Il 2025 è stato l’anno peggiore di sempre per la sicurezza informatica — e non lo dice qualche blogger allarmista in cerca di click, ma il Rapporto Clusit 2026, presentato a Milano il 17 marzo scorso. I numeri fanno impressione: 5.265 attacchi gravi a livello globale, il 49% in più rispetto al 2024. L’Italia, con 507 incidenti gravi e un aumento del 42%, si è guadagnata il poco invidiabile primato di rappresentare il 9,6% di tutti gli attacchi mondiali. Quasi uno su dieci. Un paese con lo 0,7% della popolazione mondiale che attira il 10% degli attacchi informatici del pianeta — se non è un segnale d’allarme questo, non so cosa lo sia.
Le minacce alla cybersicurezza nel 2026 non sono più quelle di cinque anni fa. Il cybercrime si è industrializzato: gruppi criminali operano come aziende strutturate, con divisioni specializzate, servizi in abbonamento e persino help desk per le vittime che devono pagare il riscatto. L’intelligenza artificiale ha cambiato le regole del gioco, permettendo attacchi di phishing così sofisticati che anche i professionisti della sicurezza faticano a distinguerli dalle comunicazioni legittime. E poi c’è la minaccia che nessun report aziendale metterà mai in prima pagina: la sorveglianza di stato, gli spyware venduti da aziende israeliane e italiane ai governi di mezzo mondo per spiare giornalisti, attivisti e dissidenti. Perché la cybersicurezza non è solo una questione tecnica — è una questione di potere. Chi quel potere lo subisce ha bisogno di strumenti concreti, liberi e gratuiti per difendersi. Non le soluzioni da diecimila euro l’anno delle multinazionali della security, ma software come KeePassXC, Tails, Tor e VeraCrypt: creati da comunità che considerano la privacy un diritto, non un prodotto.
Il fronte delle minacce: ransomware industrializzato, supply chain e AI offensiva
Partiamo dal ransomware, che resta la bestia nera della sicurezza informatica ma nel 2026 ha assunto una forma che ricorda più un’industria che un crimine. I gruppi ransomware non sono più bande disorganizzate di hacker in felpa: sono organizzazioni strutturate con modelli di business precisi, piattaforme di Ransomware-as-a-Service che permettono a chiunque abbia poche centinaia di dollari di lanciare un attacco, e tattiche di estorsione multilivello che vanno dalla crittografia dei dati al furto e alla pubblicazione degli stessi, fino alle minacce dirette ai clienti della vittima. Secondo il report di Chainalysis sul crypto-ransomware, i pagamenti in criptovalute ai gruppi ransomware hanno continuato a crescere nel 2025, con attacchi sempre più mirati verso ospedali, infrastrutture critiche e pubbliche amministrazioni — obiettivi che non possono permettersi il lusso di restare offline. Trend Micro ha definito il 2026 “l’anno dell’industrializzazione del cybercrime”, e non è un’iperbole: l’ecosistema ransomware sta evolvendo verso sistemi basati sull’AI capaci di identificare autonomamente le vittime, sfruttare vulnerabilità e — questo è agghiacciante — negoziare i riscatti tramite bot automatizzati. Il crimine informatico, insomma, ha imparato a fare economia di scala esattamente come le corporation che dice di combattere.
Il ransomware fa paura, ma non è la minaccia più insidiosa del momento. Questo primato spetta agli attacchi alla supply chain, che il rapporto Group-IB High-Tech Crime Trends 2026 ha definito la principale minaccia cyber globale. Il concetto è brutale nella sua semplicità: invece di attaccare direttamente il tuo obiettivo, comprometti un fornitore di software, un servizio cloud, un’estensione del browser, una libreria open source da cui dipendono migliaia di organizzazioni. Un singolo punto di compromissione, centinaia o migliaia di vittime a cascata. Nel 2025 Group-IB ha identificato almeno sei gruppi specializzati in questo tipo di operazioni, che prendono di mira vendor SaaS, managed service provider e repository di codice. Il punto è che la fiducia — il meccanismo su cui si regge l’intero ecosistema software — diventa l’arma. Quando aggiorni un programma perché il fornitore ti ha mandato la notifica, ti fidi. E quella fiducia può essere la porta d’ingresso per un attacco che nessun antivirus tradizionale vedrebbe arrivare. C’è qualcosa di profondamente disturbante nel fatto che la logica della supply chain — la stessa che ha reso il capitalismo globale così efficiente — sia anche la sua vulnerabilità più radicale.
