Se il 2023 è stato l’anno dell’hype, il 2024 quello dei primi test seri e il 2025 una correzione inevitabile delle aspettative, il 2026 si prepara a essere l’anno in cui l’intelligenza artificiale smette di essere un tema “di visione” e diventa una questione operativa. In particolare nella cybersecurity, dove il valore dell’AI non si misura più in demo e proof-of-concept, ma nella capacità di resistere a un avversario che sta imparando a usare gli stessi strumenti, spesso con meno vincoli e più aggressività.

Gli scenari più citati dagli analisti per il 2026 hanno infatti come elemento comune la transizione dall’AI come supporto all’attaccante all’AI come esecutore. Paddy Harrington di Forrester sintetizza questa svolta prevedendo che un deployment di AI agentica causerà una violazione pubblica e porterà a licenziamenti. Il punto non è la “novità” dell’incidente, ma il fatto che la catena decisionale diventa più difficile da ricostruire. Quando un agente autonomo sbaglia o viene manipolato, la responsabilità si sposta dal singolo errore umano a un fallimento di governance, progettazione e controllo.

Secondo Marcus Sachs del Center for Internet Security, nel 2026 l’AI offensiva autonoma e agentica diventerà una minaccia mainstream, con motori completamente automatizzati in grado di gestire phishing, movimento laterale e exploit chain quasi senza supervisione. È un cambio di scala che impatta direttamente i SOC, sempre più in difficoltà nel reggere un volume di tentativi e varianti che cresce in modo esponenziale.

Questa evoluzione si intreccia con una tendenza già nota ma destinata a rafforzarsi rappresentata dalla formula “living off the land”. John Grady di Omdia prevede che, man mano che gli attaccanti adotteranno agenti e workflow automatizzati, aumenteranno gli attacchi che sfruttano strumenti legittimi già presenti nelle infrastrutture, riducendo ulteriormente i segnali anomali che i sistemi tradizionali cercano. Un approccio particolarmente insidioso perché abbassa la soglia di rilevazione, non essendoci più il classico malware “evidente”, ma un uso malevolo di strumenti legittimi, orchestrato con intelligenza e tempismo.

shadow ai

Crediti: Shutterstock

A rendere il quadro più complesso c’è il fatto che i sistemi di AI, oltre a essere un acceleratore per gli attaccanti, sono anche un nuovo bersaglio. Le vulnerabilità tipiche dell’AI (prompt injection, data poisoning, manipolazione dei contesti, alterazione dei tool collegati) aprono infatti una superficie d’attacco che molte aziende stanno scoprendo solo adesso, spesso dopo aver integrato agenti e assistenti in processi critici. È qui che l’entusiasmo per l’automazione rischia di trasformarsi in un boomerang, con l’AI introdotta per “aumentare produttività” che può invece diventare un punto di ingresso o un moltiplicatore di danno.

In questo scenario, il report di Moody’s sul 2026 descrive un aumento degli attacchi AI-driven, con malware adattivo e minacce autonome, in parallelo a un’adozione aziendale dell’AI che spesso procede senza guardrail sufficienti. Il risultato è che l’AI difensiva, pur necessaria, introdurrà rischi propri, inclusi comportamenti imprevedibili difficili da anticipare, e aggiungerà un nuovo strato di complessità che richiede governance rigorosa.

Il report sottolinea anche un elemento geopolitico e normativo che nel 2026 diventerà sempre più rilevante, ovvero la divergenza regolatoria tra UE, Stati Uniti e Asia-Pacifico. L’Europa tende a muoversi verso framework coordinati e obblighi strutturati, mentre gli USA, soprattutto in un contesto politico orientato a ridurre vincoli, mostrano segnali di rallentamento o revisione. L’armonizzazione regionale potrebbe progredire, ma l’allineamento globale resta difficile, perché le priorità domestiche sono in conflitto. Per le multinazionali, questo significa compliance frammentata, controlli duplicati e policy di sicurezza che devono adattarsi a standard diversi.

Sul fronte delle aziende, uno studio di Trellix indica che quasi il 90% dei CISO considera gli attacchi guidati dall’AI una minaccia primaria e mentre molte aziende investono in strumenti di cybersecurity basati su AI, strumenti come Zero trust, MFA, formazione anti-phishing e igiene degli accessi continuano a essere la prima linea. Questo per far capire che l’AI può sì aumentare l’efficacia della difesa, ma non può compensare un’organizzazione che lascia account privilegiati senza protezioni robuste o processi HR e finance vulnerabili a social engineering.

In parallelo, il NIST sta cercando input pubblici per definire pratiche e metodologie sulla gestione dei rischi legati agli agenti AI. Un passaggio significativo perché certifica che il problema non è più “se” gli agenti verranno adottati, ma come renderli sicuri. L’obiettivo è costruire linee guida tecniche e standard volontari che aiutino a valutare vulnerabilità, misurare rischio e migliorare la sicurezza. Un segnale che nel 2026 vedremo crescere la standardizzazione, soprattutto per chi opera in settori critici.

Crediti: Shutterstock

Crediti: Shutterstock

Infine, c’è il pericolo tutt’altro che secondario della Shadow AI nelle aziende. Il fenomeno è già visibile oggi, ma nei prossimi mesi rischia di esplodere per il semplice fatto che gli agenti AI stanno diventando sempre più potenti, più economici e più facili da integrare in qualunque flusso di lavoro, anche senza l’intervento dell’IT. Se nel 2023 la shadow IT era fatta di tool SaaS adottati in autonomia, nel 2026 la shadow AI sarà composta da agenti, copilot e automazioni “fatte in casa” che toccano direttamente dati sensibili e processi critici.

Il problema non è solo che i dipendenti usano un chatbot per scrivere una mail, ma anche e soprattutto quando un team di vendita collega un agente a un CRM, un reparto HR lo collega a CV e contratti, oppure un ufficio finance lo collega a fatture, IBAN e flussi di approvazione. In questi casi, la superficie d’attacco cresce in modo disordinato, perché ogni integrazione introduce credenziali, token, permessi e API accessibili da un sistema che spesso non è stato validato dal punto di vista security. E, soprattutto, quando l’agente è connesso a strumenti operativi, un attaccante non deve più “rubare dati”, ma può indurre l’agente a compiere azioni.

La shadow AI diventa quindi un moltiplicatore del rischio in un contesto in cui la prompt injection e la manipolazione del contesto sono tecniche già note. Se un agente non governato ha accesso a documenti interni, calendari, sistemi di ticketing o repository di codice, un attacco ben costruito può portare a esfiltrazione silenziosa, creazione di account, modifica di workflow o apertura di backdoor logiche. E il punto più critico è che, in molte aziende, queste automazioni non vengono loggate in modo adeguato e non sono coperte da incident response.

L’adozione non autorizzata di AI può inoltre violare policy interne, requisiti GDPR, obblighi di riservatezza contrattuale e regole settoriali. In Europa, dove la pressione regolatoria è più alta, un uso “ombra” di agenti AI che processano dati personali può trasformarsi rapidamente in un grave rischio legale, oltre che cyber.

(Immagine in apertura: Shutterstock)