La cibersecurity non è più un’assicurazione: ora è un costo di produzione in una rete armata
Cloudflare ha finalmente quantificato una sensazione che molti team tecnici vivono quotidianamente, ma che nelle sale dirigenziali viene ancora considerata una contingenza: gli attacchi sono diventati industriali. Non è solo una questione di maggiore incidenza; è cambiata l’unità economica del crimine digitale. Secondo il suo Threat Report 2026, l’azienda blocca 230 miliardi di minacce al giorno, osserva un “pavimento” di 31.4 Tbps per gli attacchi DDoS, e registra che il 94% dei tentativi di accesso proviene da bot. Inoltre, il 63% dei log in negli ultimi tre mesi ha coinvolto credenziali compromesse altrove.
Questa combinazione spiega perché la conversazione corretta non è più “come prevenire il prossimo grande attacco”, ma come progettare un’operazione digitale che funzioni sotto assedio permanente. Internet, in termini pratici, si sta “armando”: la sua scala, automazione e velocità vengono utilizzate come arma. E quando il costo marginale di tentare un attacco si avvicina a zero, il difensore smette di competere con il talento individuale e inizia a competere con l’ingegneria dei processi.
L’industrializzazione dell’attacco cambia l’economia del rischio
Nel mondo aziendale, una minaccia gestibile è solitamente episodica: compare, viene affrontata, viene chiusa. Ciò che mostra Cloudflare è un’altra cosa: un sistema di produzione. 230 miliardi di minacce bloccate ogni giorno non descrivono un’ondata; descrivono una catena di montaggio dove il volume fa il lavoro.
Questo salto di scala si riflette nei DDoS. Un “baseline” di 31.4 Tbps normalizza un tipo di aggressione prima considerato estremo. La conseguenza per il business è diretta: il tempo di inattività e la degradazione del servizio non sono più una rarità, ma diventano una variabile operativa che deve essere modellata come si modella la domanda o le frodi.
Anche l’accesso si industrializza. Se il 94% dei tentativi di accesso sono bot, il login smette di essere un gesto di fiducia e diventa una zona di frizione inevitabile. E se il 63% dei log in si basa su credenziali già filtrate, l’identità del cliente diventa un dato “riutilizzato” da terzi su larga scala. La lettura rilevante per un CFO non è tecnica; è contabile: i costi associati a frodi, supporto, contraccolpi, reputazione e conformità tendono a crescere se l'azienda insiste a trattare l'autenticazione come uno schermo e non come un sistema.
Il dettaglio più rivelatore del rapporto è il tempo. Cloudflare documenta un caso in cui una vulnerabilità è stata sfruttata 22 minuti dopo la pubblicazione della sua prova di concetto. Questo dato distrugge un comune presupposto nelle organizzazioni di medie dimensioni: l'idea che “abbiamo margine” per cibarsi, dare priorità e solo dopo riparare. Con finestre di minuti, il vantaggio non è più l'intenzione, ma l'automazione difensiva e la preparazione preventiva.
L’IA non solo accelera: abbassa il costo della criminalità digitale
Il rapporto sostiene che gli attori malintenzionati utilizzano IA generativa per compiti come la mappatura delle reti, lo sviluppo di exploit e deepfake, abilitando operazioni ad alta velocità con meno abilità richieste. Le implicazioni per il mercato sono scomode: abbassando la barriera di ingresso, aumenta il numero di potenziali attaccanti e si moltiplicano i “tentativi”, anche se il tasso di successo individuale è basso.
Cloudflare afferma inoltre di aver registrato il “primo attacco basato su IA” osservato dall'azienda, in cui un attore ha utilizzato IA per localizzare dati di alto valore e ha compromesso centinaia di “tenant” aziendali, caratterizzandolo come un attacco alla catena di fornitura di grande impatto. Al di là del caso specifico, il modello è quello che conta per la strategia: l'IA funge da compressore di costi. Riduce il costo di esplorazione, riduce il costo di personalizzazione e riduce il costo di iterazione.
Nelle aziende digitali, quasi ogni miglioramento della conversione deriva dalla riduzione della frizione. L'IA applicata al crimine fa lo stesso, ma dall'altro lato: riduce la frizione per tentare e ripetere. Questa asimmetria costringe le aziende ad abbandonare difese artigianali e a passare a difese per impostazione predefinita.
Qui emerge un errore tipico di gestione: trattare la sicurezza come “tecnologia da acquistare” piuttosto che come “comportamento da ridefinire”. Con i bot che dominano l'accesso, qualsiasi KPI di crescita basato su registrazioni, accessi o traffico è contaminato. Se l'azienda monetizza pubblicità, le sue metriche di pubblico si degradano; se monetizza abbonamenti, il suo pipeline si riempie di rumore; se monetizza transazioni, aumentano i costi di verifica e di frodi. L'IA non crea solo un nuovo attaccante; crea un nuovo contesto in cui gli indicatori tradizionali smettono di essere affidabili se non sono strumentati contro l'automazione malevola.
Quando il login è il prodotto: il consumatore acquista continuità e controllo
La mia ossessione professionale è capire quale “avanzamento” acquista l'utente quando paga per un servizio. E in questa notizia l'avanzamento è chiaro: il cliente non sta acquistando “sicurezza” come attributo astratto, sta pagando per continuità, controllo e assenza di frizione.
