Google Threat Intelligence Group ha rilevato un cambiamento nella strategia di sfruttamento delle vulnerabilità zero-day. Il resoconto evidenzia che, nell’ultimo anno, i commercial surveillance vendors hanno assunto un ruolo primario nella fase iniziale di sfruttamento di numerosi bug critici. Il fenomeno modifica dinamiche finora prevalentemente attribuite a stati nazionali.
Il rapporto, intitolato “Look what you made us patch: 2026 zero-days in review”, è stato pubblicato il 05 Mar 2026 e presenta attribuzioni e tendenze osservate da GTIG. Nella mia esperienza in Deutsche Bank, cambiamenti simili nel panorama della minaccia richiedono revisioni immediate delle strategie difensive. Chi lavora nel settore sa che le imprese e le infrastrutture critiche devono aggiornare processi di due diligence e compliance per contrastare il rischio.
I numeri parlano chiaro: il report fornisce elementi utili per pianificare mitigazioni e monitoraggio continuo.
Cosa è emerso dal monitoraggio delle vulnerabilità
Dopo il precedente passaggio, il monitoraggio conferma una distribuzione eterogenea degli sfruttamenti. Secondo GTIG, su 42 zero-day distinti tracciati nel 2026, 15 sono attribuiti in modo chiaro a fornitori di spyware commerciali e 12 risultano riconducibili a attori statali, con la Cina indicata tra i principali sfruttatori. Il resto del campione comprende casi probabilmente legati a interessi statali e episodi in cui il confine tra cybercriminalità e attività sponsorizzata dallo stato è sfumato. Marco Santini, ex Deutsche Bank e analista fintech, osserva che i numeri parlano chiaro: la coesistenza di operatori commerciali e sponsor statali complica la valutazione del rischio e richiede due diligence mirata e monitoraggio continuativo.
Dal punto di vista regolamentare, queste dinamiche impongono aggiornamenti nelle pratiche di vulnerability management e nella cooperazione tra enti pubblici e privati per mitigare exploit condivisi.
Quali bersagli hanno privilegiato gli attori
GTIG registra uno spostamento verso il mondo enterprise: il 43% dei 90 zero-day attivamente sfruttati nel periodo ha colpito software e dispositivi impiegati nelle reti aziendali. Tra gli asset più bersagliati figurano apparecchiature di sicurezza e dispositivi di perimetro, indicati come vettori che favoriscono accesso prolungato e movimento laterale all’interno delle infrastrutture.
Nella sua esperienza in Deutsche Bank, Marco Santini sottolinea che i numeri parlano chiaro: la preferenza per target ad alta gittata operativa riflette un approccio volto a massimizzare la persistenza e l’esfiltrazione. Questo fenomeno impone aggiornamenti nelle pratiche di vulnerability management e rafforza la necessità di cooperazione tra enti pubblici e operatori privati per mitigare exploit condivisi.
Il ruolo crescente dei fornitori di spyware commerciali
GTIG segnala che i CSV (commercial surveillance vendors) hanno evoluto il loro modello. Forniscono exploit avanzati e curano l’operational security per mascherare le attività. Ciò amplia la platea di utenti con accesso a zero-day e aumenta il rischio per giornalisti, attivisti e dissidenti.
I numeri parlano chiaro: la disponibilità più ampia di exploit riduce le barriere tecniche all’uso di strumenti di sorveglianza. Dal punto di vista regolamentare, questa dinamica complica la possibilità di controllo e responsabilità.
Marco Santini, ex Deutsche Bank e analista fintech, osserva che chi lavora nel settore sa che la concentrazione di capacità offensive presso fornitori privati cambia il rapporto tra rischio e accountability. Nella sua esperienza professionale, le lezioni della crisi del 2008 indicano l’importanza di misure di governance e di due diligence più stringenti.
Distribuzione dei bersagli per fornitore
Nel conteggio dei fornitori colpiti, Microsoft risulta la più bersagliata con 25 zero-day. Seguono Google con 11 e Apple con 8. Anche produttori di apparecchiature di rete e sicurezza, come Cisco e Fortinet, hanno registrato exploit significativi.
Questo schema indica che gli aggressori privilegiano punti di leva con impatto esteso sulla clientela enterprise. Chi lavora nel settore sa che compromessi su piattaforme fondamentali amplificano il rischio sistemico.
