Avete presente quella voce in budget etichettata "sicurezza IT"? Quella che ogni anno si cerca di contenere, magari rimandando qualche upgrade "non urgente"?
Ecco, nel 2026 quella voce non è più un costo. È diventata la differenza tra chi resta sul mercato e chi chiude i battenti dopo un attacco ransomware.
I numeri sono brutali: il 57% delle organizzazioni ha subito almeno un incidente ransomware negli ultimi due anni. Non parliamo di piccole aziende impreparate. Parliamo di tutti. Healthcare, manifattura, finance, retail, energia. Nessun settore è immune.
Ma qui c'è il paradosso del 2026: mentre il numero di attacchi continua a salire, i ransomware operator stanno estraendo meno denaro dalle vittime. Non perché abbiano sviluppato un'etica improvvisa. Ma perché le aziende hanno iniziato a pagare di meno, le assicurazioni sono diventate più rigide, e le law enforcement hanno smantellato alcuni dei player più grandi.
La risposta dei criminali? Evolversi. Velocemente.
Il ransomware che non cripta più
Il modello tradizionale — cripta i file, chiedi il riscatto, consegna la chiave di decriptazione — sta diventando obsoleto. Nel 2026, molti gruppi saltano completamente la fase di crittografia. Rubano i dati sensibili e minacciano di pubblicarli. Fine.
Perché? Perché è più veloce, meno rumoroso, e rende inutili i vostri backup. Anche con backup perfetti, i dati rubati possono ancora innescare multe, cause legali, danni reputazionali.
Si chiama "data-only extortion" ed è in rapida crescita. Alcuni gruppi hanno aggiunto anche la "triple extortion": dopo aver rubato e crittografato, contattano i media, i regolatori, persino i vostri clienti. L'obiettivo? Intensificare la pressione psicologica, reputazionale e finanziaria per forzare un pagamento più veloce.
L'AI è su entrambi i lati della barricata
Gli attacchi sono diventati AI-driven e automatizzati. I phishing non sono più quelli pieni di errori grammaticali che riconoscevate a colpo d'occhio. Sono personalizzati, calibrati sul vostro ruolo, sulla vostra industry, persino sul linguaggio interno dell'azienda.
I deepfake hanno reso impossibile fidarsi di una videochiamata o di una registrazione vocale senza verifica. Gli attacori usano GenAI per ricognizione più veloce, email più convincenti, e per scalare operazioni che prima richiedevano team numerosi.
Cyble ha tracciato 57 nuovi gruppi ransomware emersi solo nel 2025, più 27 gruppi di estorsione pura. E ha scoperto oltre 350 nuove varianti ransomware, la maggior parte basate su codici condivisi come MedusaLocker, Chaos e Makop.
Il modello Ransomware-as-a-Service (RaaS) è vivo e vegeto: anche criminali a bassa competenza tecnica possono noleggiare strumenti enterprise-grade e lanciare attacchi sofisticati. Quando un gruppo viene smantellato, si ribranda in 48 ore e ricomincia.
Zero Trust non è più opzionale
L'identità ha sostituito il perimetro di rete come boundary di sicurezza primario. Quando macchine comunicano con macchine a velocità impossibili per supervisione umana, e quando gli AI agent hanno permessi equivalenti a utenti umani, l'architettura Zero Trust diventa fondamentale.
Il principio? "Trust nothing without verification". Ogni richiesta di accesso viene verificata continuamente, indipendentemente da dove provenga. Non c'è più "dentro" o "fuori" la rete. C'è solo "verificato" o "non verificato".
AI-driven Zero Trust systems analizzano pattern di login, device health, geolocalizzazione, comportamenti anomali in tempo reale. Se qualcosa non quadra — anche se le credenziali sono corrette — l'accesso viene bloccato o limitato.
Le organizzazioni più mature non misurano più il successo Zero Trust per milestone di deployment ("abbiamo implementato MFA!"), ma per outcome operativi: quanto velocemente possiamo restringere accessi quando il rischio sale? Quanto velocemente possiamo invalidare sessioni? Quanto rimane piccolo il blast radius quando un'identità viene compromessa?
