Dall’ascesa delle minacce legate all’intelligenza artificiale agentica e autonoma alla sfida imminente del calcolo quantistico: una serie di minacce emergenti sta mettendo in luce nuove vulnerabilità nei servizi finanziari.
Con un atteggiamento intransigente delle autorità di regolamentazione di fronte a risposte lente e a una sicurezza informatica insufficiente e con le tradizionali difese ritenute non più adeguate, la domanda non è più “come vi state preparando?”, ma “dimostrateci che siete pronti”.
Nel contesto europeo e italiano, questo cambio di paradigma è ulteriormente accelerato da normative come DORA e NIS2, che richiedono evidenze concrete di resilienza operativa.
Indice degli argomenti
Sicurezza informatica nei servizi finanziari 2026: le priorità
Il percorso corretto prevede un potenziamento dei controlli, adottando difese avanzate basate sull’IA per aumentare la resilienza, una gestione solida del rischio legato ai complessi ecosistemi dei fornitori e l’integrazione della sicurezza in ogni area dell’azienda.
Mentre le minacce continuano a evolversi, cinque tendenze chiave plasmeranno l’agenda della sicurezza informatica per il 2026.
Conformità: il passaggio a un’applicazione più attiva
Storicamente, gli organismi di regolamentazione hanno spesso cercato di stare al passo con il settore in termini di emanazione e applicazione di linee guida e normative relative alla tecnologia. Tuttavia, l’urgenza relativa ai controlli di sicurezza si è evoluta negli ultimi anni e, fino al 2026, si prevede che le autorità di regolamentazione continueranno a orientarsi verso un’applicazione più rapida e attiva. Le istituzioni saranno tenute a dimostrare progressi tangibili e sostenibilità – attraverso l’integrazione di solidi processi di sicurezza nei propri modelli operativi – anziché limitarsi a strategie o piani.
Non è più sufficiente dimostrare che i controlli esistono. I loro effetti devono essere misurabili e i controlli devono essere in grado di rispondere alle minacce in continua evoluzione. Questa analisi è particolarmente importante per quanto riguarda le tecnologie emergenti. Per esempio, le autorità di regolamentazione stanno ora integrando la governance dell’IA direttamente nei requisiti di gestione del rischio. Questo è coerente con l’AI Act europeo, che introduce obblighi specifici per i sistemi di intelligenza artificiale ad alto rischio.
Inoltre, cresce la pressione per dimostrare di essere pronti ad affrontare le minacce future, come quelle che emergeranno a seguito dell’avvento dell’informatica quantistica.
Le linee guida del NIST per l’informatica post-quantistica prevedono la creazione di un inventario delle risorse crittografiche, quali chiavi e certificati, una chiara comprensione delle lacune e delle vulnerabilità, nonché la disponibilità a dimostrare i progressi compiuti nell’implementazione delle nuove raccomandazioni e di tecnologie volte alla risoluzione dei problemi.
Per il 2026, il messaggio ai vertici aziendali è chiaro. La conformità non è più una semplice verifica di aver compiuto gli interventi necessari, ma una dimostrazione continua dell’efficacia del controllo operativo.
IA contro IA: la velocità della difesa
Nel 2026, l’intelligenza artificiale ridefinirà le regole della sicurezza informatica. L’IA agisce come un moltiplicatore di attacchi, amplificando vettori di minaccia che in precedenza erano difficili da eseguire e abbassando la barriera di ingresso per gli attori malevoli. Ciò include una proliferazione di “IA generativa avversaria”, compresi i deep fake e sofisticate tattiche di impersonificazione che aggirano i metodi di verifica tradizionali.
L’unico modo per contrastare queste minacce basate sull’IA è implementare difese basate sull’IA. Gli analisti umani, per quanto competenti, non riescono più a tenere il passo con il volume e la velocità degli attacchi automatizzati. Gli istituti finanziari devono potenziare i propri team con capacità di rilevamento e risposta automatizzati.
Tuttavia, questa transizione comporta dei rischi. Per implementare l’IA in modo sicuro all’interno dell’ecosistema di un’organizzazione saranno necessari nuovi controlli e misure di sicurezza. Le aziende devono colmare il divario di competenze all’interno dei propri team e attuare un’adeguata gestione del cambiamento per favorire l’adozione dell’IA.
La priorità per quest’anno è quella di adeguare i team operativi affinché possano lavorare in modo efficace a fianco degli agenti di IA, in un ambiente regolato da politiche rigorose che definiscano esattamente cosa questi potenti strumenti possano e non possano fare.
