L’edizione 2026 del report di sicurezza X‑Force Threat Intelligence Index 2026 pubblicato da IBM mostra come gli attori malevoli stiano adattando i loro metodi di attacco in un contesto dominato da cloud, dati e intelligenza artificiale.

Uno dei fenomeni più evidenti riguarda l’aumento degli attacchi alla supply chain software e ai fornitori terzi, tanto che negli ultimi cinque anni le violazioni di questo tipo sono quadruplicate. Gli aggressori hanno compreso che colpire direttamente una singola organizzazione può essere molto più difficile rispetto a compromettere uno dei nodi dell’ecosistema tecnologico su cui essa si appoggia. Fornitori, dipendenze open source, integrazioni di identità, pipeline CI/CD e interfacce cloud rappresentano tutti possibili punti di ingresso indiretti.

Secondo gli analisti di IBM X-Force, questo approccio consente ai criminali di aggirare difese molto solide. Se un attaccante riesce a infiltrarsi in un partner fidato o in un componente software condiviso, può ottenere accesso a più ambienti aziendali senza dover violare direttamente ciascun perimetro di sicurezza. Il fenomeno riflette una caratteristica fondamentale del software moderno, ovvero la crescente interconnessione tra servizi, API e piattaforme cloud.

Un’altra tendenza rilevata dal report riguarda l’aumento degli attacchi alle applicazioni esposte su internet. Gli esperti hanno osservato una crescita del 44% nello sfruttamento di vulnerabilità presenti in applicazioni pubbliche. Errori di configurazione, patch mancanti e componenti software non aggiornati continuano a rappresentare un punto debole significativo. Il problema è spesso amplificato proprio dalle dipendenze della supply chain e dalle integrazioni con servizi esterni.

Un esempio concreto di questa dinamica emerge da alcuni incidenti recenti, in cui la compromissione di piattaforme di marketing automation ha permesso agli attaccanti di accedere indirettamente agli ambienti dei clienti. Attraverso token OAuth sottratti, i criminali sono riusciti a entrare in sistemi collegati come quelli di Salesforce, dimostrando come la fiducia tra servizi digitali possa trasformarsi in un vettore di attacco.

Contrariamente alla percezione diffusa, molte intrusioni non richiedono tecniche particolarmente sofisticate. Gli analisti di IBM hanno monitorato quasi 40.000 vulnerabilità nel corso del 2025, scoprendo che oltre la metà poteva essere sfruttata senza alcuna forma di autenticazione. In altre parole, numerosi attacchi non richiedono credenziali rubate né interazioni con gli utenti, ma basta individuare un sistema esposto con una falla nota.

attacchi supply chain

Crediti: Shutterstock

Questo dato riaccende il dibattito tra due priorità strategiche della sicurezza, incarnate dalla la gestione delle identità e dalla correzione tempestiva delle vulnerabilità. Gli esperti concordano sul fatto che le due dimensioni debbano procedere parallelamente. Correggere rapidamente le vulnerabilità riduce le possibilità di accesso iniziale, mentre controlli robusti sull’identità limitano i danni nel caso in cui un attaccante riesca comunque a infiltrarsi.

L’espansione delle piattaforme di intelligenza artificiale introduce inoltre una nuova superficie di attacco. Chatbot e agenti AI vengono integrati sempre più spesso nei flussi di lavoro aziendali, il che implica l’accesso a dati sensibili, sistemi interni e servizi cloud. Questa integrazione crea nuove opportunità per malware specializzati nel furto di credenziali. Nel corso del 2025, i ricercatori hanno individuato oltre 300.000 credenziali associate a ChatGPT messe in vendita nei marketplace del dark web. Il fenomeno evidenzia come i sistemi AI possano diventare veri e propri depositi di accessi privilegiati se non vengono gestiti con politiche di sicurezza adeguate.

La geografia degli attacchi informatici sta cambiando anch’essa. Per la prima volta negli ultimi sei anni, il Noord America è diventato la regione più colpita, rappresentando il 29% degli interventi di risposta agli incidenti gestiti dal team X-Force nel 2025. L’area Asia-Pacifico, che negli anni precedenti guidava la classifica, è invece scesa al 27%.

Secondo gli analisti, diversi fattori spiegano questa redistribuzione. Il Nord America presenta un livello molto elevato di digitalizzazione, ampie infrastrutture cloud e un ecosistema altamente interconnesso di servizi SaaS e fornitori terzi. Questa combinazione crea opportunità interessanti per gli attaccanti, che spesso non hanno bisogno di exploit complessi o vulnerabilità zero-day: è sufficiente ottenere credenziali valide e muoversi lateralmente tra sistemi collegati.

Nonostante l’evoluzione delle minacce e l’introduzione di strumenti di difesa sempre più avanzati, molti incidenti continuano a derivare da carenze basilari nella gestione della sicurezza. Inventari incompleti degli asset, configurazioni incoerenti, sistemi obsoleti e controlli di accesso insufficienti restano infatti tra le principali cause di compromissione.

Gli esperti sottolineano quindi l’importanza di rafforzare l’igiene di sicurezza di base. Automazione dei controlli, monitoraggio continuo delle identità, gestione dinamica delle esposizioni e rimozione tempestiva dei sistemi inutilizzati rappresentano elementi fondamentali per ridurre la superficie di attacco in ambienti digitali sempre più complessi.

(Immagine in apertura: Shutterstock)