E poi c’è l’intelligenza artificiale usata come arma offensiva, che nel 2026 ha smesso di essere una minaccia teorica da convegno per diventare realtà quotidiana. I dati sono eloquenti: secondo Hoxhunt, l’82,6% delle email di phishing rilevate tra settembre 2024 e febbraio 2025 presentava indicatori di generazione tramite AI, con un aumento del 53,5% anno su anno. Ma il dato che dovrebbe togliere il sonno a chiunque è un altro: le email di phishing generate dall’intelligenza artificiale hanno un tasso di click del 54%, contro il 12% di quelle scritte da esseri umani. Cinque volte più efficaci — e questo perché l’AI non si limita a scrivere messaggi grammaticalmente corretti, ma analizza il profilo della vittima, ne studia le abitudini di comunicazione, replica il tono dei colleghi di lavoro con una precisione inquietante. Il Darktrace Annual Threat Report 2026 descrive un cambio di paradigma netto: dal breach basato sullo sfruttamento di vulnerabilità tecniche al furto di credenziali tramite ingegneria sociale potenziata dall’AI. Il World Economic Forum, nel suo Global Cybersecurity Outlook 2026, riporta che il 94% degli esperti intervistati considera l’AI il fattore di cambiamento più significativo per la cybersicurezza. Detto senza giri di parole, la democratizzazione dell’AI tanto celebrata da Silicon Valley ha democratizzato anche il crimine informatico — e nessuno in quelle sale riunioni vuole parlarne.
Sorveglianza di stato e spyware: la minaccia che i report aziendali ignorano
Facciamo un passo indietro e parliamo di quello che i report patinati delle aziende di cybersecurity non mettono quasi mai in evidenza — perché, detto senza mezzi termini, sono argomenti scomodi per chi vende soluzioni ai governi. La sorveglianza di stato tramite spyware non è un rischio ipotetico: è una realtà documentata da Amnesty International, dal Citizen Lab dell’Università di Toronto e da decine di inchieste giornalistiche che hanno messo nero su bianco nomi, date e vittime. Lo spyware Pegasus della israeliana NSO Group è stato usato in oltre 50 paesi per spiare giornalisti, attivisti per i diritti umani, avvocati e oppositori politici. Non terroristi, non narcotrafficanti — persone che facevano il loro lavoro, che denunciavano abusi, che organizzavano proteste pacifiche, che scrivevano articoli scomodi. Pegasus sfrutta vulnerabilità zero-click: non devi nemmeno aprire un link, basta ricevere una notifica e il tuo telefono è compromesso. Fotocamera, microfono, messaggi, posizione, tutto. Il prezzo di una licenza? Qualche milione di dollari, una spesa irrilevante per qualsiasi governo che voglia mettere a tacere le voci scomode.
Non pensare che sia un problema lontano, una faccenda che riguarda l’Arabia Saudita o il Messico. Nel 2025 è esploso il caso Paragon Solutions e del suo spyware Graphite, usato anche in Italia per sorvegliare giornalisti e attivisti — il Parlamento Europeo ha aperto un’interrogazione formale sulla vicenda. Un’analisi dell’IRPA (Istituto di Ricerche sulla Pubblica Amministrazione) colloca l’Italia tra i centri mondiali dell’industria dello spyware, insieme a Israele e India. Non come vittima: come produttrice e acquirente. Il Regolamento europeo sulla libertà dei media, entrato in vigore nell’agosto 2025, vieta esplicitamente l’uso di spyware contro i giornalisti, eppure i casi continuano a emergere come funghi dopo la pioggia. C’è un’ipocrisia strutturale in tutto questo: gli stessi governi che promettono di proteggere la cybersicurezza dei cittadini sono quelli che comprano strumenti per violarla. Quando lo stato che dovrebbe difendere i tuoi diritti è lo stesso che acquista licenze per spiarti, il concetto di “sicurezza informatica” assume un significato che non troverai in nessun white paper di CrowdStrike.
Il nocciolo della questione è questo: la cybersicurezza nel 2026 non è solo difendersi dai criminali. È difendersi da un sistema in cui il potere — statale e corporativo, spesso indistinguibile — dispone di strumenti di sorveglianza che nemmeno la fantascienza di vent’anni fa aveva immaginato. Il complesso militare-industriale-tech, quel legame sempre più stretto tra Pentagono, agenzie di intelligence e Silicon Valley, produce tecnologie nate per la guerra che finiscono nelle mani delle polizie, dei servizi segreti, delle agenzie di controllo delle frontiere. I droni che mappano le manifestazioni, gli algoritmi di polizia predittiva che criminalizzano comunità intere prima che commettano un reato, i sistemi di riconoscimento facciale che schedano chiunque cammini per strada — tutto questo è cybersicurezza, anche se nessuno lo inserisce nel glossario di Gartner. Le persone più esposte non sono i CEO delle Fortune 500 con i loro team di sicurezza da milioni di dollari. Sono gli attivisti, i giornalisti investigativi, gli organizzatori sindacali, le comunità marginalizzate. Chi si oppone al potere è sempre stato il primo bersaglio della sorveglianza — dalla posta aperta dalla polizia segreta ai trojan di stato, cambia la tecnologia ma la logica resta identica.
