Monitor con grafica di uno scudo digitale con lucchetto e sequenze di codice, mentre una persona digita su una tastiera in un ambiente informatico.

Perché il tempo di breakout degli attacchi nel 2026 è crollato sotto i 30 minuti (e cosa cambia per le aziende)

Nel 2026 gli attacchi informatici sono diventati incredibilmente veloci: il tempo medio che un cyber criminale impiega per passare dall’accesso iniziale al movimento laterale nella rete è sceso a 29 minuti, con record assoluti di 27 secondi.

Questo significa che molte aziende scoprono un attacco quando è già troppo tardi.

 

Perché gli attacchi sono così rapidi oggi

  • L’intelligenza artificiale dà una spinta enorme agli attaccanti: L’uso dell’AI nelle campagne offensive è cresciuto dell’89%: automatizza ricognizione, phishing e furto credenziali, rendendo gli attacchi più veloci e difficili da notare.
  • Si sfruttano account validi invece del malware: Oggi il 79% degli attacchi non usa malware ma credenziali legittime, permettendo di entrare e muoversi senza alzare sospetti. In quasi metà dei casi gli attaccanti ottengono subito privilegi elevati.
  • Edge device e zero‑day sono porte d’ingresso veloci: Il ricorso a vulnerabilità zero‑day è cresciuto del 42%, colpendo in particolare router, VPN e appliance di rete difficili da monitorare

Quanto è veloce un attacco nel 2026

  • 29 minuti: breakout medio globale.
  • 27 secondi: breakout più veloce registrato.
  • 4 minuti: tempo minimo per iniziare a esfiltrare dati.

La finestra di difesa si è ridotta a pochi minuti.

Perché interessa direttamente le aziende italiane

  • Il crescente uso di cloud e SaaS in Italia espone maggiormente agli attacchi basati su identità: il 35% degli incidenti cloud coinvolge abuso di account validi.
  • L’adozione crescente di strumenti di AI aziendale amplia la superficie d’esposizione, con pipeline e modelli vulnerabili.
  • Il modello di rilevazione tradizionale è troppo lento rispetto a breakout di 4–30 minuti.

Le azioni prioritarie per le aziende

  • Rilevare prima dei 5 minuti: Serve più automazione e correlazione dei segnali (endpoint + cloud + identità).
  • Proteggere e controllare le identità: Riduzione privilegi, MFA ovunque, monitoraggio dei token.
  • Mettere in sicurezza gli edge device: Inventario, patch rapide, log estesi, segmentazione.
  • Governare l’uso dell’AI: Protezione da prompt injection, policy sui modelli, monitoraggio dei workflow.

Conclusione

Gli attacchi nel 2026 sono diventati veloci, silenziosi e basati sull’identità. Il breakout sotto i 30 minuti è un nuovo standard che obbliga le aziende — italiane incluse — a passare da una sicurezza reattiva a una rilevazione e risposta istantanea, dove ogni minuto conta.

Servizi Gestiti

Vuoi scoprire come rendere più sicura e stabile la tua infrastruttura IT?

CONTATTACI