Nel 2026 la cybersecurity entra in una fase più matura, ma anche più contraddittoria poiché le imprese spendono di più, adottando più strumenti, raccolgono più dati e investono più risorse nell’AI.
Eppure, la fiducia reale nella propria postura di rischio non cresce allo stesso ritmo: Gartner stima che la spesa mondiale degli utenti finali in information security passerà da 213 miliardi di dollari nel 2025 a 240 miliardi nel 2026, mentre la spesa globale per l’AI è prevista a 2,52 trilioni di dollari nel 2026: segno che la corsa alla trasformazione accelera, ma anche che la superficie di esposizione si allarga.
Il paradosso dopo un’attenta analisi è tutto qui: non manca la visibilità, manca la capacità di sintesi; questo perché le organizzazioni sono sommerse da segnali, alert, dashboard e metriche spesso incoerenti tra loro ed in molti casi il problema non è individuare il rischio, ma capire quale rischio conta davvero per il business, quale richiede un intervento immediato e quale, invece, può essere accettato o trasferito; ed è in questo passaggio, dalla semplice osservazione all’azione contestualizzata, che si giocherà la credibilità dei CISO nel 2026.
Indice degli argomenti
Cybersecurity nel 2026, il rumore cyber raggiungerà il picco
Il rumore cyber raggiungerà il picco: i CISO saranno costretti a unificare la visibilità frammentata e difatti la prima tendenza è già evidente: il volume di telemetria e di segnali prodotti dagli ambienti digitali sta diventando ingestibile senza un livello superiore di correlazione e priorità dove il problema si aggrava in architetture ibride, multi-cloud e SaaS, dove ogni piattaforma porta con sé un proprio lessico del rischio, un proprio punteggio di criticità ed una propria dashboard.
Il risultato è quindi una frammentazione che rallenta le decisioni e rende difficile costruire una vista unica degli asset davvero esposti ed i dati confermano che la complessità non è astratta. Ad esempio il Verizon 2025 DBIR segnala che il coinvolgimento di terze parti nelle violazioni è raddoppiato al 30%, mentre lo sfruttamento delle vulnerabilità è cresciuto del 34% a livello globale.
Nella nostra “regione” di riferimento, l’EMEA, le intrusioni nei sistemi sono salite al 53% del totale delle violazioni, quasi il doppio rispetto all’anno precedente. Quando la catena di fornitura, i partner e i dispositivi perimetrali diventano parte integrante dell’esposizione, l’idea di governare il rischio con strumenti scollegati tra loro smette di essere inefficiente e diventa, di fatto, pericolosa.
Per questo nel 2026 i board chiederanno meno dashboard e più chiarezza. Non basterà mostrare che esistono migliaia di alert o centinaia di vulnerabilità aperte: servirà spiegare quali asset sostengono ricavi, quali dipendenze esterne amplificano il rischio e quali interventi riducono davvero la probabilità di impatto operativo o finanziario; in altre parole, la cybersecurity dovrà presentarsi sempre più come una disciplina di allocazione del capitale e della resilienza, non solo come una funzione tecnica.
La superficie di rischio AI non osservata
In aggiunta, un tema specifico di sicurezza, sarà legato alla superficie di rischio AI non osservata, che è la minaccia più sottovalutata. Il 2026 non sarà solo l’anno degli attacchi “potenziati” dall’intelligenza artificiale: sarà soprattutto l’anno in cui molte imprese scopriranno di aver introdotto nuovi rischi senza averli ancora misurati.
Il World Economic Forum rileva che il 94% degli intervistati considera l’AI il principale fattore di cambiamento per la cybersecurity nell’anno in corso. Ancora più significativo: la quota di organizzazioni che dichiara di avere processi per valutare la sicurezza degli strumenti AI prima del deployment è salita dal 37% nel 2025 al 64% nel 2026.
Tutto ciò è un progresso, ma lascia comunque oltre un terzo delle organizzazioni senza un processo formalizzato e nel frattempo il rischio percepito cresce più in fretta della capacità di governo. Secondo il Global Cybersecurity Outlook 2026, l’87% del campione identifica le vulnerabilità legate all’AI come il rischio cyber in più rapida crescita nel corso del 2025 e l’attenzione si sta spostando: non solo phishing, deepfake o capacità offensive degli attaccanti, ma soprattutto data leak e uso improprio di informazioni sensibili attraverso sistemi generativi e agentici.
Qui emerge il vero nodo: molte aziende stanno tentando di “mettere in sicurezza l’AI” come categoria indistinta, senza distinguere tra modelli sperimentali, casi d’uso a basso impatto e applicazioni che toccano ricavi, supply chain, customer experience o proprietà intellettuale.
IBM segnala che il 13% delle organizzazioni ha già riportato violazioni di modelli o applicazioni AI; tra quelle colpite, il 97% dichiara di non avere controlli di accesso adeguati. IBM rileva anche che il 60% degli incidenti AI ha portato a compromissione di dati e il 31% a interruzioni operative.
Lo shadow AI diventa un problema organizzativo
Il rischio è reso ancora più concreto dai comportamenti quotidiani. Gartner indica che oltre il 57% dei dipendenti usa account GenAI personali per attività di lavoro e che il 33% ammette di aver inserito informazioni sensibili in strumenti non approvati. Questo significa che lo shadow AI non è più un’eccezione marginale: è già una variabile organizzativa, di compliance e di sicurezza.