Autodifesa digitale: strumenti liberi per proteggersi davvero
Fin qui le brutte notizie. Parliamo di cosa puoi fare concretamente, senza spendere un centesimo e senza dipendere da nessuna corporation. La prima cosa da interiorizzare è che la sicurezza digitale non è un prodotto che compri — è una pratica che costruisci giorno per giorno, un’abitudine, un modo di pensare. E gli strumenti migliori sono open source, verificabili da chiunque, mantenuti da comunità che non hanno azionisti da compiacere né contratti con i governi da proteggere. Partiamo dalle password, che restano il punto più debole della catena di sicurezza di quasi tutti. Il Darktrace Threat Report 2026 lo conferma senza appello: il furto di credenziali ha superato lo sfruttamento di vulnerabilità software come principale vettore di attacco. KeePassXC è la risposta — un password manager open source, offline, che cripta il tuo database con AES-256 e funziona su Windows, macOS e Linux. Niente cloud, niente abbonamenti, niente azienda che custodisce le tue password per te e che domani potrebbe essere compromessa, come è successo a LastPass nel 2022 quando i vault criptati di milioni di utenti sono finiti nelle mani sbagliate. KeePassXC genera password casuali, le organizza, le compila automaticamente nei browser. L’intero database sta in un file criptato che puoi portare su una chiavetta USB. Il tuo gestore di password dovrebbe essere tuo — e con KeePassXC lo è nel senso più pieno del termine.
Per la crittografia dei dati, lo standard open source si chiama VeraCrypt. Funziona su tutti i sistemi operativi e ti permette di creare volumi criptati — contenitori protetti da AES-256, Twofish o Serpent, anche combinati tra loro per chi vuole il massimo della paranoia (giustificata). La funzionalità più potente per chi ha ragioni concrete di temere perquisizioni o sequestri è quella dei volumi nascosti: un volume criptato dentro un altro volume criptato, con due password diverse, dove l’esistenza stessa del volume interno è matematicamente indimostrabile. Sotto costrizione puoi rivelare la prima password, che sblocca dati innocui, mentre quelli veri restano invisibili e la loro esistenza non è provabile nemmeno con analisi forense. Non è paranoia da film — è una funzionalità pensata esplicitamente per attivisti che operano in contesti autoritari, giornalisti che proteggono le fonti, avvocati che custodiscono dati sensibili dei clienti. Durante la creazione del volume, VeraCrypt ti chiede di muovere il mouse casualmente per generare entropia crittografica: un piccolo gesto fisico che ti ricorda una verità fondamentale, la sicurezza è qualcosa che fai attivamente, non qualcosa che deleghi a un’app con il bollino blu.
Se vuoi fare il salto di qualità nella protezione della tua identità digitale, Tails cambia tutto. Tails — The Amnesic Incognito Live System — è una distribuzione Linux basata su Debian che si avvia da una chiavetta USB e vive interamente nella memoria RAM del computer. Quando spegni, tutto scompare: nessuna traccia sul disco rigido, nessun file temporaneo, nessun cookie, nessuna cronologia. Tutto il traffico di rete passa attraverso Tor, la rete di anonimizzazione che rimbalza le connessioni attraverso nodi volontari sparsi per il mondo, rendendo estremamente difficile risalire alla tua identità o posizione reale. Tails include già KeePassXC, un client di posta con supporto OpenPGP per email criptate end-to-end, e strumenti per la pulizia dei metadati dai file — quei dati nascosti nelle foto e nei documenti che possono rivelare chi sei, dove ti trovi e con quale dispositivo hai creato il file. Edward Snowden lo ha raccomandato pubblicamente, i giornalisti investigativi di mezzo mondo lo usano quotidianamente, organizzazioni come Reporters Without Borders lo distribuiscono ai propri operatori sul campo. Non serve essere un guru dell’informatica: scarichi l’immagine ISO dal sito ufficiale, la scrivi su una USB con Balena Etcher, riavvii il computer e sei dentro un ambiente blindato. Detto in parole povere, è la differenza tra camminare nudi in piazza e avere un mantello dell’invisibilità.