Zero trust: l’identità come nuovo perimetro
Il perimetro di rete tradizionale è ormai superato. Al suo posto, lo zero trust si è evoluto da semplice termine di moda a requisito imprescindibile del settore. Non più una semplice implementazione tecnologica: lo zero trust è oggi una mentalità fondamentale in cui un’organizzazione non si fida mai implicitamente di nulla o di nessuno.
Un elemento chiave di questa architettura è l’“identità”, che ora rappresenta il perimetro di fatto per le imprese moderne. Prevediamo che il 2026 vedrà una spinta continua verso robuste autenticazioni multifattoriali (MFA) e gestione degli accessi basata sull’identità (IAM), con particolare enfasi nel panorama italiano, dove molte organizzazioni stanno ancora affrontando la complessità di integrare questi modelli con infrastrutture legacy e sistemi IAM frammentati. Ancora una volta, le autorità di regolamentazione pongono domande mirate, passando da «Qual è la vostra strategia Zero Trust?» a «Perché non è stata implementata completamente?»
I rischi si estendono dai dipendenti fino ai clienti. Stiamo assistendo alla necessità di controlli più rigorosi sull’identità dei clienti – come l’autenticazione adattiva abilitata dall’analisi comportamentale e dall’intelligenza dei dispositivi – per aiutare a proteggere i clienti dalle frodi e dalle violazioni degli account. Gli istituti finanziari devono trattare ogni richiesta di accesso, che provenga da un dipendente, da un bot o da un cliente, con la stessa rigorosa attenzione.
Rischio di ecosistema: catena di fornitura e adeguamento alle sfide future
La definizione di “organizzazione” si è ampliata. Nel 2026, i fornitori terzi fanno di fatto parte dell’ecosistema interno di un istituto – e i loro rischi sono i rischi dell’istituto stesso. Anche un sistema di sicurezza interna di livello mondiale può essere violato da un fornitore che utilizza software obsoleto. Nel contesto italiano, caratterizzato da filiere articolate e da una forte presenza di fornitori di piccole e medie dimensioni, questo rischio è particolarmente rilevante.
L’affidamento ai principali fornitori di servizi cloud implica che un fallimento di un singolo soggetto terzo potrebbe avere un impatto sistemico su più istituzioni finanziarie. Le autorità di regolamentazione considerano il fallimento di un fornitore come un fallimento della banca stessa, richiedendo alle istituzioni di applicare ai propri fornitori gli stessi rigorosi controlli che applicano alla propria infrastruttura. DORA rafforza ulteriormente questo aspetto, richiedendo una gestione strutturata dei fornitori ICT critici e una piena visibilità sui rischi associati.
Convergenza tra criminalità informatica e criminalità finanziaria
All’inizio del 2026, la convergenza tra sicurezza informatica e criminalità finanziaria continua a evolversi. Grazie all’introduzione di tecniche basate sull’intelligenza artificiale, stanno emergendo nuove tattiche su entrambi i fronti.
Le organizzazioni stanno ora comprendendo il valore dell’integrazione dei dati provenienti dai sistemi SIEM (Security Information and Event Management) e da altri strumenti di registrazione e monitoraggio con i dati provenienti dai controlli antifrode e antiriciclaggio (AML). Questa integrazione consente una potente analisi comportamentale in grado di “collegare i puntini” tra i modelli di comportamento degli utenti e gli eventi di criminalità finanziaria, rendendoli vulnerabili alle minacce informatiche (un rischio che è aumentato significativamente con la guerra in Iran) man mano che diventano più interconnessi.
Conclusione: pronti per il futuro
Con l’intensificarsi delle minacce e l’attività delle autorità di regolamentazione, nel 2026 è l’operatività, piuttosto che l’intenzione, a determinare la leadership nel campo della sicurezza informatica.
La visione di Capco per il 2026 è quella di una sicurezza adattiva, integrata e sostenibile per un mondo in cui la sicurezza non ha un perimetro statico, ma è un ecosistema intelligente e basato sui dati.
Nonostante il panorama possa apparire scoraggiante, con tecnologie in rapida evoluzione esposte a un numero crescente di minacce, ci sono motivi per rimanere ottimisti. La consapevolezza dell’evoluzione delle minacce informatiche non è mai stata così elevata e gli strumenti a disposizione dei difensori non sono mai stati così efficaci.
