Dove i CISO dovrebbero fissare le priorità nel 2026

Gli attacchi informatici stanno cambiando a una velocità mai vista prima e prendono di mira IT, cloud, OT e sistemi di IA. Aumentano i requisiti posti ai CISO per recuperare trasparenza e controllo su ecosistemi digitali complessi. Lo Swisscom Cybersecurity Threat Radar 2026 mostra dove sono i rischi maggiori e in che modo i moderni approcci TDR consentano alle aziende di tornare operative.

Aprile 2026, Testo Andreas Heer            4 Min.

Sintesi

Nel 2026, le minacce informatiche che devono affrontare le aziende svizzere si manifestano contemporaneamente su IT, cloud, OT, catene di fornitura e sistemi di IA. Lo Swisscom Threat Radar evidenzia quattro ambiti di rischio strategici: insecure AI, rischi supply chain, sovranità digitale e OT security.
Per rimanere operativi, i CISO necessitano di una strategia di sicurezza che crei trasparenza fra tutti i domini e faccia della TDR uno strumento fondamentale. Governance moderna, visibilità, misure di protezione all’avanguardia, strutture SOC convergenti per IT e OT, una base unitaria di telemetria e robusti processi di risposta rappresentano le basi per la resilienza in un mondo sempre più automatizzato e complesso in tutti gli ambiti del framework NIST.

Sono appena passate le tre e mezza del mattino quando nel centro di coordinamento di un grande gruppo industriale svizzero si accendono contemporaneamente diverse spie di avvertimento. Prima un avviso di tentativi di login insoliti in un ambiente cloud, pochi minuti dopo anomalie nella rete di produzione, poi un’improvvisa implementazione automatica di un «aggiornamento di routine» in un componente software di un sistema di controllo critico. Da solo, nessuno di questi elementi fa suonare i campanelli d’allarme. Prese insieme, però, queste azioni rivelano uno schema che può essere individuato solo a posteriori perché i segnali sono distribuiti tra IT, cloud, Operational Technology (OT) e fornitori di servizi esterni nella catena di fornitura.
Mentre l’ingegnera convocata d’urgenza verifica sul posto se una macchina è già stata manomessa, il team di security cerca di scoprire se si tratta di falsi allarmi, di processi di IA non protetti o dell’inizio di un attacco supply chain. Presto si capisce che è tutte queste cose insieme.
Questa scena fittizia è indicativa della realtà in cui si muovono le aziende svizzere nel 2026. Le minacce coinvolgono diversi ambiti infrastrutturali, cambiano dinamicamente e trasformano in profondità il ruolo dei CISO. Lo Swisscom Cybersecurity Threat Radar 2026 dimostra che per rimanere resilienti bisogna considerare la Threat Detection and Response (TDR) come strumento fondamentale e non come progetto tecnologico.

Il dilemma dirigenziale: mantenere il controllo in un mondo volatile

Nel 2026, i CISO si trovano di fronte a una situazione paradossale: la tecnologia crea più possibilità che mai, ma allo stesso tempo cresce la dipendenza da terzi, sistemi automatizzati e decisioni basate sull’IA che sono quasi impossibili da comprendere. Il Radar evidenzia quattro ambiti di rischio che ridefiniscono il mandato del CISO: IA non sicura, rischi nella supply chain, sovranità digitale e OT security.
Questi ambiti sono temi strategici più che tecnici: riguardano governance, responsabilità, visibilità e resilienza. La TDR diventa così uno strumento di controllo che crea trasparenza sui rischi e fornisce in tal modo la base per un’operatività economica sicura.

Gli ambiti di rischio in sintesi:

Insecure AI: il nuovo blind spot nel radar dei CISO

I modelli e gli agenti di IA prendono decisioni che non sono né documentate né verificabili. Questo ha un impatto diretto sulla TDR:

  • La Detection classica non funziona più perché le decisioni basate sull’IA non sono verificabili
  • All’interno dell’organizzazione emergono nuove aree di attacco: il codice generato dall’IA («vibe coding») può presentare lacune di sicurezza, fuoriuscite di dati attraverso la prompt injection, agenti di IA come porta di accesso
  • La shadow AI sposta la security al di fuori dei processi ufficiali, ad esempio quando i collaboratori utilizzano servizi di GenAI non approvati con dati confidenziali

Una AI governance diventa decisiva per regolamentare l’uso dell’IA, così come l’inventariazione e il monitoraggio dei modelli e degli agenti di IA utilizzati.

Swisscom Cybersecurity Threat Radar 2026: rischi IA, attacchi Supply Chain, sovranità digitale e OTSecurity. Panoramica delle principali tendenze informatiche. 

Software supply chains: la trasparenza come nuova valuta dirigenziale

Gli attacchi all’ecosistema npm (Node.js) e la recente compromissione della popolare libreria Python LiteLLM dimostrano che i moduli compromessi sono oggi un vettore di attacco efficace per infiltrare codice malevolo nelle applicazioni aziendali e nello sviluppo del software. È ormai da tempo una realtà che le aziende non controllano più gran parte del loro codice.Una TDR funzionante deve pertanto coprire le build pipelines, i fornitori, gli SBOM e i meccanismi di aggiornamento. L’integrità e la provenienza dei componenti software diventano indicatori strategici, paragonabili alla sicurezza di revisione finanziaria.

