Le 4+2 principali minacce digitali per il 2026

In quest’articolo parliamo diffusamente delle 4 principali minacce che le organizzazioni si troveranno a dover contrastare nel 2026 e accenniamo a 2 altre note tipologie che si stanno rafforzando.

IL 2026 È APPENA iniziato e il panorama delle minacce digitali non mostra segni di rallentamento. Le strategie di attacco sono sempre più sofisticate e non risparmiano certo le PMI, che in Italia valgono circa il 99% del totale delle imprese attive: oltre 200.000 imprese (escluse le micro) generano più di 1.000 miliardi di fatturato.

Ransomware evoluto: da AIDS Trojan alla doppia estorsione

Era il 1989 e sulla scena faceva la sua comparsa AIDS Trojan, il capostipite dei ransomware. Veniva diffuso per mezzo di floppy disk – sì, proprio i preistorici dischetti – e cifrava i nomi dei file. Per poterli decrittare, chiedeva il pagamento di un riscatto via posta.

Da allora molta strada ha fatto il ransomware, fino ad arrivare alla doppia estorsione e al RaaS (Ransomware as a Service) di oggi, passando per CryptoLocker (2013), WannaCry e NetPetya (2017, oltre 250.000 organizzazioni colpite nel mondo).

Ma come fa l’estorsione a raddoppiarsi? Le prime campagne ransomware si basavano unicamente sulla compromissione di endpoint o server: li cifravano e poi chiedevano un riscatto in cambio della chiave di decrittazione. Con l’adozione di backup affidabili e dell’archiviazione offline questi attacchi cominciarono a perdere di efficacia.

La doppia estorsione viene messa in pratica rubando i dati prima di cifrarli. Se l’organizzazione bersaglio si rifiuta di pagare il riscatto per ottenere la chiave di decrittazione (prima estorsione) – tanto può ripristinare dal backup più recente – i criminali minacciano di esporre in chiaro, per esempio sul dark web, i dati sensibili rubati (seconda estorsione).

La tecnica della doppia estorsione viene ampiamente adottata nel nuovo modello di business del crimine informatico noto come Ransomware as a Service (RaaS). Non si tratta di tecnologia, ma di marketing: un accordo tra parti criminali con diversi livelli di competenza.

La parte che detiene la tecnologia lascia ad “affiliati” di minor rango il compito di distribuire il payload (codice dannoso) del ransomware; quando l’attacco va a segno, entrambe le parti ne traggono profitto. Non è altro che l’applicazione al malaffare informatico del classico modello di affiliazione basato sulle prestazioni.

Phishing mirato (spear phishing): lo sventurato rispose

Si tratta di attacchi personalizzati che sfruttano informazioni aziendali o personali spesso raccolte online. A differenza di altre forme generiche di phishing, che sono di norma indirizzate a larghi gruppi di persone, lo spear phishing prende di mira gli individui con messaggi che appaiono credibili per provenire da fonti affidabili, come può essere un collega di lavoro.

I messaggi contengono invariabilmente un invito a compiere un’azione, ad esempio: seguire un link, scaricare un allegato, rivelare credenziali di accesso o effettuare un pagamento. Le sofisticate tecniche di ingegneria sociale adottate fanno apparire del tutto giustificate le richieste e l’urgenza con cui sono poste.

Uno dei più famosi e noti attacchi di spear phishing resta la violazione della casella Gmail di John Podesta, capo dello staff di Hillary Clinton nella campagna per le presidenziali del 2016. Nel marzo di quell’anno Podesta ricevette un messaggio apparentemente inviatogli da Google, con cui lo si convinceva a cambiare la password email via un link che lo rimandava a una falsa pagina di login Google, dove lo si pregava di introdurre gentilmente le proprie credenziali.

Come direbbe il Manzoni: lo sventurato rispose.

L’attacco fu attribuito a un gruppo di hacker connesso con il governo russo. Le credenziali sottratte con l’inganno consentirono l’accesso all’account di Podesta e di altri membri dello staff. Gli hacker si impossessarono di migliaia di email e documenti, che furono poi resi indebitamente pubblici.

Deepfake e ingegneria sociale: lei non sa chi sono io

Con il termine deepfake, coniato nel 2017, si intendono video, immagini o audio dove la voce, il volto o il corpo di una determinata persona sono stati alterati digitalmente in modo da apparire un’altra persona. Se abbinati con tecniche di ingegneria sociale, i risultati della manipolazione possono essere usati per indurre all’errore con scopi truffaldini. Le deepfake sono quasi sempre generate tramite l’IA o applicazioni basate sull’IA, ma anche con software per l’editing audio-video.

Non è che le deepfake abbiano per definizione scopi fraudolenti. Alcune sono del tutto improbabili, altre vorrebbero risultare solo divertenti, e la tecnologia può essere addirittura usata a fin di bene. Secondo una ricerca dell’Università di Southampton questa tecnologia potrebbe infatti aiutare a riascoltare la propria voce persone per vari motivi non più in grado di parlare.

Ma è l’uso improprio delle deepfake quello che qui ci interessa. Riesci solo a immaginare le implicazioni, per esempio in una competizione elettorale? Un noto politico, che appare giornalmente in TV e di cui ben conosci la voce, ti chiama al cellulare e ti spinge a non andare a votare. Non è fantascienza, è già veramente accaduto con una registrazione IA dell’ex presidente USA Biden, che scoraggiava i votanti del New Hampshire dal partecipare alle primarie.

Aggiungiamo che l’impersonation, ossia la sostituzione di persona, presenta aspetti che possono configurarla come reato nel nostro ordinamento giuridico.

Compromissione della supply chain: tutte le strade portano a Roma

Tutte le organizzazioni hanno una catena di approvvigionamento o supply chain, a volte chiamata catena del valore, costituita da fornitori e partner. Come altre catene, anche questa può avere anelli deboli, meno protetti rispetto all’organizzazione bersaglio. Sono proprio gli anelli deboli che spesso vengono presi di mira dai malfattori per aprirsi la strada verso l’obiettivo sfruttando le loro falle di sicurezza e inserendo codice malevolo dentro librerie o moduli di largo impiego.

Le organizzazioni che usano questi componenti software “ereditano” il codice malevolo dentro i propri prodotti o servizi, favorendo la propagazione ulteriore della compromissione agli utilizzatori finali o clienti verso i quali l’aggiornamento infetto dell’applicazione viene distribuito. E non è per niente semplice rilevare l’anomalia perché gli aggiornamenti sono di norma automatizzati e pensare a controlli manuali non è realistico.

Malware su dispositivi mobili

Per quanto il malware su dispositivi mobili non abbia ancora la diffusione del malware che attacca le postazioni di lavoro fisse, la pratica sempre più diffusa di consentire l’accesso alle reti aziendali da remoto tramite dispositivi personali potrebbe potenzialmente veicolare minacce sconosciute ai sistemi di difesa e contrasto dell’azienda.

Vulnerabilità zero-day

Questo termine si riferisce a vulnerabilità del software ancora sconosciute allo sviluppatore dello stesso, che quindi non ha “avuto il tempo” di creare una patch di sicurezza: gli rimangono zero giorni per rimediare!

Naturalmente le vulnerabilità zero-day possono essere sfruttate per un attacco prima che lo sviluppatore del software provveda a chiudere la falla.

Alla prossima.

Marcello Fontana
commerciale@gotech.it
+39 351 4272010

PS – Per conoscere il grado di esposizione al cybercrimine della tua azienda puoi andare sul nostro sito e compilare il questionario SLED.