Report

Rapporto sullo stato della cybercriminalità 2026 di KELA: 2,86 miliardi di credenziali rubate e l’ascesa degli attacchi autonomi AI

mm
Published
Updated

La cybercriminalità non si sta più solo espandendo, ma sta evolvendo a livello strutturale. Secondo The State of Cybercrime 2026: Emerging Threats & Predictions di KELA, gli attaccanti stanno passando da metodi di intrusione tradizionali a quelli di abuso di identità, automazione guidata da AI e sfruttamento su larga scala di sistemi basati sulla fiducia.

Il rapporto dipinge un quadro desolante del 2025 come punto di svolta. I cybercriminali non stanno più penetrando nelle reti, ma si stanno connettendo, spesso utilizzando credenziali rubate, agenti AI e sistemi di terze parti affidabili per bypassare completamente le difese.

Un anno record per la cybercriminalità

La portata della cybercriminalità nel 2025 ha raggiunto livelli senza precedenti. KELA ha tracciato 2,86 miliardi di credenziali compromesse in tutto l’ecosistema globale, che comprendono malware infostealer, database di violazioni e mercati underground.

Queste credenziali sono diventate il punto di ingresso principale per gli attaccanti. Invece di sfruttare le vulnerabilità, gli attaccanti si affidano sempre più all’accesso legittimo, rendendo di fatto obsolete le modalità di sicurezza basate sul perimetro.

Contemporaneamente, i ransomware sono aumentati in modo drammatico. Il rapporto ha identificato 7.549 vittime di ransomware nel 2025, rappresentando un aumento del 45% rispetto all’anno precedente, con oltre il 53% delle vittime situate negli Stati Uniti.

Questa crescita è alimentata da un’economia della cybercriminalità in via di maturazione. Ci sono stati 147 gruppi di ransomware attivi, tra cui circa 80 nuovi entranti, sottolineando quanto basso sia il livello di accesso.

L’epidemia di infostealer alla base di tutto

Al centro di questo aumento c’è l’ascesa del malware infostealer, considerato ormai la colonna vertebrale della moderna cybercriminalità.

KELA ha osservato circa 3,9 milioni di macchine infette in tutto il mondo nel 2025, generando 347,5 milioni di credenziali direttamente dalle sole infezioni da malware.

L’ecosistema più ampio amplifica questo fenomeno in modo drammatico, con miliardi di credenziali che circolano nei mercati della cybercriminalità. Queste vengono poi rivendute a gruppi di ransomware, broker di accesso iniziale e attori statali.

I dati rivelano un cambiamento critico nell’obiettivo. Oltre il 75% delle credenziali compromesse sono legate a servizi ad alto valore come piattaforme cloud aziendali (19,6%), sistemi CMS (18,7%), servizi di posta elettronica (15,3%) e sistemi di autenticazione (12,9%).

Questa concentrazione sottolinea una chiara strategia: gli attaccanti stanno dando priorità alle piattaforme che consentono il movimento laterale e il compromesso completo dell’organizzazione.

macOS non è più sicuro: un aumento del 7.000%

Una delle scoperte più sorprendenti è il crollo delle vecchie ipotesi sulla sicurezza della piattaforma.

Le infezioni di macOS sono aumentate da meno di 1.000 casi nel 2024 a oltre 70.000 nel 2025, rappresentando un aumento del 7.000%.

Questa esplosione è guidata dalla commercializzazione del malware-as-a-service, in particolare strumenti come Atomic Stealer, che rendono facile per anche attaccanti con bassa competenza colpire dispositivi Apple su larga scala.

L’impatto è chiaro: nessuna piattaforma è più intrinsecamente sicura. Gli attaccanti seguono il valore, e gli ecosistemi Apple sono ora fermamente nel loro mirino.

AI diventa la nuova superficie di attacco

Il cambiamento più significativo delineato nel rapporto è l’integrazione profonda dell’AI nel ciclo di vita degli attacchi informatici.

KELA identifica una transizione da attacchi assistiti da AI a operazioni completamente autonome e guidate da agenti, dove l’80% al 90% delle attività può essere eseguito con un coinvolgimento umano minimo.

Un concetto chiave che emerge da questo cambiamento è il “vibe hacking“. Gli attaccanti non rompono più i sistemi AI, ma li manipolano facendo apparire azioni maliziose come compiti legittimi. Ciò consente agli agenti AI di eseguire operazioni dannose senza scatenare i sistemi di sicurezza.

Il rapporto sottolinea anche casi reali in cui i sistemi AI sono stati compromessi attraverso iniezione di prompt e manipolazione indiretta. In un caso, agenti AI autonomi hanno condotto ricognizioni, sviluppato codice di sfruttamento e eseguito attacchi su più bersagli con una limitata supervisione umana.