Sovranità digitale: il fondamento strategico della TDR

L’outsourcing nel cloud, i modelli SaaS e il crescente ricorso all’automazione dell’IA aumentano la dipendenza da fornitori di servizi esterni, rendendo più difficile il controllo diretto su dati, processi e rischi. Allo stesso tempo, la Legge svizzera sulla protezione dei dati (LPD) e il GDPR europeo esigono trasparenza in merito al trattamento dei dati.
Un controllo completo di tutti i processi digitali è praticamente impossibile in ecosistemi interconnessi a livello globale. La sovranità digitale rimane quindi un obiettivo ambizioso. Presuppone che le imprese gestiscano strategicamente le loro dipendenze, acquisiscano know-how tecnico e scelgano consapevolmente i loro partner ovvero la catena di fornitura. Per farlo, le aziende devono gestire attivamente i propri rischi.
La TDR affronta proprio queste dipendenze e questi fattori di rischio: crea la visibilità necessaria su minacce, flussi di dati e modelli comportamentali. Senza questa trasparenza non sono possibili né il controllo né una vera resilienza. La TDR diventa così il prerequisito operativo per decisioni sovrane.

OT security: quando la cibersicurezza diventa fisica

Applicare patch ad ambienti di produzione, impianti energetici o sistemi medici non è semplice. Con l’aumento dell’interconnessione, tuttavia, i confini tra IT e OT (Operational Technology) diventano sempre più labili e offrono nuove aree di attacco ai criminali informatici. I rischi sono sia operativi, con interruzioni della produzione e rischi di approvvigionamento, sia critici per la reputazione. Aumenta inoltre la pressione normativa sulle infrastrutture critiche: basti pensare agli standard minimi ICT e alla direttiva NIS2.
I CISO devono fondere IT e OT nel rilevamento dei pericoli, sia a livello organizzativo che tecnico. Ciò presuppone un SOC convergente, processi allineati e meccanismi di riconoscimento specifici per l’OT.

Le priorità strategiche per il 2026

Le tendenze attuali, sia nella cibersicurezza che nell’IT in generale, determinano l’agenda di un CISO e definiscono le priorità strategiche. In cima a questo elenco dovrebbero figurare i seguenti aspetti:

Creare trasparenza

  • Creazione di un’infrastruttura dati centrale per il monitoraggio sotto forma di una Unified Telemetry Fabric che riunisce tutti i segnali di sicurezza provenienti da IT, OT, cloud e IA.
  • Compilazione di inventari per modelli di IA, tipi di software, catene di fornitura e dipendenze critiche.

Rafforzare la governance

  • AI e supply chain governance diventano parte integrante della strategia di cibersicurezza dell’impresa.
  • È necessario ridefinire ruoli, responsabilità e processi di autorizzazione al fine di integrare anche i rischi e le aree di attacco dei sistemi di IA e dell’OT.

Modernizzare il sistema TDR

  • Integrazione di elenchi di componenti software (SBOM) e monitoraggio dei processi di sviluppo (pipeline monitoring) per rilevare tempestivamente eventuali manipolazioni.
  • Utilizzo di analisi comportamentali basate sull’IA per respingere nuovi tipi di attacchi basati a loro volta sull’intelligenza artificiale.

Riorientare le strutture organizzative

  • Creazione di un SOC convergente che combini il monitoraggio dell’infrastruttura IT tradizionale e dell’OT.
  • Promuovere la cooperazione interdisciplinare tra cibersicurezza, sviluppo di software (DevOps), produzione, dipartimento giuridico e data science per gestire i rischi complessi in modo olistico.

Priorizzare la resilienza

  • Sviluppo di incident response playbook dedicati per scenari complessi come manipolazioni dell’IA, alterazioni nella catena di fornitura o attacchi agli impianti di produzione.
  • Radicamento di stress test e simulazioni (tabletop exercises) per allenare i processi decisionali della Direzione aziendale sotto una pressione realistica.

La TDR non è un tool, ma un tassello del lavoro dirigenziale

Il 2026 obbliga i CISO ad ampliare la loro interpretazione del proprio ruolo, passando da gatekeeper tecnici a enabler di resilienza e sovranità.
E la TDR è la spina dorsale di una moderna strategia di sicurezza: contestualizzando gli alert provenienti da diverse fonti offre chiarezza in un mondo caratterizzato da mancanza di trasparenza, complessità e trasmissione automatizzata del rischio.
Chi coniuga TDR, controllo e governance tra tutti i domini rafforza non solo le difese informatiche, ma anche la capacità operativa dell’intera azienda.

Respingete i cyberattacchi con Threat Detection & Response

Per intervenire in maniera professionale in caso di incidenti di sicurezza, partendo dall’analisi fino all’incident response.

Maggiori informazioni: