ExtraHop, leader nelle soluzioni di Network Detection and Response (NDR), ha pubblicato il Global Threat Landscape Report 2026, che analizza le nuove sfide della cyber defence nell’era dell’intelligenza artificiale.
Il report evidenzia come l’adozione dell’IA stia ampliando la superficie di attacco e aumentando la velocità delle minacce, mentre molte organizzazioni continuano a confrontarsi con tempi di rilevamento elevati, sovraccarico di alert e processi ancora fortemente manuali.
Sebbene l’IA venga sempre più utilizzata come strumento di difesa, i Security Operations Center (SOC) continuano a dipendere in larga parte dall’intervento umano, mantenendo un approccio prevalentemente reattivo.
Le infrastrutture IA diventano un nuovo obiettivo primario per la sicurezza informatica.
Il 55% degli intervistati considera agenti IA, infrastrutture agentiche e applicazioni di IA generativa tra i principali rischi per la sicurezza. L’85% ha inoltre segnalato incidenti o esposizioni legati a sistemi IA, tra cui attacchi potenziati dall’IA, compromissione di identità e sessioni, vulnerabilità nella supply chain e fenomeni di shadow AI. Tra i principali rischi emergono:
- Attacchi esterni potenziati dall’IA (40%)
- Furto di identità e compromissione di sessioni IA (38%)
- Violazione nella supply chain dovute a sistemi IA di fornitori terzi (36%)
- Utilizzo non controllato di strumenti IA (Shadow AI) (35%)
- Errore di logica negli agenti/API (31%)
LockBit e RansomHub dominano il panorama ransomware
LockBit e RansomHub si confermano i gruppi di minaccia più rilevati a livello globale per il secondo anno consecutivo. Al contrario, i rilevamenti legati a APT41 sono diminuiti del 50% rispetto all’anno precedente. Il report sottolinea come gruppi ransomware come RansomHub utilizzino l’IA per aumentare velocità e volume delle operazioni, mentre gli attori sponsorizzati dagli Stati tendono a impiegarla soprattutto come supporto alle attività umane.
I cinque principali gruppi rilevati sono:
- LockBit
- RansomHub
- Lazarus Group
- DarkSpecter
- Midnight Blizzard (APT29/Nobelium/Cozy Bear)
Aumentano i tempi di permanenza nelle reti compromesse
Gli aggressori riescono a rimanere nelle reti aziendali per periodi sempre più lunghi: negli attacchi ransomware il tempo medio prima della scoperta è stato di circa 2,5 settimane, mentre il 49% delle aziende ha individuato la compromissione solo dopo il furto dei dati.
Tra i principali ostacoli al rilevamento figurano l’uso di canali crittografati, attività malevole simili a processi legittimi, utilizzo di account privilegiati e la crescente quantità di alert.
Più vittime pagano il riscatto, nonostante importi medi inferiori
Il valore medio dei riscatti pagati è diminuito, passando da 3,6 milioni di dollari nel 2025 a 2,8 milioni nel 2026, ma la percentuale di aziende che ha scelto di pagare è aumentata: l’83% delle vittime, contro il 70% dell’anno precedente.
Il tempo medio di inattività causato dagli incidenti ransomware è stato di circa 30 ore, con impatti economici e operativi sempre più rilevanti.
L’IA nella sicurezza non ha ancora raggiunto la “velocità della macchina”
Nonostante il crescente utilizzo di strumenti basati sull’IA, i team SOC continuano a richiedere un significativo intervento umano nelle fasi di rilevamento, analisi, investigazione e risposta agli incidenti.
Solo il 44% del tempo degli analisti è dedicato ad attività proattive come threat hunting e miglioramento dei sistemi di rilevamento. Inoltre, il 30% degli intervistati segnala che gli alert generati dall’IA hanno contribuito ad aumentare i falsi positivi.
Secondo ExtraHop, la sfida principale della cybersecurity moderna resta ottenere una maggiore visibilità sul comportamento delle minacce: senza un contesto di rete completo e in tempo reale, gli aggressori continuano ad avere un vantaggio.
Il Global Threat Landscape Report 2026 di ExtraHop, realizzato in collaborazione con Censuswide, raccoglie le risposte di oltre 1.800 responsabili IT e sicurezza di aziende con più di 1.000 dipendenti.
Il report completo è disponibile qui: report ExtraHop Global Threat Landscape 2026





