Nell’ultimo report di Fortinet si evidenzia come il cybercrime non consista più in una serie di campagne isolate, ma si sia trasformata in un sistema vero e proprio. In questo ambito hacker malevoli operano sull’intero ciclo di vita dell’attacco e comprimono il ciclo di vita degli attacchi tramite shadow agent. Il 2026 Global Threat Landscape Report si basa esclusivamente sulla telemetria dei FortiGuard Labs e offre un panorama delle minacce attive e dei trend del 2025. Inclusa un’analisi completa di tutte le tattiche utilizzate negli attacchi informatici, come delineato nel framework MITRE ATT&CK.
Cybercrime – Attacchi sempre più sofisticati
Derek Manky, Chief Security Strategist and Global VP of Threat Intelligence, Fortinet FortiGuard Labs La criminalità informatica è una delle minacce più pervasive e onerose al mondo. E il nostro report rivela come gli attori malevoli stiano iniziando a sfruttare l’IA agentica per eseguire attacchi sempre più sofisticati. Man mano che i criminali utilizzano sempre più l’IA per rafforzare le proprie tattiche, i responsabili della sicurezza devono trasformare le operazioni di cybersecurity in una difesa industrializzata. E inoltre adottare strumenti abilitati dall’IA capaci di rispondere alla stessa velocità delle minacce moderne.
Tecniche di attacco e settori colpiti nel panorama delle minacce attuale
La criminalità IT moderna attraversa confini e settori, ridefinendo persino il tradizionale significato di crimine. A causa dell’aumento di sofisticazione e interconnessione degli attacchi, i principali risultati dell’ultimo Global Threat Landscape Report a cura dei FortiGuard Labs rivelano:
la velocità determina il rischio dal momento che il tempo necessario per lo sfruttamento (TTE – time-to-exploit) si riduce. Poiché l’IA accelera le fasi di ricognizione, weaponization ed esecuzione, FortiGuard Intelligence indica un TTE di 24-48 ore per le vulnerabilità critiche. Un netto aumento rispetto ai report precedenti che indicavano un TTE di 4,76 giorni. Gli incidenti reali dimostrano come pochi minuti possano determinare l’esito. Sono stati effettuati tentativi di sfruttamento attivi poche ore dopo la divulgazione pubblica della React2Shell vulnerability.
Le vittime di ransomware aumentano vertiginosamente. L’adversary intelligence di FortiRecon ha identificato 7.831 vittime confermate di ransomware a livello globale. Un’impennata rispetto alle circa 1.600 vittime identificate nel Fortinet 2025 Global Threat Landscape Report. La disponibilità di kit di servizi criminali come WormGPT, FraudGPT e BruteForceAI ha contribuito a questo aumento del 389% anno su anno (YoY). I tre principali settori colpiti includono manifatturiero (1.284), servizi alle imprese (824) e retail (682). La concentrazione geografica vede in testa USA (3.381), Canada (374) e Germania (291).
L’identity sprawl definisce l’esposizione nel cloud. L’intelligence di FortiCNAPP rivela che nel 2025 la maggior parte degli incidenti cloud confermati è stata causata da credenziali rubate, esposte o utilizzate in modo improprio, piuttosto che dallo sfruttamento delle infrastrutture. L’analisi settoriale indica che ospedali, studi medici e strutture retail sono gli obiettivi principali. L’elevato numero di utenti, i modelli di accesso federato e le complesse integrazioni cloud rendono queste realtà bersagli privilegiati per gli hacker malintenzionati.
