Cosa imparerai in questo articolo
- I principali rischi macroeconomici del 2026 continuano a concentrarsi sull’uso improprio delle identità, sull’ingegneria sociale e sul ransomware , con l’intelligenza artificiale che aiuta gli autori delle minacce a potenziare il phishing e altre fasi del ciclo di vita dell’attacco.
- Il settore sanitario rimane estremamente vulnerabile, poiché i dati dei pazienti sono sensibili e i tempi di inattività possono influire direttamente sull’assistenza ai pazienti e sulla disponibilità dei servizi.
- Gli istituti finanziari continuano a subire forti pressioni poiché gli autori degli attacchi sono in grado di trarre rapidamente profitto dalle violazioni subite attraverso frodi di tipo “ ”, BEC e l’uso improprio dei conti.
- Il settore manifatturiero e le infrastrutture critiche devono affrontare un rischio informatico crescente, poiché gli ambienti IT e OT, i sistemi legacy, e i rapporti con i fornitori ampliano la superficie di attacco.
- In tutti e tre i settori, una maggiore sicurezza della posta elettronica, una migliore gestione degli accessi, piani di risposta collaudati e un rilevamento precoce delle minacce rimangono tra i modi più efficaci per migliorare la cyber resilience.
Gli attacchi informatici non hanno lo stesso impatto su tutti i settori. I settori sottoposti a maggiore pressione gestiscono solitamente dati di alto valore , dipendono dalla continuità operativa e fanno ampio ricorso alla posta elettronica, alle piattaforme cloud e a processi decisionali basati sull’ e umana.
Nel 2026, la sanità, i servizi finanziari, il settore manifatturiero e le infrastrutture critiche rimarranno tre dei settori più esposti , poiché una single violazione dei dati può compromettere contemporaneamente l’assistenza sanitaria, i pagamenti, la produzione e la fiducia.
Le principali minacce macroeconomiche del 2026
Le principali minacce informatiche del 2026 non si limitano a un solo settore. La maggior parte di esse è ripetibile, scalabile ed efficace in contesti diversi, motivo per cui continuano a trovare applicazione sia nel settore sanitario, sia in quello finanziario, sia in quello manifatturiero .
Il furto d’identità, l’intelligenza artificiale e l’ingegneria sociale continuano a essere le principali cause di violazioni della sicurezza
Le principali tendenze in vista del 2026 riguardano gli attacchi basati sull’identità, l’ingegneria sociale potenziata dall’intelligenza artificiale e il ransomware di tipo “ ”. Il Rapporto sulla difesa digitale 2025 di Microsoft afferma che gli autori delle minacce stanno già utilizzando l’intelligenza artificiale per migliorare le tecniche di phishing e l’esecuzione degli attacchi. Gli autori degli attacchi stanno integrando l’intelligenza artificiale (AI) per la ricognizione “ ”, l’ingegneria sociale e lo sviluppo di malware “” in tutte le fasi del ciclo di vita dell’attacco. Il rapporto IC3 () del 2025 dell’FBI, intitolato “”, evidenzia inoltre che il ransomware rimane una delle minacce più persistenti, in particolare nei confronti delle organizzazioni che gestiscono infrastrutture critiche .
Gli stessi punti di accesso continuano a funzionare in tutti i settori
Gli autori degli attacchi continuano a privilegiare le e-mail, gli strumenti di collaborazione, le credenziali rubate e gli errori umani, poiché tali metodi consentono di agire su larga scal . Un attacco di phishing, un accesso compromesso o una richiesta sospetta possono comunque dare luogo a un accesso non autorizzato qualora i controlli di sicurezza dell’ e o il giudizio dell’utente venissero meno nel momento meno opportuno. Microsoft ha inoltre documentato recenti campagne che utilizzano l’automazione dell’ e e il phishing del codice dei dispositivi per compromettere su larga scala gli account delle organizzazioni.
La pressione operativa rende più difficile la prevenzione
Gli attacchi moderni combinano sempre più spesso la compromissione tecnica con l’ingegneria sociale, il che li rende più difficili da contrastare per i team dell’ , già sottoposti a forte pressione. Un team di sicurezza può disporre di strumenti adeguati, ma agli aggressori basta un’unica falla — che si tratti di un dipendente , di una procedura carente o di un ambiente sovraccarico — per trasformare una minaccia in un vero e proprio incidente informatico.