Le implicazioni operative includono la necessità di rafforzare processi di vulnerability management e di intensificare la cooperazione tra enti pubblici e operatori privati. I prossimi sviluppi attesi riguardano possibili interventi regolamentari e iniziative condivise di threat intelligence tra vendor e autorità competenti.
Attori statali e criminali: metodologie e priorità
La transizione verso interventi regolamentari e iniziative condivise di threat intelligence ha ridefinito le priorità degli attori ostili. Secondo GTIG, gruppi connessi alla Cina continuano a privilegiare strumenti di perimetro e networking difficili da monitorare. Questi strumenti sono spesso progettati per garantire una presenza persistente nelle infrastrutture prese di mira. Al contrario, gruppi criminali russi mostrano una capacità operativa orientata alla monetizzazione rapida, tramite estorsioni e campagne di data breach.
Confini sfumati tra criminalità e operazioni statali
GTIG segnala una cooperazione informale che complica l’attribuzione degli attacchi. L’uso di front companies e di gruppi di facciata consente operazioni che appaiono autonome ma possono perseguire obiettivi geopolitici. Marco Santini, ex Deutsche Bank ora analista fintech, osserva che chi lavora nel settore sa che queste commistioni riducono l’efficacia delle normali indagini. I numeri parlano chiaro: la convergenza tra interessi statali e incentivi criminali aumenta il rischio sistemico.
Prospettive: AI, furto di IP e la difesa
I numeri parlano chiaro: la diffusione dell’intelligenza artificiale accelera sia le attività offensive sia quelle difensive nel cyberspazio. Secondo il rapporto, gli strumenti basati su AI automatizzano la ricognizione e facilitano la scoperta di exploit, aumentando la velocità di sviluppo di nuove tecniche d’attacco. Al contempo, le squadre di difesa possono impiegare agenti automatizzati per migliorare il rilevamento e la risposta in tempo reale.
Il Gruppo di lavoro GTIG segnala un elemento particolarmente preoccupante: il furto di dati viene impiegato non solo per estorsione ma anche come leva tecnica. Campagne come Brickstorm hanno dimostrato che l’esfiltrazione di codice sorgente e documentazione tecnica alimenta lo sviluppo di nuovi zero-day. Per zero-day si intende una vulnerabilità non ancora corretta e non nota pubblicamente, sfruttabile immediatamente dagli aggressori.
Nella sua esperienza in Deutsche Bank, Marco Santini osserva che la disponibilità di codice sorgente su larga scala riduce i tempi di weaponizzazione degli exploit. Chi lavora nel settore sa che questo crea un circolo vizioso: più dati esfiltrati significano più opportunità per attacchi mirati, con impatti crescenti su software critici e supply chain. Dal punto di vista regolamentare, la combinazione di AI e furto di IP richiede maggiore coordinamento internazionale e standard condivisi di due diligence.
Tra gli sviluppi attesi, il rapporto indica un aumento degli investimenti in rilevamento basato su AI e in condivisione di threat intelligence tra operatori privati e autorità. I numeri parlano chiaro: la convergenza tra capacità offensive automatizzate e diffusione di materiale sensibile aumenta il rischio sistemico e impone risposte coordinate a livello industriale e regolamentare.
Implicazioni per le organizzazioni
Per le aziende la raccomandazione è netta: assumere che una compromissione sia possibile e progettare sistemi con segmentazione, principi di least privilege e un inventario in tempo reale degli asset. Il monitoraggio continuo e l’analisi delle anomalie restano strumenti imprescindibili per individuare attività sospette quando exploit zero-day sfruttano vulnerabilità non ancora note ai vendor. I numeri parlano chiaro: una strategia difensiva basata su detection e contenimento riduce il tempo medio di esposizione e il potenziale impatto economico.
Il report GTIG del 05 Mar 2026 modifica la prospettiva sulle minacce informatiche, che non sono più solo confronto tra stati ma un ecosistema in cui fornitori commerciali, criminalità e attori statali interagiscono su scala globale. Nella sua esperienza in Deutsche Bank, Marco Santini evidenzia come tali interazioni richiedano due diligence fornite da processi di supply chain security e da test di resilienza regolari. Dal punto di vista regolamentare, si rendono necessari standard condivisi e risposte coordinate a livello industriale; si attendono aggiornamenti operativi dai vendor e interventi normativi mirati per mitigare il rischio sistemico.
