Nel 2026, affidarsi a test di sicurezza annuali è come chiudere a chiave la porta d’ingresso mentre i muri stanno scomparendo; con l’IA che accelera le minacce e le superfici d’attacco in continua espansione, la sicurezza deve evolversi da una fotografia statica a un processo di validazione continua.
In questa intervista, esploriamo perché ‘pensare come un attaccante’ sia l’unico modo per salvaguardare davvero il valore del business.
1. Diamo uno sguardo al panorama delle minacce di sicurezza IT all’inizio del 2026: a cosa stiamo assistendo?
Il 2026 conferma una trasformazione strutturale del rischio cyber: non parliamo più di eventi episodici, ma di un’industria parallela, organizzata e in costante accelerazione. Tre fenomeni dominano lo scenario. Primo, l’IA generativa ha abbassato drasticamente la barriera d’ingresso per gli attaccanti: phishing iper-personalizzati, deepfake utilizzati in frodi BEC e malware adattivi sono ormai commodity sul dark web. Secondo, la supply chain è diventata il vettore privilegiato: colpire un fornitore software o un MSSP significa raggiungere centinaia di vittime con un singolo attacco. Terzo, la convergenza cyber-geopolitica espone infrastrutture critiche, manifattura e OT a campagne sponsorizzate da Stati. In questo contesto, il dato più rilevante per un board è uno: la superficie d’attacco delle aziende cresce più rapidamente della loro capacità di proteggerla. Le organizzazioni che continuano a basare la postura difensiva solo su vulnerability scan periodici e penetration test annuali stanno operando con una fotografia che è già obsoleta nel momento in cui viene scattata. Serve un cambio di paradigma: passare dalla gestione reattiva delle vulnerabilità alla validazione continua dell’esposizione reale.
2. Sulla base di questa analisi, quali identificherebbe come le 3 priorità chiave per i responsabili della sicurezza IT quest’anno?
La prima priorità è adottare un programma di Continuous Threat Exposure Management. Il CTEM non è un tool, è una disciplina di governo del rischio che porta la security a ragionare come l’attaccante e a misurare l’esposizione in modo continuo lungo i cinque step definiti — scoping, discovery, prioritization, validation, mobilization. È, di fatto, l’unico approccio che consente al CISO di rispondere alla domanda che ogni CEO oggi pone: “siamo davvero protetti rispetto agli scenari di attacco che ci riguardano?”. La seconda priorità è integrare nel CTEM attività strutturate di Adversarial Exposure Validation, ovvero simulare in modo controllato e continuo le tattiche, tecniche e procedure degli attaccanti reali — attraverso Breach & Attack Simulation (BAS), Red Teaming e Penetration Testing mirato — per validare che i controlli funzionino non in teoria, ma in pratica. È qui che la cybersecurity offensiva diventa strategica: non un esercizio annuale di compliance, ma un motore di miglioramento continuo. La terza priorità è la governance dell’IA e delle identità non-umane, che oggi rappresentano il principale punto cieco delle architetture aziendali e devono essere incluse nel perimetro di scoping del CTEM.
3. Quali sono le sue raccomandazioni per rendere la sicurezza una componente integrale della trust proposition e value proposition delle organizzazioni? Può condividere un caso di successo di un cliente che ha intrapreso questo percorso?
La sicurezza diventa value proposition nel momento in cui smette di essere un’auto-dichiarazione e diventa una capacità dimostrabile. Il board e i clienti enterprise non chiedono più se siete sicuri, chiedono come lo provate. Da qui tre raccomandazioni. Primo, traducete il rischio cyber in linguaggio di business: probabilità, impatto economico, scenari testati. Secondo, fate della validazione continua attraverso AEV il vostro standard interno: solo simulando attivamente gli attacchi potete affermare, con dati alla mano, che i controlli reggono. Terzo, trasformate questa maturità in leva commerciale, esponendo la postura di sicurezza ai clienti come elemento differenziante. Un caso emblematico è quello di un nostro cliente, multinazionale nel settore automotive, che ha avviato con noi un programma CTEM: dopo aver definito lo scope dei business asset critici, ha integrato Breach & Attack Simulation (BAS) con frequenza settimanale e in pochi mesi ha ridotto in modo significativo le esposizioni effettivamente sfruttabili, dimostrando resilienza durante gli audit TISAX e NIS2. La sicurezza è diventata, di fatto, un acceleratore di business.
4. Come uno degli sponsor della conferenza, cosa possono aspettarsi di discutere le persone che parteciperanno alla vostra tavola rotonda interattiva?
Il titolo della nostra roundtable — “Nella mente dell’attaccante: quanto è importante emulare gli attori malevoli nelle esercitazioni di attacco cyber?” — dice già molto del taglio che vogliamo dare alla discussione. La tesi di partenza è semplice ma scomoda: non si può difendere ciò che non si è mai visto attaccare davvero. Per anni le aziende hanno misurato la propria sicurezza con strumenti che testano la teoria — Scan di vulnerabilità, audit di configurazione, Penetration test annuali — ma gli attaccanti reali non seguono checklist. Pensano per obiettivi, combinano tecniche, sfruttano l’anello più debole della catena. Da qui l’importanza di emulare in modo realistico i loro comportamenti, le loro TTP (Tactics, Techniques and Procedures) e i loro tempi.
Nel confronto affronteremo tre domande chiave. Primo, perché la threat-informed defense e l’emulazione di attori malevoli reali — basata su framework come MITRE ATT&CK e su threat intelligence aggiornata — sta diventando lo standard di riferimento per le organizzazioni mature. Secondo, come inserire queste esercitazioni all’interno di un programma strutturato di Adversarial Exposure Validation e di Continuous Threat Exposure Management, in modo che non siano eventi isolati ma un ciclo continuo che alimenta le decisioni di investimento in sicurezza. Terzo, come tradurre i risultati di queste attività offensive in un linguaggio che parli al board: meno indicatori tecnici, più scenari di rischio business validati con evidenze.
L’obiettivo è uscire dalla roundtable con una visione concreta di cosa significhi, nel 2026, “pensare come l’attaccante” e di come questo approccio cambi radicalmente la qualità della difesa. Sarà una conversazione tra pari, in cui chi parteciperà potrà portare le proprie esperienze e confrontarsi su sfide molto reali.
A cura di Pikered.
