La cybersecurity sta vivendo una trasformazione profonda, e i numeri del 2026 Y-Report di Yarix lo dimostrano in modo piuttosto netto. Non si parla più di scenari futuristici o ipotesi da convegno: l’intelligenza artificiale ha già cambiato le regole del gioco, sia per chi attacca sia per chi difende. Il rapporto pubblicato dall’azienda italiana di sicurezza informatica mette nero su bianco una serie di dati che fanno riflettere, e che raccontano un 2025 segnato da un’escalation di attacchi sempre più sofisticati, veloci e difficili da intercettare.
Un volume di attacchi che fa impressione
Il campione analizzato dal report riguarda circa 240 aziende italiane, eppure i numeri parlano di qualcosa di ben più grande. Nel corso del 2025, il Security Operation Center (Soc) di Yarix ha registrato 522.486 eventi, ovvero possibili violazioni dei livelli di sicurezza o situazioni anomale potenzialmente rilevanti per la protezione dei dati e degli asset aziendali. Di questi, il 30% (158.316) è stato classificato come vero e proprio incidente di sicurezza, cioè uno o più eventi in grado di compromettere riservatezza, integrità o disponibilità dei dati e dei servizi informatici. Tradotto in termini pratici, significa circa 658 incidenti per azienda. Quasi due al giorno.
Un dato in costante crescita, che secondo gli esperti di Yarix dipende dall’evoluzione continua delle tecniche offensive e, soprattutto, dall’uso sempre più massiccio di strumenti basati sull’AI da parte dei criminali informatici. Modelli di attacco più distribuiti, automatizzati e adattivi stanno ridisegnando completamente lo scenario delle minacce.
Tempi di attacco sempre più stretti
Tra gli aspetti più preoccupanti che emergono dal report di Yarix c’è l’assottigliamento delle tempistiche. Il tempo che intercorre tra l’accesso iniziale e il potenziale impatto di un attacco informatico si è ridotto in modo significativo. Questo è un nodo cruciale, soprattutto da quando il fenomeno dei ransomware ha assunto un ruolo di primo piano nel panorama della cybersecurity. In chiave offensiva, l’intelligenza artificiale ha permesso ai cybercriminali di abbreviare drasticamente i tempi della cosiddetta weaponization, cioè quell’attività che trasforma una vulnerabilità conosciuta in un exploit pronto all’uso.
Per chi sta dall’altra parte della barricata, la conseguenza è chiara: serve individuare le nuove forme di attacco con una velocità superiore rispetto al passato. E la risposta, prevedibilmente, passa ancora dall’AI. Ma le cose non sono così lineari come potrebbe sembrare.
L’intelligenza artificiale al comando del primo livello Soc
La rapidità con cui i criminali informatici sviluppano strumenti offensivi si traduce, nei fatti, in un numero impressionante di alert che rischiano di sommergere i team di analisti dedicati al monitoraggio delle minacce. A livello di Soc, il pericolo concreto è che la mole di segnalazioni finisca per intasare i processi di analisi, lasciando spazio alle attività dei cybercriminali senza che nessuno se ne accorga in tempo.
Attualmente l’AI viene utilizzata in affiancamento agli analisti per migliorare le prestazioni sulle tempistiche, senza però sostituire del tutto l’elemento umano. Eppure, secondo Yarix, il contesto attuale spinge a osare di più. “A fine luglio eseguiremo il primo test operativo per gestire un Soc L1 interamente con l’intelligenza artificiale” ha dichiarato Mirko Gatto. Il livello 1 dei Security Operation Center è quello dedicato alla prima analisi degli eventi di sicurezza, con il compito di scremare gli alert, eliminare i falsi positivi e individuare gli eventi meritevoli di approfondimento. Il ruolo umano resta comunque fondamentale per il livello 2 (approfondimento) e il livello 3 (intervento per il contenimento della minaccia).