Gli strumenti da soli, però, non bastano se non cambi mentalità. L’autodifesa digitale nel 2026 significa ridurre la superficie di attacco: meno account, meno app, meno servizi cloud, meno dati condivisi con chi non ne ha bisogno. Significa usare l’autenticazione a due fattori ovunque — preferibilmente con chiavi hardware come YubiKey o con app TOTP open source come Aegis su Android, mai con gli SMS che sono intercettabili da chiunque abbia accesso all’infrastruttura telefonica (cioè, tra gli altri, i governi). Significa aggiornare i dispositivi, perché una fetta enorme delle compromissioni individuali avviene attraverso vulnerabilità note per cui la patch esiste da mesi, solo che nessuno l’ha installata. Significa diffidare di qualsiasi comunicazione inaspettata — soprattutto ora che l’AI genera phishing indistinguibile da email autentiche, e il vecchio consiglio “guarda se ci sono errori grammaticali” non vale più nulla. Ma il punto più importante è un altro: condividi queste conoscenze. Insegna a usare KeePassXC ai tuoi amici, organizza un install party di Tails nel tuo spazio sociale, stampa una guida e distribuiscila. La sicurezza digitale è un fatto collettivo, non individuale — un attivista che usa Tails ma comunica con compagni che tengono tutto su Google Drive è sicuro quanto l’anello più debole della catena. Le comunità che si auto-organizzano per la propria sicurezza digitale fanno qualcosa di radicale: sottraggono potere a chi vuole controllare e lo restituiscono a chi vuole essere libero.
Domande frequenti sulla cybersicurezza nel 2026
Qual è la minaccia informatica più grave nel 2026?
Gli attacchi alla supply chain sono la minaccia globale più grave secondo il report Group-IB 2026, perché compromettono un singolo fornitore per colpire centinaia di organizzazioni a cascata. Per i singoli utenti, il phishing potenziato dall’AI rappresenta il pericolo quotidiano più concreto, con tassi di successo cinque volte superiori al phishing tradizionale.
KeePassXC è sicuro quanto i password manager a pagamento?
KeePassXC usa la stessa crittografia AES-256 dei gestori commerciali, con il vantaggio di essere open source — il codice è verificabile da chiunque, a differenza dei prodotti proprietari. Funzionando offline elimina il rischio di breach del cloud, come quello subito da LastPass nel 2022 che ha esposto i vault criptati di milioni di utenti. Nessun abbonamento, nessuna azienda terza che custodisce i tuoi dati.
Come ci si protegge dal phishing generato dall’intelligenza artificiale?
Non fidarti mai di una comunicazione solo perché sembra legittima — nel 2026 questo non significa più nulla. Verifica sempre attraverso un canale alternativo: se ricevi un’email sospetta dal tuo capo, chiamalo al telefono. Attiva l’autenticazione a due fattori su tutti i servizi e, soprattutto, rallenta prima di cliccare. Il phishing funziona perché crea urgenza — la tua migliore difesa è prenderti un momento di pausa.
Tails è legale da usare in Italia?
Sì, Tails è perfettamente legale in Italia e nella stragrande maggioranza dei paesi. È un sistema operativo open source basato su Debian, usato quotidianamente da giornalisti, avvocati e organizzazioni per i diritti umani. Il diritto alla privacy è tutelato dall’articolo 15 della Costituzione italiana e dal GDPR europeo — usare strumenti che lo proteggono non è solo legale, è l’esercizio di un diritto fondamentale.
Come verifico se il mio telefono è stato compromesso da uno spyware?
Amnesty International ha rilasciato il Mobile Verification Toolkit (MVT), uno strumento open source che analizza il dispositivo cercando indicatori di compromissione noti, inclusi quelli di Pegasus e Graphite. Se sospetti una compromissione seria, smetti immediatamente di usare quel telefono per comunicazioni sensibili e contatta organizzazioni specializzate come Access Now o il Citizen Lab. Nel frattempo, usa un computer con Tails per le comunicazioni critiche.
La cybersicurezza nel 2026 non è un problema tecnico — è un problema politico. Chi attacca (stati, corporation, criminalità organizzata) ha budget illimitati, strumenti sofisticati e spesso la legge dalla propria parte. Chi si difende deve arrangiarsi. Ma arrangiarsi, quando lo si fa insieme e con gli strumenti giusti, non è poca cosa. Il software libero esiste perché delle persone hanno deciso che la sicurezza e la privacy non dovessero essere un privilegio di chi può pagare. Le comunità che sviluppano KeePassXC, VeraCrypt, Tails e Tor portano avanti un’idea radicale: che la tecnologia possa servire le persone invece di controllarle. Installa questi strumenti, impara a usarli, insegna ad altri a farlo. Perché la sicurezza digitale o è collettiva, o non è. E ogni persona che sottrae i propri dati al controllo di chi vuole un mondo trasparente per i cittadini e opaco per il potere compie un piccolo atto di resistenza — che moltiplicato per milioni diventa una forza che nessun algoritmo può fermare.