1. Assistenza sanitaria
Il settore sanitario rimane uno dei più vulnerabili, poiché la posta in gioco è insolitamente alta. Il settore presenta una combinazione di informazioni estremamente sensibili ( ), ambienti utente complessi e una forte dipendenza dalla disponibilità, il che rende particolarmente gravi sia l’ il furto di dati che le interruzioni operative.
Perché i dati e i sistemi sanitari rappresentano obiettivi allettanti
Le organizzazioni sanitarie gestiscono dati sensibili relativi alle cartelle cliniche dei pazienti, ai dettagli assicurativi, ai sistemi di prenotazione e alle comunicazioni cliniche . Il rapporto “Verizon’s 2025 healthcare snapshot” evidenzia che le intrusioni nei sistemi e l’ingegneria sociale rimangono le principali minacce nel settore, mentre la CISA rileva che le organizzazioni sanitarie continuano a dover affrontare attacchi ransomware, phishing e sfide relative alla sicurezza informatica legate a terze parti.
Anche l'impatto operativo è grave. Un attacco ransomware di tipo “ ” nel settore sanitario non si limita a interrompere il lavoro d’ufficio. Ciò può ritardare l’erogazione delle cure, ridurne la disponibilità e esercitare pressioni affinché i sistemi vengano ripristinati rapidamente; questo è uno dei motivi per cui il settore rimane così attraente per i criminali informatici.
Sfide legate ai rischi strutturali e umani nel settore sanitario
La sicurezza nel settore sanitario è resa complessa dal numero di persone e sistemi coinvolti nelle operazioni quotidiane. Il personale clinico, i team amministrativi dell’ , gli appaltatori, i fornitori e i prestatori di servizi esterni si avvalgono spesso della posta elettronica e degli strumenti di collaborazione per garantire il regolare svolgimento delle attività di assistenza e supporto. Ciò aumenta il rischio di attacchi di phishing, messaggi sospetti, minacce interne e divulgazione accidentale di informazioni sensibili.
Il problema del rischio umano riveste particolare importanza in questo contesto, poiché molti utenti non sono specialisti in ambito tecnico, ma si trovano comunque a gestire informazioni di grande valore sotto pressione e. La formazione e le esercitazioni del personale possono migliorare il livello di preparazione nel settore sanitario dell’ .
Quali dovrebbero essere le priorità delle organizzazioni sanitarie
Le organizzazioni sanitarie necessitano di controlli che rispecchino le modalità effettive di svolgimento delle attività cliniche e amministrative. L'obiettivo è ridurre l'esposizione al phishing, limitare gli accessi non necessari e preparare i team a continuare a operare durante un incidente informatico.
- Maggiore sicurezza della posta elettronica: riduca l’esposizione a tentativi di phishing, furti d’identità e allegati dannosi che possono prendere di mira sia gli utenti clinici che quelli amministrativi.
- Controlli di accesso basati sui ruoli: limitare l’accesso ai sistemi e ai dati sensibili in base alle responsabilità lavorative di ciascun utente.
- Formazione mirata sulla sicurezza informatica : Formare il personale clinico e amministrativo su scenari realistici di phishing e ingegneria sociale attinenti ai flussi di lavoro del settore sanitario.
- Piani di emergenza e di ripristino collaudati: preparate i team a garantire la continuità operativa e a ripristinare più rapidamente le attività qualora un attacco ransomware o un altro incidente informatico dovesse compromettere il normale funzionamento dei sistemi.
Nel loro insieme, queste misure aiutano le organizzazioni sanitarie a ridurre sia l’esposizione dei dati sia le interruzioni operative. Inoltre, migliorano la capacità del settore di intervenire nei casi in cui la prevenzione da sola non sia sufficiente.
2. Servizi finanziari
Il settore dei servizi finanziari rimane un obiettivo primario poiché i vantaggi economici per gli autori degli attacchi sono diretti e immediati. Questo settore consente a un attore malintenzionato di accedere a fondi, dati sensibili, sistemi soggetti a regolamentazione e comunicazioni ad alto livello di affidabilità all’interno di ambienti già di per sé complessi dal punto di vista operativo.
