Il 2026 si profila come un anno di forte pressione sul fronte della cybersecurity, segnato da una convergenza strutturale tra tensioni geopolitiche, trasformazione tecnologica e attività criminali. Le previsioni delineano uno scenario in cui attori statali, gruppi di Advanced Persistent Threat (APT) ed ecosistemi di eCrime continueranno a operare con livelli elevati di intensità, sfruttando superfici di attacco in costante espansione e modelli operativi sempre più ibridi. I confini tra spionaggio, sabotaggio e criminalità risultano sempre meno definiti, con un impatto diretto sulla stabilità digitale di governi, imprese e infrastrutture critiche.
Droni e sistemi autonomi
Uno dei settori maggiormente esposti è quello dei droni. La diffusione di Unmanned Aerial Vehicles (UAV) in ambito militare e commerciale ha attirato l’attenzione delle principali potenze cyber, in particolare Cina, Russia, Iran e Corea del Nord. Le attività di intelligence puntano al furto di proprietà intellettuale e alla raccolta di informazioni strategiche, con un’attenzione costante alle capacità sviluppate nei contesti di conflitto.
La guerra in Ucraina continua a rappresentare un banco di prova per l’innovazione militare, mentre Taiwan resta un obiettivo prioritario per la Cina. Con la maturazione tecnologica di Unmanned Surface Vehicles (USV) e di Unmanned Ground Vehicles (UGV), dinamiche analoghe sono destinate a estendersi anche ai domini marittimo e terrestre, ampliando ulteriormente il perimetro delle operazioni di spionaggio e intrusione cyber.
Pressioni geopolitiche e influenza sullo scenario della cybersecurity
Sul piano regionale, la Cina intensificherà la sorveglianza interna e amplierà le attività di intelligence in America Latina, anche in risposta alla crescente presenza degli Stati Uniti. Le organizzazioni coinvolte nel commercio internazionale resteranno particolarmente esposte, complice l’evoluzione delle politiche commerciali e il tema delle sanzioni.
La Russia continuerà a fare ricorso a gruppi cybercriminali per finalità di spionaggio, con una collaborazione più frequente tra attori statali. Le attività distruttive interesseranno infrastrutture energetiche e il settore dei cereali, mentre l’industria dei droni militari diventerà un obiettivo sempre più rilevante.
Anche l’Europa subirà una maggiore pressione, alla luce dei programmi di riarmo avviati da diversi Paesi. Iran e Corea del Nord si trovano in una fase di adattamento strategico, mentre la Bielorussia mostra segnali di maggiore assertività e di un progressivo avvicinamento alle capacità cyber russe.
Mobile e cybercrime
Nel mondo mobile, il 2026 vedrà una crescita di malware Android che sfruttano strumenti di AI generativa. L’AI abbassa la soglia di ingresso nel cybercrime e consente anche ad attori con competenze limitate di sviluppare campagne su larga scala. Le truffe basate su Near Field Communication (NFC), insieme a tecniche di social engineering sempre più personalizzate, renderanno più complessa la rilevazione e aumenteranno l’esposizione di utenti e organizzazioni.
Agenti AI e cybersecurity
L’AI rappresenterà uno dei fattori di rischio più critici del prossimo futuro. L’agente AI entrerà in modo sempre più profondo nelle infrastrutture aziendali e cloud, spesso senza un chiaro inquadramento architetturale e senza un adeguato presidio di sicurezza. La complessità delle interazioni tra agenti AI aumenterà la superficie di attacco, rendendo possibili violazioni dei dati e accessi non autorizzati anche a partire da configurazioni errate di base. La diffusione di marketplace di AI contribuirà a complicare ulteriormente il contesto, poiché agenti apparentemente legittimi potranno essere clonati o modificati in modo sottile da attori malevoli.
Un ulteriore elemento critico riguarda i modelli di AI. L’ecosistema dei modelli pubblicamente disponibili continuerà a crescere, con milioni di componenti adottati come vere e proprie “scatole nere”, caratterizzate da logiche interne poco trasparenti e dati di addestramento non verificabili. L’integrazione affrettata di questi modelli introdurrà vulnerabilità latenti e rischi di supply chain all’interno delle pipeline AI. In parallelo, l’uso malevolo dell’AI si concentrerà soprattutto sul social engineering.
Deepfake, email e contenuti digitali sempre più convincenti consentiranno campagne fraudolente su larga scala, mentre bot avanzati alimenteranno frodi, disinformazione e interferenze nei processi elettorali. In questo contesto si inseriscono anche forme di malware abilitate dall’AI, come PromptLock, che aumentano il livello di autonomia delle attività malevole.
Ransomware e infostealer
Il ransomware continuerà a rappresentare una minaccia centrale nel 2026. Sebbene l’attenzione mediatica si concentri spesso su vettori di attacco ad alto impatto, come SIM swap, vishing o vulnerabilità zero-day, la maggior parte degli attacchi continuerà a sfruttare tecniche consolidate. Password deboli, sistemi non aggiornati, porte Remote Desktop Protocol (RDP) esposte e vulnerabilità dei dispositivi edge rimarranno i principali punti di ingresso. Lo scenario resterà relativamente stabile, con una frammentazione contenuta, ma nuovi attori come Warlock introdurranno tecniche di evasione avanzate da monitorare con attenzione. Gruppi come Qilin consolideranno la propria posizione, mentre il ridimensionamento di gruppi storicamente dominanti, spesso a seguito di interventi delle forze dell’ordine, evidenzierà la natura instabile dell’ecosistema criminale.
La diffusione degli strumenti progettati per eludere le soluzioni di endpoint detection and response evidenzia come questi sistemi restino uno degli ostacoli principali per gli operatori ransomware. Nel 2026 continueranno quindi a emergere EDR killer sempre più sofisticati, imponendo alle organizzazioni la necessità di capacità di rilevamento rapide e processi di risposta efficaci.
Cooperazione e resilienza
Sul piano istituzionale, l’attività cyber resterà elevata. Le vulnerabilità continueranno a emergere con regolarità, incluse le zero-day, mentre gli attacchi alla supply chain e al cloud diventeranno più frequenti. In risposta, cresceranno la cooperazione internazionale, la condivisione di intelligence e lo sviluppo normativo, affiancati da una collaborazione sempre più necessaria tra settore pubblico e privato.
Il 2026 richiederà quindi un approccio fondato su vigilanza continua, cooperazione trasversale e capacità di adattamento rapido. In un contesto in cui tecnologia e minacce evolvono in parallelo, la digital resilience si conferma come una priorità strategica per governi, organizzazioni e società nel suo complesso.
