseguenza è un ampliamento della cosiddetta “exposure window”, ossia l’intervallo temporale durante il quale una vulnerabilità è nota ma non ancora corretta.

Interconnessione e vulnerabilità di sistema

La remediation diventa quindi il vero collo di bottiglia della cybersecurity basata sull’AI.

Questa asimmetria diventa ancora più critica in un ecosistema digitale sempre più interconnesso. Le vulnerabilità non riguardano più soltanto i sistemi interni di una singola organizzazione, ma piattaforme condivise, software di terze parti, componenti open source, ambienti cloud, integrazioni applicative e catene di fornitura digitali.

Quando la discovery diventa scalabile e il perimetro tecnologico è distribuito, il rischio assume una natura sistemica.

Piattaforme condivise e vulnerabilità multiple

Forrester evidenzia come piattaforme condivise, integrazioni tra sistemi e uso diffuso di componenti esterne stiano ampliando la superficie di attacco. I dati Verizon rafforzano questa lettura: quasi la metà delle violazioni coinvolge terze parti, confermando il ruolo centrale della supply chain digitale come vettore di rischio.

In questo contesto, strumenti come Mythos possono individuare vulnerabilità non solo all’interno delle singole organizzazioni, ma lungo l’intero ecosistema software. Una vulnerabilità presente in un componente comune può propagarsi rapidamente lungo più organizzazioni, settori e infrastrutture.

Il rischio non è più locale, ma distribuito e interconnesso. E proprio per questo diventa più difficile da gestire: aumentano gli attori coinvolti, si frammentano le responsabilità e si allungano i tempi di coordinamento necessari per intervenire.

Coefficienti di complessità: governance e supply chain

La supply chain non è quindi soltanto un’estensione della superficie di attacco. È il luogo in cui la velocità dell’AI incontra la complessità organizzativa degli ecosistemi digitali.

L'importanza crescente della supply chain trova riscontro anche nell’evoluzione del quad