Perché gli istituti finanziari sono sottoposti a una pressione costante
Gli istituti finanziari continuano a trovarsi di fronte a sofisticati attacchi informatici di tipo “” , poiché una violazione riuscita può portare direttamente a furti, frodi e problemi di conformità. L’FBI continua a segnalare gravi perdite legate a business email compromise e alle frodi correlate, mentre le linee guida della FFIEC sottolineano che il rischio legato all’autenticazione riguarda ormai clienti, dipendenti, terze parti e connessioni da sistema a sistema .
Anche l'aspetto della conformità è importante. Le banche, le compagnie assicurative e le organizzazioni fintech devono proteggere i sistemi rivolti ai clienti, i flussi di lavoro interni e i dati soggetti a regolamentazione, garantendo al contempo che i servizi rimangano rapidi e accessibili. Tale combinazione accresce la complessità operativa dell’ e e offre agli autori degli attacchi maggiori opportunità di sfruttare controlli inadeguati o approvazioni affrettate.
Vettori di attacco comuni nel settore finanziario
L'ingegneria sociale tramite e-mail rimane una delle vie di attacco più efficaci in questo settore. Le richieste fraudolente, l’ 'impersonificazione di dirigenti, gli attacchi di phishing e il furto di credenziali continuano ad avere successo perché prendono di mira i comportamenti abituali degli i aziendali. Le intrusioni nei sistemi e l’ingegneria sociale figurano tra le principali tipologie di incidenti che interessano il settore.
Gli account compromessi sono particolarmente pericolosi anche nel settore finanziario, poiché possono portare sia a frodi dirette sia a violazioni della normativa “ ”. Un single utente con diritti di accesso superflui o scarsamente monitorati può compromettere le informazioni dei clienti, consentire transazioni non autorizzate o contribuire ad aumentare il rischio di minacce interne. Le linee guida della FFIEC sottolineano pertanto l' ità di un sistema di sicurezza a più livelli, un'autenticazione più rigorosa e una maggiore protezione per gli utenti a più alto rischio.
Quali dovrebbero essere le priorità delle organizzazioni finanziarie
Gli istituti finanziari necessitano di un sistema di difesa a più livelli, poiché una sola violazione riuscita può portare rapidamente a frodi, problemi di conformità e perdita di fiducia. L'approccio più efficace combina controlli più rigorosi sull'identità, un monitoraggio più accurato e una migliore protezione dell' e lungo i percorsi di attacco più comuni.
- Sicurezza avanzata della posta elettronica: bloccate i tentativi di phishing, le frodi di identità e i messaggi fraudolenti prima che raggiungano i dipendenti e gli utenti ad alto rischio.
- Autenticazione a più fattori: introdurre controlli di autenticazione più rigorosi affinché le credenziali rubate da sole non siano sufficienti per ottenere l'accesso.
- Monitoraggio più rigoroso degli accessi privilegiati: prestare maggiore attenzione agli account ad alto rischio per ridurre il rischio di uso improprio o attività non autorizzate.
- Controlli più rigorosi sul trattamento dei dati sensibili: limitare l’esposizione non necessaria delle informazioni soggette a regolamentazione e di alto valore nei vari sistemi e flussi di lavoro.
- Maggiore visibilità sulle attività anomale dei conti: individuare tempestivamente i comportamenti insoliti, in modo da poter indagare più rapidamente su frodi, abusi da parte di personale interno o accessi compromessi.
Tali priorità aiutano gli istituti finanziari a ridurre sia il rischio finanziario diretto sia il rischio di non conformità a valle. Inoltre, consentono di individuare più facilmente le attività sospette prima che si trasformino in una violazione di sicurezza più grave.
3. Settore manifatturiero e infrastrutture critiche
Il settore manifatturiero e quello delle infrastrutture critiche devono affrontare un tipo di rischio diverso rispetto a molti altri settori. Il problema non riguarda solo la perdita di dati. Si tratta inoltre di tempi di inattività, interruzioni della catena di approvvigion e, sicurezza operativa, esposizione in materia di proprietà intellettuale e, in alcuni casi, preoccupazioni più ampie relative alla sicurezza nazionale .
