Attacchi informatici 2026 e vulnerabilità delle aziende
Secondo il report, l’AI generativa migliora la velocità e la qualità di phishing e social engineering, ma non ha ancora creato nuove tipologie di attacchi.
Il report 2026 evidenzia come gli attacchi informatici e le tecniche abusive stiano evolvendo, mostrando trend chiave e strategie per proteggersi.
Gli attacchi informatici continuano a evolvere: secondo il nuovo Sophos Active Adversary Report 2026, il 67% degli incidenti analizzati dai team Incident Response (IR) e Managed Detection and Response (MDR) deriva da identità compromesse. I cybercriminali sfruttano credenziali rubate, sistemi di autenticazione multifattore carenti e gestione delle identità poco protetta, senza ricorrere necessariamente a tecniche avanzate.
Trend chiave e vulnerabilità emergenti
I principali risultati evidenziano come:
Gli attacchi a forza bruta (15,6%) competono con gli exploit (16%) come metodo di accesso iniziale.
Il tempo di permanenza mediano nelle reti compromesse si è ridotto a tre giorni, grazie anche alla rapidità di reazione dei team MDR.
Gli autori degli attacchi raggiungono Active Directory in tempi sempre più rapidi: bastano 3 ore e 40 minuti dall’intrusione iniziale.
L’88% dei payload ransomware viene installato fuori dagli orari tradizionali di lavoro, così come il 79% dell’esfiltrazione dati.
La mancanza di telemetria limita le difese: il raddoppio dei casi senza log è legato a firewall che conservano dati solo per 24-72 ore.
Questi dati confermano che gli attacchi informatici oggi si basano più sulle debolezze delle identità che sulle vulnerabilità software.
Crescita degli attacchi informatici basati sulle identità
Il report mostra un aumento degli attacchi che sfruttano identità compromesse, tramite furti di credenziali, phishing e brute force. In molti casi, gli aggressori utilizzano account validi per aggirare le difese tradizionali, e nel 59% dei casi manca l’implementazione corretta della MFA, facilitando l’accesso ai sistemi aziendali.
I ricercatori hanno registrato il numero più alto di gruppi di cybercriminali attivi nella storia del report, ampliando il panorama delle minacce e complicando l’attribuzione:
Akira (GOLD SAHARA) e Qilin (GOLD FEATHER) sono stati i gruppi più attivi nel ransomware.
Sono stati identificati 51 gruppi specializzati, 24 dei quali nuovi.
Solo quattro tecniche persistono dal 2020: LockBit, MedusaLocker, Phobos e l’abuso di BitLocker.
Secondo il report, l’AI generativa migliora la velocità e la qualità di phishing e social engineering, ma non ha ancora creato nuove tipologie di attacchi.
Strategie per proteggersi dalle minacce
Sophos raccomanda di:
Implementare MFA anti-phishing e verificare la configurazione.
Ridurre l’esposizione delle infrastrutture identitarie e dei servizi web.
Applicare patch tempestive su dispositivi edge e sistemi critici.
Garantire monitoraggio 24/7 tramite MDR o sistemi equivalenti.
Conservare e proteggere i log di sicurezza per rilevamento rapido e analisi forense.
Lo studio 2026 ha analizzato 661 casi IR e MDR gestiti tra novembre 2024 e ottobre 2025, su aziende in 70 Paesi e 34 settori diversi.