IoT e OT: l'anello debole che nessuno vuole ammettere
Il report OT Cybersecurity Insights 2026 di IoT Analytics lo dice chiaro: la convergenza IT/OT (Information Technology e Operational Technology) ha ampliato drammaticamente la superficie d'attacco.
I dispositivi IoT — sensori industriali, sistemi di building automation, device medicali, infrastrutture critiche — sono spesso privi di protezioni base. Niente EDR, niente allow-list, niente isolation. Sono sistemi legacy che nessuno vuole toccare "perché funzionano", ma rappresentano porte aperte per gli attacker.
Il ransomware nel 2026 detona spesso su sistemi senza agent di sicurezza: server legacy, device OT/IoT, network appliances, VM non gestite. Gli MDR dataset si concentrano su cosa possono vedere, non su dove l'attacco è effettivamente iniziato.
La soluzione? Architetture ibride che bilanciano visibilità centralizzata con resilienza locale, Zero Trust microsegmentation per controllo granulare, e AI per difendere la rete e monitorare il proprio ruolo operativo.
Il time-to-impact si è compresso drammaticamente
Secureworks riporta che oltre metà dei deployment ransomware nel 2024 sono avvenuti entro 24 ore dall'accesso iniziale. Nel 2025 il pattern si è consolidato: alcuni playbook eseguono in single-digit hours.
Gli attacker usano framework automatizzati e tooling RaaS, permettendo a crew di skill medio di applicare playbook di alto livello su scale massive. I defender umani — vincolati a ticket, change control, tool multipli — non possono competere con quella velocità una volta che l'attacker ha privilegi distruttivi.
Questo è perché "rapid response" si è rivelato insufficiente. Se la vostra architettura permette a un'identità o endpoint di eseguire operazioni distruttive entro ore dall'accesso, avete già perso.
La domanda non è più "se", ma "quanto velocemente recuperiamo"
Le organizzazioni che stanno vincendo nel 2026 non sono quelle che pensano di poter bloccare ogni attacco. Sono quelle che assumono la breach come inevitabile e si concentrano su limitare l'impatto e accelerare il recovery.
Difese multilayer. Immutable storage. Backup che gli attacker non possono corrompere. Piani di incident response testati. Readiness per reporting regolatorio. Segmentazione che limita il blast radius.
E soprattutto: visibilità continua. Non potete difendere quello che non potete vedere.
Il vero costo nascosto
Verizon's 2025 Data Breach Investigations Report ha trovato ransomware nel 44% dei breach, un aumento del 37% rispetto al 2024. Per le PMI, il ransomware era coinvolto nell'88% dei breach.
Gli attacchi sono aumentati del 34% nei primi tre quarti del 2025 rispetto allo stesso periodo del 2024. BlackFog stima che l'85% degli attacchi ransomware non vengano nemmeno riportati.
Ma il danno economico va oltre il riscatto: downtime operativo, recovery dei sistemi, investigazioni forensi, notifiche ai clienti, multe regolatorie, danni reputazionali, aumento dei premi assicurativi.
Una stima: i danni economici da ransomware raggiungeranno $57 miliardi solo nel 2025.
La sicurezza come differenziatore competitivo
Ecco dove chiude il cerchio: nel 2026, la cybersecurity robusta non è più "quella cosa che facciamo per compliance".
È un vantaggio competitivo. Quando un competitor subisce un breach e deve fermare le operazioni per settimane, voi continuate a servire i clienti. Quando le assicurazioni alzano i premi o rifiutano coverage, voi ottenete condizioni migliori perché avete dimostrato maturità nei controlli.
Quando i clienti enterprise scelgono i fornitori, la postura di sicurezza verificabile è diventata parte dei criteri di valutazione.
Non è più "quanto possiamo tagliare dal budget security?". È "quanto ci costa NON investire abbastanza?".
Le aziende che hanno capito questo stanno consolidando stack tecnologici frammentati, automatizzando con AI dove ha senso, implementando Zero Trust seriamente, e costruendo resilienza operativa vera.
Le altre? Stanno ancora scoprendo — una breach alla volta — che il prezzo dell'impreparazione è esponenzialmente più alto di quello della prevenzione.