Perché la convergenza tra IT e OT aumenta la posta in gioco
Il rapporto IC3 del 2025 dell’FBI afferma che il ransomware è tra le minacce informatiche più diffuse che prendono di mira le infrastrutture critiche e identifica il settore manifatturiero critico tra i settori più colpiti dalle principali varianti di ransomware .
Allo stesso tempo, le linee guida del NIST per il settore manifatturiero sottolineano l’importanza della segmentazione, del controllo degli accessi e di una governance più rigorosa in tutti gli ambienti industriali, poiché il rischio informatico si estende ormai ben oltre i sistemi degli uffici.
Man mano che gli ambienti informatici e quelli operativi diventano sempre più interconnessi, la superficie di attacco si amplia. I sistemi legacy, l’accesso remoto e le pratiche di sicurezza non uniformi possono creare vulnerabilità che gli autori degli attacchi sfruttano sia per causare interruzioni sia per garantire la propria persistenza.
In che modo la catena di approvvigionamento e i flussi di lavoro operativi aumentano l’esposizione
I produttori e gli operatori di infrastrutture dipendono spesso dai rapporti con i fornitori, dagli appaltatori, dai team di ingegneri, dal personale addetto agli appalti e dai flussi di lavoro logistici. Ciò significa che una sola e-mail di phishing, un solo account di un fornitore compromesso o un solo percorso di accesso remoto con credenziali deboli possono favorire un attacco di più ampia portata. Il rapporto “Verizon’s 2025 manufacturing snapshot” evidenzia che l’intrusione nei sistemi rappresenta lo schema dominante, sebbene siano presenti anche tecniche di ingegneria sociale e l’uso improprio delle applicazioni web.
Le conseguenze possono essere gravi. Un attacco ransomware in questo contesto può bloccare la produzione, ritardare le spedizioni, compromettere la proprietà intellettual e o influire sui servizi essenziali. Ecco perché sia gli autori di minacce mossi da motivazioni finanziarie sia gli autori di attacchi più avanzati continuano a mostrare interesse per questo settore dell’economia.
Quali aspetti dovrebbero essere considerati prioritari dalle aziende del settore manifatturiero e delle infrastrutture critiche
Le aziende del settore manifatturiero e quelle che gestiscono infrastrutture critiche necessitano di misure di protezione in grado di far fronte sia alle interruzioni di tipo digitale che a quelle di tipo operativo . In tali contesti, le misure di controllo adeguate non dovrebbero limitarsi a proteggere i dati, ma dovrebbero anche contribuire a prevenire i tempi di inattività, le ripercussioni sulla produzione e più in generale l’interruzione del servizio.
- Una segmentazione più netta tra IT e OT: ridurre il rischio che una violazione in un ambiente si diffonda nei sistemi operativi dell' .
- Una gestione più rigorosa degli accessi dei fornitori: controllate le modalità con cui fornitori, appaltatori e soggetti terzi si collegano ai sistemi e ai servizi .
- Misure di protezione contro il phishing per gli utenti operativi: tutelate i dipendenti che si occupano di ingegneria, approvvigionamento, logistica e altri flussi di lavoro ad alto rischio.
- Piani di risposta agli incidenti basati su scenari di disservizio: preparatevi a tempi di inattività, interruzioni della produzione e ripristino operativo, non solo alla perdita di dati.
- Migliore monitoraggio negli ambienti aziendali e operativi: migliorare la visibilità affinché i team possano individuare tempestivamente le attività sospette e intervenire più rapidamente.
Queste misure contribuiscono a ridurre la probabilità che una piccola violazione si trasformi in un evento operativo di maggiore entità. Inoltre, contribuiscono a rafforzare la resilienza in contesti in cui i tempi di ripristino possono comportare gravi conseguenze per le attività aziendali e le infrastrutture.
Come i settori industriali possono prepararsi a contrastare gli attacchi informatici
Sebbene i tre settori sopra citati si trovino ad affrontare realtà operative diverse, le priorità difensive fondamentali sono molto simili. La maggior parte delle organizzazioni migliorerà la propria resilienza riducendo la propria esposizione ai punti di accesso più comuni, rafforzando il controllo sulle identità e sugli accessi all’ e e migliorando la propria capacità di individuare le minacce e reagire tempestivamente.