Questo segna un cambiamento fondamentale. L’AI non è più solo uno strumento per gli attaccanti, ma è sia un’arma che un bersaglio.

I ransomware si evolvono in estorsioni su larga scala

I ransomware non sono più solo una tattica, ma un modello di business completo.

La maggior parte degli attacchi si basa ora sull’estorsione doppia, combinando il furto di dati con la crittografia. Tuttavia, gli attacchi di estorsione solo sono in aumento, dove gli attaccanti saltano la crittografia e si concentrano sul furto e sulla monetizzazione di dati sensibili.

L’ecosistema è altamente competitivo. Il gruppo principale, Qilin, ha rivendicato oltre 1.100 vittime, seguito da Akira con 761 vittime e Clop con 523 vittime.

Questi gruppi si affidano sempre più a credenziali rubate piuttosto che a sfruttamento tecnico, spesso acquistando l’accesso da broker underground per accelerare gli attacchi.

L’impatto economico è sbalorditivo. Una sola violazione alla Jaguar Land Rover ha comportato un danno economico di 2,5 miliardi di dollari, compresi arresti della produzione e interruzioni della catena di approvvigionamento che hanno colpito migliaia di aziende.

L’attivismo informatico e la geopolitica intensificano le minacce informatiche

La cybercriminalità è sempre più intrecciata con i conflitti globali.

L’attività degli hacktivisti è aumentata del 400% rispetto all’anno precedente, con oltre 3.500 attacchi DDoS rivendicati e più di 250 nuovi gruppi emersi nel 2025.

Questi gruppi non si limitano più ai semplici attacchi di defacement di siti web. Stanno prendendo di mira infrastrutture critiche, tecnologie operative e sistemi industriali, creando conseguenze reali nel mondo reale.

Contemporaneamente, gli attori statali stanno utilizzando le operazioni informatiche come strumento fondamentale della strategia geopolitica. Le campagne legate ai conflitti Russia-Ucraina, Israele-Iran, tensioni Stati Uniti-Cina e Corea del Nord dimostrano come la guerra informatica si estenda ora all’espionaggio, alla disabilitazione e alle operazioni finanziarie.

Gli attacchi alla catena di approvvigionamento e il crollo della fiducia

Un’altra tendenza definitoria è l’aumento degli attacchi alla catena di approvvigionamento.

Gli attaccanti non si limitano più a prendere di mira singole organizzazioni, ma compromettono i fornitori, le piattaforme SaaS e le infrastrutture condivise per accedere a migliaia di vittime a valle.

In un caso, un attacco SaaS-to-SaaS ha permesso agli attaccanti di spostarsi negli ambienti Salesforce di diverse aziende utilizzando token OAuth rubati, bypassando completamente i controlli di sicurezza tradizionali.

Ciò riflette un cambiamento più ampio. Il modello di “fiducia per default” sta diventando un fattore di vulnerabilità, poiché gli attaccanti sfruttano le relazioni tra i sistemi piuttosto che i sistemi stessi.

Sfruttamento zero-day e la fine della finestra di patching

Il rapporto sottolinea anche l’industrializzazione dello sfruttamento delle vulnerabilità.

Nel 2025, 238 vulnerabilità sono state aggiunte al catalogo delle vulnerabilità sfruttate conosciute di CISA, rispetto alle 185 dell’anno precedente.

Gli attaccanti stanno ora monetizzando gli sfruttamenti più velocemente che mai, spesso entro giorni o addirittura ore dalla divulgazione. I mercati underground vendono sempre più kit di sfruttamento completamente armati invece di semplici dimostrazioni di concetto, abbassando la barriera per lo sfruttamento di massa.

Una nuova realtà della sicurezza informatica

Le scoperte nel rapporto sullo stato della cybercriminalità 2026 di KELA rendono una cosa chiara: la sicurezza informatica sta entrando in una nuova era.

L’identità è ora la superficie di attacco principale. L’AI è sia uno strumento che una vulnerabilità. Le relazioni di fiducia tra i sistemi stanno essere utilizzate come arma. E la velocità degli attacchi sta superando i limiti dei modelli di difesa tradizionali.

Le organizzazioni che continuano a fare affidamento su approcci di sicurezza legacy sono sempre più esposte. Il passaggio verso la sicurezza basata sull’identità, le architetture zero-trust e le difese consapevoli dell’AI non è più opzionale.

Per una disamina più approfondita degli attori minacciosi, delle metodologie di attacco e delle raccomandazioni strategiche, il rapporto completo, The State of Cybercrime 2026: Emerging Threats & Predictions by KELA, fornisce una visione completa di come il paesaggio della cybercriminalità si sta evolvendo e dove sta andando.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.