Cybercrime – Uno sguardo alle abitudini della criminalità IT moderna
Come anticipato nelle FortiGuard Labs Cyberthreat Predictions for 2026 i gruppi di hacker più sofisticati operano come imprese semi-autonome. Realtà supportate da agenti ombra, broker di accesso e gestori di botnet che forniscono servizi su richiesta. I risultati principali mostrano:
gli shadow agent abbassano i requisiti di competenza degli operatori aumentandone la velocità operativa. I segnali del dark web raccolti da FortiRecon hanno rilevato strumenti offensivi basati sull’intelligenza artificiale pubblicizzati come servizi e prodotti. Come versioni potenziate di WormGPT e FraudGPT, e servizi innovativi come HexStrike AI, strumento offensivo di AI con generazione automatizzata di percorsi di attacco di ricognizione. Oltre a BruteForceAI, strumento di penetration testing che integra LLM per l’analisi intelligente dei moduli e in grado di eseguire sofisticati attacchi multithread.
Grazie all’IA, icriminali lavorano in modo più intelligente, non più duro. La telemetria IPS di FortiGate ha registrato una diminuzione del 22% dei tentativi di brute force su base annua, indicando un aumento dell’efficienza. Con tecniche di brute force ottimizzate e intelligenti, gli autori delle minacce stanno effettuando un numero minore di tentativi contro obiettivi meglio selezionati. Aumentando così la probabilità di successo per ogni credenziale testata.
I dataset rubati sono più diffusi delle credenziali esfiltrate. Nel 2025 Global Threat Landscape Report, FortiGuard Labs ha osservato un +500% dei log disponibili provenienti da sistemi compromessi da malware di tipo infostealer. Nel 2026, l’intelligence di FortiRecon ha rilevato un ulteriore +79% e ha evidenziato una tendenza verso il furto di dataset più completi, reso possibile dall’AI agentica. Nell’ambito dell’attività dei ‘database’ del dark web, i log degli stealer hanno dominato i dataset pubblicizzati e condivisi (67,12%), superando le combolist (16,47%) e le credenziali esfiltrate (5,96%). I log degli stealer riducono lo sforzo degli aggressori raggruppando il materiale relativo all’identità con artefatti contestuali, inclusi i dati residenti nel browser. Consentendo una riproduzione immediata e una conversione più rapida rispetto alla brute force o al password spraying.
Il malware credential-stealer persiste. Il malware per il furto di credenziali rimane un settore redditizio e il principale motore della generazione di esposizioni. La telemetria di FortiRecon mostra che l’attività degli stealer è dominata da RedLine: 911.968 infezioni (50,80%); Lumma: 499.784 (27,84%); e Vidar: 236.778 (13,19%).
Dalla consapevolezza all’azione: come smantellare gli ecosistemi criminali
Fortinet si impegna a contrastare la criminalità informatica raccogliendo e condividendo informazioni sulle minacce e operando attivamente per combattere le minacce informatiche su scala globale. Una recente iniziativa collaborativa guidata dall’INTERPOL e sostenuta da Fortinet attraverso il Cybercrime Atlas del Forum economico mondiale ha portato allo smantellamento di una rete di criminali informatici. Operation Red Card 2.0 ha smantellato le infrastrutture e gli operatori dietro truffe online, frodi nel settore del mobile money e richieste di prestiti fraudolente in Africa.
Fortinet amplia la partnership con le forze dell’ordine contro il cybercrime
Fortinet è membro fondatore del Cybercrime Atlas, collaborazione pubblico-privata a livello globale ospitata dal World Economic Forum. Utilizza informazioni di intelligence open-source per mappare le reti criminali informatiche, identificare le vulnerabilità delle infrastrutture e supportare operazioni congiunte di smantellamento con le forze dell’ordine. Tra queste le recenti Operation Red Card 2.0 e Operation Serengeti 2.0. Il 2026 Global Threat Landscape Report rivela che incentivare il contrasto alla criminalità informatica non è mai stato così importante. Per mettere i difensori in condizione di essere sempre un passo avanti rispetto ai criminali informatici, Fortinet e Crime Stoppers International hanno lanciato il programma Cybercrime Bounty per offrire un canale sicuro e anonimo attraverso cui i cittadini e gli ethical hacker possano inviare informazioni su minacce IT.
