Nel 2026 la cybersecurity entra in una fase di maturazione in cui il rumore – tecnologico, operativo e organizzativo – costringe le aziende a cambiare radicalmente approccio. Come illustra Emilio Turani, Managing Director Qualys Italia, SE Europe, Turchia e Grecia di Qualys, fornitore di soluzioni cloud innovative per l’IT, la sicurezza e la compliance, il modeling dei percorsi di attacco, fino a ieri confinato a grafi statici, evolve in digital cyber ranges dinamici, capaci di alimentare simulazioni continue, red teaming avanzato e scenari “what-if” in tempo reale. Questo passaggio segna anche un cambio di paradigma: il CTEM si ritrae e lascia spazio al Risk Operations Center, dove le operazioni si basano sulla priorità del rischio e su un triage intelligente che elimina il superfluo, permette di risparmiare risorse e consente ai team di concentrarsi su ciò che realmente conta nel momento in cui conta. È un’evoluzione che rispecchia la crescente integrazione delle logiche di wargame nel dominio cyber, finalmente riconosciuto come un terreno in cui la simulazione continua è essenziale.
Nel 2025 i CISO erano già stati travolti dalle tre T — telemetry, tools, technology — una tempesta di segnali, strumenti e trasformazioni digitali che ha reso difficile distinguere ciò che è urgente da ciò che è semplicemente rumoroso. A questo si è aggiunta la crescita esplosiva dell’AI, tanto nel mondo consumer quanto in quello enterprise: un’onda di utilizzi non autorizzati, shadow IT potenziato e sperimentazioni accelerate, spesso scollegate dal rischio reale. Le aziende hanno iniziato a collegare sistemi on-prem e SaaS tramite nuovi protocolli come l’MCP, aprendo la strada a forme di coordinamento autonomo tra agenti AI. Ma ciò che i leader chiedono ora va oltre la mera osservabilità: vogliono comprendere come asset, minacce, rischi e valore di business si intreccino lungo un percorso di attacco e dove un intervento produca il massimo ritorno di investimento, soprattutto se non distruttivo per l’operatività.
In questo scenario, l’area più sottovalutata del 2026 è proprio la superficie di rischio dell’AI. La corsa all’adozione, alimentata da grandi budget e FOMO aziendale, rischia di coprire le domande fondamentali del risk management: cosa possiamo perdere concretamente con l’uso dell’AI e quali segnali ci permetterebbero di capire che la perdita si sta verificando? Senza questa chiarezza, molte imprese tendono a spalmare una “crema AI” indistinta sull’intera organizzazione, indebolendo tutto, come ricorda la logica di Sun Tzu. Il compito del CISO moderno sarà quindi mappare iniziative, asset, modelli e valore a rischio, dimostrare quale impatto reale stiano producendo gli investimenti, valutare il rischio residuo e capire cosa serve per riportarlo entro la tolleranza aziendale. In un contesto in cui il capitale si sposta verso tutto ciò che è AI, questa capacità di misurare e mostrare valore diventa decisiva.
Anche la cyber insurance si muove dentro queste dinamiche. Il 2026 per la cybersecurity si prospetta come un anno di moderato irrigidimento dopo l’attuale soft market: premi in aumento graduale, maggiore selettività e più attenzione ai controlli di sicurezza, ma senza tornare alla severità dei cicli più duri del passato. La vera variabile destabilizzante resta la possibilità di un evento sistemico — un blackout cloud, una compromissione della supply chain o un attacco ransomware ad ampio impatto — capace di stringere improvvisamente il mercato. Intanto, molte aziende stanno iniziando a considerare l’assicurazione come parte di un portafoglio di risk-financing, da bilanciare in parallelo a investimenti in controllo e riduzione del rischio. Chi oggi ha una postura di sicurezza solida può ottenere coperture migliori a costi contenuti; chi investe presto in visibilità e misurabilità avrà margine di trattativa quando il mercato diventerà più rigido.
E infine c’è la mossa audace che più aziende dovrebbero compiere: adottare una trasparenza radicale nella gestione degli incidenti. Capovolgere il paradigma della violazione come crisi PR significa informare subito clienti e stakeholder quando emerge un’attività anomala, anche prima di comprendere tutta la portata dell’evento. Significa mantenere una pagina di stato viva, pubblicare aggiornamenti quotidiani, condividere indicatori di attacco e ammettere apertamente ciò che non si sa. È un approccio scomodo, perché espone vulnerabilità nel momento di massima fragilità, ma genera fiducia a lungo termine molto più di qualunque report post-mortem lucidissimo. Le aziende che scelgono questa via non si imbattono nel disastro reputazionale che temevano: scoprono piuttosto una nuova forma di lealtà da parte dei clienti.
Così il 2026 si profila come l’anno in cui il settore cybersecurity passa dalla reazione alla comprensione, dall’opacità alla trasparenza, dal rumore alla priorità. Un anno in cui la maturità tecnologica — dai digital cyber ranges alle risk-based operations — incontra la maturità culturale di un ecosistema che inizia finalmente a trattare la fiducia come un asset strategico.