Rafforzare la sicurezza della posta elettronica
L'e-mail rimane uno dei canali più comuni di accesso alle organizzazioni, poiché favorisce il phishing, l'usurpazione d'identità, la diffusione di malware i e il furto di credenziali su larga scala. Una maggiore sicurezza della posta elettronica contribuisce a ridurre l’esposizione ad allegati dannosi, link sospetti e messaggi fraudolenti prima che questi possano causare una violazione dei dati.
Migliorare la formazione in materia di sicurezza informatica
Le persone rimangono al centro sia della prevenzione che del compromesso. Un solido programma di formazione sulla sicurezza informatica dovrebbe aiutare i dipendenti a riconoscere messaggi sospetti, tecniche di ingegneria sociale e comportamenti rischiosi in situazioni realistiche, non solo su esempi generici. Questo aspetto è rilevante nei settori sanitario, finanziario e manifatturiero, poiché ciascun settore è sottoposto a pressioni diverse , ma presenta lo stesso modello di minaccia rivolto alle persone.
Rafforzare la prontezza nella risposta agli incidenti
I team hanno bisogno di piani di intervento che possano essere messi in atto anche in situazioni di stress. Ciò comprende le procedure di escalation, le procedure di backup e ripristino , la pianificazione delle comunicazioni e l’esecuzione di test periodici. Le linee guida dell’FBI in materia di ransomware continuano a sottolineare l’importanza di disporre di backup protetti e di essere pronti al ripristino, poiché la rapidità del ripristino incide notevolmente sull’impatto sulle attività aziendali.
Rafforzare la governance degli accessi
Molti episodi dannosi riguardano credenziali legittime utilizzate in modo improprio. Limitare gli accessi non necessari, applicare un’autenticazione più rigorosa e monitorare le attività con privilegi può ridurre sia l’esposizione alle minacce interne sia l’uso improprio da parte di soggetti esterni . Ciò è particolarmente importante nei settori in cui sono presenti numerosi utenti, soggetti terzi e sistemi di alto valore.
Migliorare la visibilità e il monitoraggio
Le organizzazioni necessitano di un sistema di rilevamento più efficace che copra la posta elettronica, gli strumenti di collaborazione, gli endpoint e l’attività degli utenti. L'obiettivo è quello di individuare tempestivamente i comportamenti sospetti, prima che gli autori degli attacchi possano ampliare il proprio accesso o trasformare un piccolo incidente in un attacco informatico di più ampia portata . Una maggiore visibilità aiuta inoltre i team a indagare più rapidamente sulle violazioni dei dati e a contenere i danni con minori interruzioni dell' .
Perché i settori ad alto rischio necessitano di una maggiore resilienza nel 2026
I settori più vulnerabili agli attacchi informatici nel 2026 presentano gli stessi punti critici fondamentali: l’errore umano, le minacce di tipo “ ” veicolate tramite e-mail, l’uso improprio delle identità e il costo crescente delle interruzioni operative. Il settore sanitario, quello dei servizi finanziari, l’industria manifatturiera e le infrastrutture critiche si trovano ad affrontare realtà operative diverse, ma ciascuna di esse rimane vulnerabile quando gli autori degli attacchi riescono a combinare un , tecniche di ingegneria sociale, accessi compromessi e scarsa visibilità in un’unica catena di attacchi in rapida evoluzione.
Per le organizzazioni operanti in questi settori ad alto rischio, la resilienza non dipende da un unico meccanismo di controllo. Mimecast basa la propria piattaforma “ ” su soluzioni di sicurezza della posta elettronica basate sull’intelligenza artificiale, sulla gestione dei rischi legati al fattore umano, sui rischi interni e sulla protezione dei dati, nonché sulla collaborazione e sulla protezione dalle minacce , al fine di aiutare le organizzazioni a ridurre l’esposizione al phishing, migliorare il rilevamento e rafforzare la risposta, mentre le minacce informatiche continuano a evolversi nel corso del 2026.