Il dato di Cloudflare sulle credenziali compromesse e i bot trasforma l’identità in un campo di battaglia quotidiano. La conseguenza per la customer experience è paradossale: per difendere, si aggiunge frizione; ma quella frizione penalizza l’utente legittimo. Questo è il dilemma che separa le aziende che scalano da quelle che rimangono costose e lente.
Le migliori risposte imprenditoriali non si basano sull'aggiunta di “ulteriori passi” autentici in modo cieco, ma nel progettare difese che siano aggressive con i bot e delicate con gli umani. Se l'azienda non riesce a fare quella distinzione, il consumatore inizia a percepire il servizio come instabile o ostile. E quando la fiducia si erode, il cliente non analizza l'architettura: migra.
Questa industrializzazione cambia anche la mappa competitiva. Settori contrassegnati da Cloudflare come particolarmente attaccati da DDoS —Gaming e Gioco d’azzardo, IT e Internet, Criptovalute, Software, Marketing e Pubblicità— tendono ad operare con picchi di traffico, alta esposizione e sensibilità alla latenza. Se l'attacco diventa “normale”, la resilienza diventa un differenziante commerciale. Non è marketing; è sopravvivenza. In punta, la disponibilità è parte della proposta di valore.
Per startup e PMI digitali, il rischio è doppio. Prima di tutto, perché non possono assorbire la complessità di un programma di sicurezza tradizionale. In secondo luogo, perché crescendo attirano automazione malevola prima di costruire forze interne. Questo apre spazio per vincitori che impacchettano la difesa come servizio, con implementazione semplice e costo variabile. Non per moda, ma perché il mercato costringe a un cambiamento di architettura finanziaria: passare da costi fissi di specialisti a costi variabili di piattaforme e automazione.
Il tavolo geopolitiсo entra nell’infrastruttura: la sicurezza come condizione di operazione
Il rapporto menziona anche attività di attori statali cinesi, inclusi gruppi come Salt Typhoon e Linen Typhoon, con priorità sulle telecomunicazioni nordamericane, e settori commerciali, governativi e di servizi IT, con una presenza “ancorata” per vantaggio geopolitico a lungo termine. La lettura prudente di questo in termini commerciali è che la minaccia non è più solo criminale e transazionale; può anche essere strategica e persistente.
Quando c’è “preposizionamento” nell’infrastruttura critica, il costo di un'interruzione non è solo downtime. È incertezza operativa. Per industrie regolate o con infrastruttura essenziale, questo costringe a elevare lo standard minimo di resilienza e monitoraggio.
Cloudflare descrive una transizione dall’uso furtivo a tentativi di scenari di blackout, con DDoS come potenziale precursore di operazioni più dannose. In termini di governo societario, questo spinge a spostare la cibersecurity da un rapporto IT a una capacità trasversale: continuità del business, gestione dei fornitori e preparazione alla risposta.
La lezione dura è che il anello debole è spesso il terzo. Il caso citato da Cloudflare su un attacco alla catena di fornitura che colpisce più “tenant” aziendali illustra il rischio sistemico: un fornitore compromesso diventa un moltiplicatore di danno. A livello contrattuale, questo spinge a rivedere le esigenze minime, con monitoraggio condiviso e piani di contingenza. A livello di prodotto, spinge a ridurre la dipendenza da integrazioni fragili e a progettare segmentazioni affinché il guasto non si propaghi.
Ciò che il C-level deve assumere: difesa continua, non “progetto di sicurezza”
Il pattern che emerge dal rapporto è operativo: attacchi automatizzati, tentativi massivi, finestre di sfruttamento compresse e traffico contaminato da bot. In questo contesto, trattare la cibersecurity come un progetto con inizio e fine produce lo stesso risultato di trattare la contabilità come un progetto.
Per un CEO, la decisione rilevante è priorizzare quale parte del business diventa “infrastruttura di fiducia”. Se l'azienda vive di conti, il login e la sessione sono attivi. Se vive di transazioni, la verifica è un attivo. Se vive di disponibilità, la mitigazione DDoS è un attivo. L’investimento non si giustifica per paura; si giustifica per protezione dei ricavi, riduzione delle frodi, minore carico operativo di supporto e preservazione del marchio.
Per un CFO, il linguaggio utile non è “più strumenti”, ma costi evitati e costi convertiti: automatizzare rilevamento e mitigazione per ridurre le ore umane; standardizzare controlli per ridurre incidenti ripetuti; e, soprattutto, far sì che la sicurezza sia un componente del costo di servire un cliente digitale.
Il rapporto di Cloudflare non descrive un futuro ipotetico. Descrive il presente di un’Internet dove l'attacco ha già processi, scala e automazione. L'azienda che sopravviverà sarà quella che convertirà questa realtà in design.
Il successo dei prossimi vincitori dipenderà da una verità semplice sul comportamento del consumatore: l’utente sta comprando continuità e controllo della sua identità digitale, e punirà qualsiasi servizio che gli trasferisca il costo invisibile di una Internet armata.
