Negli ultimi mesi IBM X‑Force ha rilevato una svolta nel panorama degli attacchi informatici: mentre fino a poco tempo fa gli intrusi puntavano soprattutto al furto di credenziali via phishing o malware, oggi cresce con forza lo sfruttamento diretto di vulnerabilità nelle applicazioni esposte su Internet. Dietro questo cambiamento ci sono configurazioni errate, scarsa cura del ciclo di vita del software e, sempre più, strumenti che permettono di scalare e velocizzare le attività di ricognizione.
Cosa sta succedendo
X‑Force segnala un aumento significativo degli attacchi che prendono di mira web app e API pubbliche, con un +44% degli incidenti inizialmente causati da exploit di applicazioni esposte. Gli aggressori non cercano più solo account compromessi: scansionano porte, cercano endpoint esposti e sfruttano falle note o impostazioni difettose per entrare rapidamente nei sistemi.
Il ruolo dell’automazione e dell’AI
L’automazione e i modelli di intelligenza artificiale stanno cambiando il ritmo degli attacchi. Strumenti automatizzati analizzano codice e configurazioni pubbliche, individuano pattern vulnerabili e possono generare exploit e script pronti all’uso. Questo non inventa tecniche nuove, ma riduce drasticamente i tempi che separano la scoperta della falla dall’attacco effettivo, ampliando la portata delle campagne e abbassando la soglia tecnica necessaria per operare.
Impatto sulle difese e sulle tempistiche
La conseguenza più immediata è la compressione della finestra di intervento: il tempo tra la segnalazione di una vulnerabilità e il suo sfruttamento si è accorciato sensibilmente. Per le organizzazioni significa dover correre sul patching, sulle verifiche di configurazione e sul monitoraggio degli endpoint esposti per evitare compromissioni rapide e difficili da contenere.
Il problema delle credenziali e i rischi specifici per le piattaforme AI
Il furto di account resta una minaccia centrale. Ne è un esempio l’esposizione di oltre 300.000 credenziali legate a ChatGPT nel 2026 a causa di infostealer: accessi non autorizzati a servizi AI possono permettere di manipolare output, esfiltrare dati sensibili o automatizzare azioni dannose. Le credenziali rubate agevolano anche movimenti laterali all’interno delle reti aziendali, rendendo più difficile la scoperta e il contenimento dell’incidente.
Shadow use: strumenti AI non autorizzati in azienda
Un altro problema emergente è l’uso non autorizzato di tool di intelligenza artificiale da parte dei dipendenti — il cosiddetto “shadow use”. Strumenti installati senza supervisione sfuggono ai processi di governance IT, rendendo complesso controllare accessi, revocare credenziali compromesse e proteggere dati sensibili.
Per ridurre il rischio serve una mappatura delle soluzioni AI in uso, policy chiare e l’estensione di meccanismi di autenticazione forte e controllo condizionale.
Ransomware, supply chain e vulnerabilità nelle pipeline
X‑Force indica anche un aumento del 49% dei gruppi ransomware attivi rispetto all’anno precedente, con una crescita marcata di operatori piccoli e transitori che complicano l’attribuzione. Le compromissioni nella supply chain software sono quasi quadruplicate dal 2026: l’automazione CI/CD e l’integrazione di tool AI nei processi di sviluppo hanno introdotto nuovi vettori persistenti. Il risultato è una maggiore complessità nelle indagini forensi e tempi di risposta più lunghi.
Raccomandazioni pratiche
Le misure difensive da adottare con priorità sono chiare e concrete:
– patching continuo e prioritizzazione delle correzioni sulle componenti esposte;
– verifica costante delle configurazioni e riduzione della superficie d’attacco degli endpoint pubblici;
– principio del privilegio minimo per accessi e ruoli;
– autenticazione multifattore e controlli condizionali estesi alle integrazioni esterne;
– monitoraggio delle pipeline CI/CD e audit delle dipendenze di terze parti;
– inventory e governance sull’uso di tool AI per evitare shadow use.
Un ritorno ai fondamentali
Le tecnologie avanzate aiutano, ma la difesa efficace parte dalle basi: gestione delle vulnerabilità, controllo dei servizi esposti e processi operativi che integrino la sicurezza fin dalle fasi di sviluppo. Automatizzare i controlli nelle pipeline riduce la finestra d’opportunità degli attaccanti e migliora la resilienza complessiva.
Cosa aspettarsi
Gli analisti prevedono un aumento delle misure preventive, più indagini forensi sui vettori d’infezione e una pressione crescente sulle pratiche di sicurezza aziendale. Chi vorrà restare al sicuro dovrà accelerare il patching, rafforzare le configurazioni e mettere sotto controllo ogni integrazione esterna, prima che siano gli aggressori a farlo per loro.
