Cybersecurity: l’AI mette a nudo le vulnerabilità e cambia la mappa dei data breach

La cybersecurity oggi significa soprattutto una cosa: ridurre il tempo che separa una vulnerabilità scoperta da una violazione compiuta. È questo il messaggio più forte del nuovo Data Breach Investigations Report di Verizon Business, che fotografa un passaggio di fase nel mercato della sicurezza. Per la prima volta in 19 anni, infatti, lo sfruttamento delle vulnerabilità supera il furto di credenziali come principale punto di ingresso dei data breach. E sullo sfondo c’è l’impatto crescente dell’AI, che accelera attacco, ricognizione e capacità di adattamento dei criminali.

Le nuove priorità della cybersecurity

Il dato chiave del report è chiaro: il 31% delle violazioni analizzate nasce dallo sfruttamento di falle software. Fino a poco tempo fa erano password rubate, credenziali deboli e accessi compromessi a guidare la classifica. Oggi la cybersecurity deve invece misurarsi con una pressione diversa, molto più legata alla velocità operativa degli attaccanti e alla capacità delle aziende di chiudere rapidamente i punti esposti.

Il sorpasso delle vulnerabilità sulle credenziali non è un semplice cambio statistico. Indica che la finestra utile per intervenire si sta restringendo. Verizon collega questa dinamica all’uso crescente dell’AI da parte dei threat actor, che la impiegano per individuare bersagli, affinare la fase di accesso iniziale, supportare lo sviluppo di malware e migliorare gli strumenti offensivi.

L’AI: un amplificatore dei rischi

Secondo il report, gli attaccanti hanno studiato o usato assistenza AI in media in 15 tecniche documentate. In alcuni casi si arriva a 40 o 50. Questo significa che attività prima più lente e costose diventano più rapide, più economiche e più scalabili. Nella cybersecurity aziendale, quindi, la priorità si sposta dalla sola prevenzione statica a una resilienza molto più dinamica, capace di reagire in ore e non in settimane.

Cambiamenti nel modello di lavoro dei team di sicurezza

Per i team di sicurezza cambia il modello di lavoro. Servono inventari aggiornati degli asset, priorità chiare nelle patch, segmentazione, monitoraggio continuo e una migliore lettura del rischio reale. Quando la velocità offensiva cresce, le buone pratiche non perdono valore. Al contrario, diventano il vero fattore competitivo della difesa.

Lo sottolinea anche Daniel Lawson, Svp Global Solutions di Verizon Business, secondo cui “mentre la velocità delle minacce aumenta, spinta dall’AI e da uno sfruttamento più rapido delle vulnerabilità, i principi fondamentali della sicurezza e una solida gestione del rischio restano la difesa più efficace”.

Ransomware: segnali di trasformazione nel modello economico

Un altro elemento rilevante del Dbir riguarda il ransomware, presente nel 48% dei data breach osservati. La pressione resta dunque molto alta. Eppure il modello economico di questo tipo di attacco mostra alcuni segnali di trasformazione. Il 69% delle vittime rifiuta di pagare, mentre il valore medio dei riscatti versati scende a 139.875 dollari, contro i 150.000 dell’anno precedente.

Per la cybersecurity d’impresa è un passaggio interessante. Non significa che il ransomware stia perdendo centralità, ma che le aziende iniziano a rafforzare capacità di risposta, continuità operativa e procedure di recupero. Di conseguenza, i gruppi criminali devono spingere di più su volume, automazione e diversificazione degli accessi. Anche qui l’AI può diventare un moltiplicatore, perché permette di adattare campagne e strumenti con maggiore efficienza.

La risorsa crescente degli attacchi mobile-centric

Il report segnala poi un tema molto rilevante per telco e imprese: il successo crescente degli attacchi mobile-centric. Le campagne basate su voce o testo ottengono tassi di riuscita superiori del 40% rispetto all’email. Il phishing tradizionale resta stabile, con un tasso del 16%, ma perde centralità nel momento in cui i criminali si spostano su canali percepiti come più immediati e credibili.

Per la cybersecurity questo cambia il terreno dello scontro. Il dispositivo mobile non è più solo un terminale accessorio. È una porta di accesso continua a sistemi aziendali, account personali, autenticazioni e conversazioni di lavoro. Verizon evidenzia in particolare la crescita del pretexting via Sms, usato dentro schemi di estorsione o ransomware. In sostanza, gli attaccanti cercano meno il clic casuale e più la relazione manipolata, costruita in tempo reale.

La sfida delle organizzazioni: Shadow AI e rischio interno

Dal punto di vista delle telco, questo trend rafforza la necessità di integrare sicurezza, rete e protezione dell’utente finale. La cybersecurity non può più limitarsi al perimetro classico del data center. Deve presidiare l’interazione quotidiana tra persona, dispositivo e canale di comunicazione.

Se l’AI potenzia gli attaccanti, apre anche un fronte interno alle organizzazioni. Il Dbir rileva che il 45% dei dipendenti usa regolarmente strumenti AI sui dispositivi aziendali. Un anno prima la quota era al 15%. Cresce anche il ricorso ad account non aziendali su device di lavoro, che riguarda il 67% degli utenti osservati. Per questo la shadow AI diventa la terza attività più comune collegata a perdite di dati non malevole.

Governance e formazione per contrastare la Shadow AI

Qui la cybersecurity incontra un problema di governance, oltre che tecnico. I dipendenti adottano strumenti generativi per velocizzare compiti, scrittura, analisi e supporto operativo. Ma se questi strumenti non sono approvati, i dati aziendali rischiano di finire in ambienti esterni, fuori controllo e fuori policy. Il rischio non nasce sempre da comportamenti ostili. Spesso nasce da abitudini apparentemente innocue.

La risposta non può essere solo restrittiva. Le imprese devono costruire un perimetro di adozione governata dell’AI, con strumenti autorizzati, regole comprensibili, formazione concreta e controlli coerenti. In caso contrario, la cybersecurity rincorre l’innovazione invece di accompagnarla.

La crescente minaccia della supply chain

Il report mette in evidenza anche la crescita delle violazioni che coinvolgono terze parti. I breach legati alla supply chain aumentano del 60% e arrivano a rappresentare il 48% del totale. È un dato che pesa molto perché riflette la struttura dell’economia digitale contemporanea, sempre più basata su fornitori esterni, piattaforme cloud, partner software e servizi gestiti.

Per la cybersecurity questo significa che il rischio non coincide più con il solo perimetro aziendale. Ogni integrazione amplia la superficie d’attacco. Ogni dipendenza esterna può trasformarsi in un punto di esposizione. Le organizzazioni devono quindi rafforzare due livelli insieme: controllo interno e verifica continua della catena dei fornitori.