Che anno sarà il 2026 per la sicurezza informatica? Quali le evoluzioni del cybercrime a cui le aziende dovrebbero guardare con maggiore attenzione e preoccupazione? Ne abbiamo parlato con Aldo Di Mattia, director of specialized systems engineering and cybersecurity advisor Italia e Malta di Fortinet.
Nel 2025 si è parlato ancora molto di intelligenza artificiale. Che impatto ha avuto, finora, sulla sicurezza e sul crimine informatico?
Il cambiamento principale che si osserva nel panorama del crimine informatico è quello dell'industrializzazione delle attività malevole alimentata dall’intelligenza artificiale. Se oggi la GenAI è già ampiamente sfruttata per accelerare i singoli task, la vera minaccia emergente è l'Agentic AI: questa tecnologia permette infatti di automatizzare interi processi lungo la kill chain di un attacco cyber minimizzando il bisogno di supervisione umana. Un attaccante potrà, quindi, presto gestire più campagne simultaneamente in tempo reale, aumentando drasticamente il throughput degli attacchi.
L'intelligenza artificiale, poi, non aiuta soltanto a colpire con maggiore successo, ma anche a ottimizzare la monetizzazione conseguente agli attacchi. Una volta sottratti i dati, i sistemi di AI li analizzano per capire quali siano quelli più appetibili sul mercato, permettendo una "pacchettizzazione" dei dati molto più precisa per settore o geografia. Questo riduce drasticamente il tempo che intercorre tra attacco e profitto.
Invece, con riferimento all'utilizzo dell'AI all'interno delle aziende, che cosa sappiamo oggi dei rischi collegati?
L'uso poco consapevole della GenAI è un rischio enorme: spesso si condividono dati sensibili con Large Language Model esterni, senza sufficiente protezione. Un attacco diretto a questi sistemi può mettere a nudo la proprietà intellettuale dell’azienda. Inoltre, stiamo entrando nell’era della gestione delle identità non umane (Non Human Identities, NHI). Poiché i processi saranno sempre più gestiti da agenti autonomi, è fondamentale che questi sistemi siano identificati e autenticati correttamente, monitorando i privilegi con cui accedono ai dati critici.
Si parla molto di quantum computing: è un rischio futuro o già attuale?
Il rischio è assolutamente attuale a causa di una strategia già in corso, denominata harvest now, decrypt later, cioè raccogli ora per decrittare poi. Molte organizzazioni criminali e Stati stanno già immagazzinando oggi grandi quantità di dati cifrati, in attesa che i futuri computer quantistici (a partire dal cosiddetto Q-Day, previsto tra circa un decennio) siano in grado di decifrarli. Non bisogna, quindi, aspettare: le aziende devono adottare al più presto algoritmi di post-quantum cryptography (Pqc). Si tratta di algoritmi matematicamente complessi che vanno a sostituire o si integrano ai precedenti e non richiedono necessariamente modifiche all’infrastruttura fisica. Per settori critici come banche e difesa, si affianca anche la tecnica denominata quantum key distribution (Qkd), che utilizza fotoni su fibra ottica per garantire uno scambio di chiavi a prova di intercettazione.
Aldo Di Mattia, director of specialized systems engineering and cybersecurity advisor Italia e Malta di Fortinet
Nei suoi report Fortinet cita spesso i rischi legati alla situazione geopolitica: quali sono le evoluzioni prevedibili per la guerra ibrida?
Il cyberspazio è ormai il nuovo campo di battaglia centrale in ogni conflitto bellico. Assistiamo a una guerra ibrida continua, con attacchi cyber che mirano a destabilizzare le nazioni isolandole geograficamente o interrompendo i servizi essenziali. Un tema caldissimo è la protezione dei cavi sottomarini. La Marina italiana pattuglia costantemente queste infrastrutture perché sabotaggi fisici o informatici ai cavi in fibra ottica possono mettere in ginocchio le telecomunicazioni di intere aree. Inoltre, la disinformazione tramite deepfake sta diventando uno strumento di destabilizzazione sempre più economico.
In questo scenario così complesso, come cambia il ruolo del Ciso, il chief information security officer?
Il ruolo del Ciso sta evolvendo rapidamente: non è più solo un tecnico della sicurezza, ma un facilitatore del business che deve garantire la resilienza complessiva dell'azienda. Si parla sempre più della figura del chief resilience officer, il Cro. Il Ciso deve eliminare le distanze con il management team, perché dalla sicurezza dipendono la continuità operativa e la competitività. È fondamentale definire il Minimum Viable Business, ovvero il livello minimo di operatività che deve essere garantito a ogni costo in caso di attacco catastrofico. La resilienza significa presumere che prima o poi un attacco avrà successo e significa avere un piano pronto per non fermare l'azienda.
Qual è il ruolo della collaborazione tra pubblico e privato in questa sfida?
È fondamentale mettere l'intelligence a fattor comune. Più dati scambiamo, più siamo efficaci nell'identificare le minacce sul Dark Web. Fortinet, ad esempio, ha siglato protocolli d'intesa con l’Acn, l’Agenzia per la Cybersicurezza Nazionale, e con la Polizia Postale proprio per supportare il governo italiano con la propria intelligence. Infine, non dimentichiamo la formazione: il divario di competenze è ancora enorme mentre la sicurezza dovrebbe diventare una competenza di base per tutte le generazioni che entrano nel mondo del lavoro.