Nel 2026, i CISO più maturi saranno quelli capaci di collegare ogni iniziativa AI a un processo di business, a un valore economico e a un livello di rischio residuo comprensibile anche per CFO e consiglio di amministrazione.
Agentic AI e sicurezza informatica nel 2026
L’agentic AI però trasformerà i team di sicurezza da reattivi a strategici: Nel 2026 l’automazione non sarà più un vantaggio competitivo, ma una soglia minima di sopravvivenza. La mole di telemetria, la velocità degli attacchi e la complessità degli ambienti rendono sempre meno realistico immaginare che un team umano possa interpretare tutto, manualmente e in tempo utile; in questo scenario, l’agentic AI smette di essere un concetto futuristico e diventa un modello di esecuzione: analizzare, correlare, filtrare, suggerire e, in alcuni casi, attivare contromisure con una minima supervisione umana.
L’automazione non basta se accelera anche il rumore
La chiave, però, è evitare un errore già visto con l’automazione tradizionale: accelerare il rumore invece di ridurlo. Si osserva che le organizzazioni che usano AI e automazione in modo esteso nelle operazioni di sicurezza hanno risparmiato in media 1,9 milioni di dollari sui costi di una violazione e ridotto di 80 giorni il ciclo medio di breach e questo è un dato rilevante, ma racconta poi una verità precisa: l’automazione funziona quando è innestata in un modello decisionale chiaro, con processi, priorità e responsabilità definite.
In altre parole, l’agentic AI non sostituirà il CISO. Cambierà il suo mestiere. Meno tempo speso a gestire code operative e triage manuali, più tempo dedicato a decidere dove eliminare il rischio lungo gli attack path, quali controlli rafforzare, quali esposizioni tollerare e dove investire.
Il ruolo del CISO si sposta verso le decisioni di business
Nell’anno in corso il valore del leader cyber non si misurerà sulla quantità di alert e vulnerabilità chiuse, ma sulla capacità di trasformare la velocità della “macchina” in scelte coerenti con la strategia d’impresa.
La pressione normativa rende il rischio più misurabile
Il contesto che rende l’attenzione a queste analisi ancora più urgente è che questo non sarà solo un anno che vede minacce in crescita, ma anche di pressione normativa e geopolitica. In Europa, la NIS2 è entrata in vigore nel gennaio 2023 e il termine di recepimento per gli Stati membri è scaduto il 17 ottobre 2024.
DORA è applicabile dal 17 gennaio 2025 per il settore finanziario. L’AI Act è entrato in vigore il 1° agosto 2024, con applicazione progressiva: divieti e obblighi di alfabetizzazione AI dal 2 febbraio 2025, regole per i modelli general purpose dal 2 agosto 2025 e piena applicazione generale dal 2 agosto 2026; anche il Cyber Resilience Act è già entrato in vigore, con obblighi di reporting che inizieranno ad applicarsi dall’11 settembre 2026.
Questo significa che la convergenza tra cyber risk, operational resilience, AI governance e l’accountability executive non è più solo una buona pratica: sta diventando architettura di conformità ed il tema riguarda da vicino anche noi in Italia.
IBM indica che nel 2025 il costo medio di una violazione nel nostro Paese è sceso a 3,31 milioni di euro, ma l’ACN ha segnalato un aumento degli eventi e incidenti cyber nel primo semestre 2025 e 1.253 eventi cyber nel secondo semestre, in crescita del 30% rispetto al semestre precedente. Una riduzione del costo medio, quindi, non equivale a un abbassamento della pressione sul sistema.
Frode digitale, competenze e resilienza cyber
Secondo il World Economic Forum, che segnala che il 73% dei rispondenti ad un sondaggio, è stato colpito personalmente, o nella propria rete di contatti, da forme di frode cyber nel corso del 2025. Per i CISO nella realtà quotidiana, la frode digitale ha superato il ransomware come preoccupazione principale: È un passaggio importante perché sposta l’attenzione dal solo danno tecnico al danno reputazionale, commerciale e fiduciario.
Le competenze restano il vero collo di bottiglia
La cybersecurity, quindi, non dipende più soltanto dalla maturità interna dell’azienda, ma anche dalla robustezza dell’ecosistema e delle istituzioni in cui essa opera. Nei vari report analizzati, ma in particolar modo in quello del WEF, solo il 33% degli intervistati in Europa e Asia centrale afferma che la propria organizzazione dispone oggi delle persone e delle competenze necessarie per raggiungere gli obiettivi di cybersecurity e, quindi, anche per questo l’AI sarà importante, ma non come scorciatoia: come moltiplicatore di capacità in un mercato del lavoro dove le skill restano insufficienti.
Nel 2026 i CISO non vinceranno accumulando altri strumenti né moltiplicando reportistica e controlli generici. Vinceranno se sapranno ridurre il rumore, unificare i segnali, leggere l’AI in funzione del valore di business e usare l’automazione per prendere decisioni migliori, non solo più veloci.
La prossima maturità della cybersecurity non sarà definita da quanto un’organizzazione osserva, ma da quanto riesce ad agire con lucidità, priorità e impatto.
