Come Palo Alto Networks sta scommettendo che la cybersecurity cresce con l'IA, non muore per causa sua
Quando Nikesh Arora ha dichiarato che "l'apocalisse del SaaS è morta, almeno nella cybersecurity", non stava semplicemente incoraggiando i propri investitori dopo un trimestre complicato. Stava tracciando una linea di demarcazione sulla mappa dell'industria del software: da un lato, i modelli che l'intelligenza artificiale minaccia di rendere obsoleti; dall'altro, quelli che si alimentano esattamente della stessa forza che avrebbe dovuto distruggerli.
Palo Alto Networks ha appena riportato il primo trimestre completo con CyberArk all'interno del consolidato, e il risultato è un'immagine a doppia esposizione. Da un lato, ricavi in crescita del 31% su base annua fino a 3 miliardi di dollari, aspettative superate e una guidance rivista al rialzo per il resto dell'anno fiscale 2026, con un obiettivo di ricavi annui di circa 11,4 miliardi di dollari. Dall'altro, una perdita netta di 177 milioni di dollari dopo un prolungato periodo di redditività, un flusso di cassa libero in aumento del 57% fino a 910 milioni di dollari, e un'azione che arretra nonostante il buon dato operativo. Il mercato celebra il business e punisce l'acquisizione.
La domanda che conta non è se i numeri siano buoni o cattivi. È se l'architettura di business che Arora sta costruendo abbia una coerenza interna, oppure se ci troviamo di fronte all'ennesima narrativa di piattaforma che promette sinergie che la contabilità fatica a confermare.
---
Tre acquisizioni, un argomento di fondo
Il movimento finanziario più visibile del trimestre non è stata la crescita dei ricavi, bensì la dimensione del capitale impegnato in un periodo molto breve: 25 miliardi di dollari per CyberArk, 3,3 miliardi per Chronosphere e 400 milioni per Koi, la startup israeliana di cybersecurity. Complessivamente, Palo Alto Networks ha speso oltre 28 miliardi di dollari in acquisizioni nel giro di pochi mesi, il che spiega tanto la perdita netta quanto la pressione che sta subendo il titolo.
Il management attribuisce la perdita principalmente a spese di compensazione legate alle acquisizioni per circa 500 milioni di dollari in un solo trimestre, il che rappresenta un modo tecnicamente corretto ma politicamente conveniente di presentare i numeri. L'aggiustamento esclude tali addebiti e produce un utile per azione di 0,85 dollari, leggermente al di sopra delle stime. La direzione presenta questo risultato come un'anomalia temporanea, non come un segnale strutturale. Gli investitori che hanno venduto dopo il report non sembrano così convinti.
Ma ciò che conta qui non è il meccanismo contabile. È la logica strategica dietro ogni acquisto. CyberArk non è un'acquisizione di crescita inorganica convenzionale: è la scommessa di Palo Alto Networks per dominare la sicurezza delle identità e degli accessi privilegiati, il punto in cui gli attacchi moderni, compresi quelli assistiti dall'intelligenza artificiale, tendono a concentrarsi. Quando un modello linguistico o un agente autonomo deve eseguire azioni su un sistema aziendale, l'identità è la prima vera linea di difesa. Chronosphere, dal canto suo, porta osservabilità, ovvero la capacità di vedere in tempo reale cosa sta accadendo in ambienti distribuiti e nativi del cloud, che è esattamente dove la superficie di attacco si espande più rapidamente.
Ogni acquisizione occupa un nodo diverso nella catena di sicurezza di un'azienda che opera con carichi di lavoro su più cloud, agenti di intelligenza artificiale e pipeline di dati che tre anni fa non esistevano. L'integrazione tra questi nodi è l'argomento commerciale centrale di Arora: se riesci a far funzionare tutto insieme, il cliente non ha alcun incentivo a rivolgersi a cinque fornitori distinti.
---
Perché la tesi di Arora sul SaaS ha più sostanza di quanto sembri
L'"apocalisse del SaaS" è stata una narrativa che ha preso forza all'inizio del 2025 e che sostanzialmente sosteneva che l'intelligenza artificiale avrebbe disintermediato gran parte dell'industria del software. La logica era semplice: se un modello linguistico può fare quello che faceva un'applicazione, l'applicazione diventa superflua. E ci sono categorie in cui quella logica è difficilmente confutabile. Il SaaS analitico, le piattaforme di creazione di contenuti, alcuni segmenti di automazione di flussi di lavoro generici: tutti si trovano di fronte a una domanda genuina su quale parte della loro proposta di valore rimanga in piedi quando il cliente può ottenere lo stesso risultato con un prompt.
Ma Arora non sta dicendo che il SaaS non sia a rischio. Sta dicendo che la cybersecurity opera secondo una logica diversa: l'intelligenza artificiale non riduce la domanda di sicurezza, la moltiplica. Quando è più facile lanciare attacchi, quando gli agenti autonomi ampliano la superficie esposta, quando ogni azienda dispone di decine di sistemi connessi che prima non esistevano, la spesa in sicurezza non è discrezionale. È il costo necessario per continuare a operare.
I numeri del trimestre rafforzano questo punto in un modo che va ben oltre il racconto. L'azienda ha firmato 110 accordi di piattaforma completa nel trimestre, dei quali 20 hanno già incluso prodotti di CyberArk e Chronosphere. Si tratta di una velocità di integrazione commerciale reale, non di una promessa su una roadmap. Arora ha anche menzionato che oltre 1.000 organizzazioni si sono avvicinate a Palo Alto Networks negli ultimi due mesi per valutare la propria preparazione di fronte alle minacce potenziate dall'intelligenza artificiale. Non è marketing; è una trazione della domanda verificabile.
Il flusso di cassa libero di 910 milioni di dollari in un solo trimestre, in crescita del 57%, è forse il dato più onesto del report. Il flusso di cassa non si abbellisce con aggiustamenti contabili con la stessa facilità con cui lo si fa con l'utile per azione. Se la domanda fosse soltanto fumo, quel numero non sarebbe lì.
---
Il prezzo che Palo Alto Networks deve ancora pagare
Riconoscere che la tesi ha una logica non equivale a validarne l'esecuzione. L'acquisizione di CyberArk per 25 miliardi di dollari è la più grande nella storia dell'azienda, e la sua integrazione deve andare ben oltre il racconto ottimistico che i CEO solitamente presentano nelle chiamate con gli analisti.
Il management afferma che l'integrazione sta procedendo con un anticipo compreso tra tre e sei mesi rispetto al piano, e che gli obiettivi di redditività saranno raggiunti entro 12-18 mesi. Si tratta di un impegno che il mercato richiederà di misurare con metriche concrete. CyberArk operava storicamente con margini più bassi rispetto a Palo Alto Networks, e uno dei modi in cui quel divario si colma rapidamente è attraverso tagli al personale. I 500 dipendenti licenziati da CyberArk, circa il 12% della sua forza lavoro, sono la prova più diretta di come le sinergie vengano generate sulla carta nel breve periodo.
Ma le sinergie di ricavo, che sono quelle che giustificano il prezzo pagato, richiedono molto più tempo. Affinché 25 miliardi di dollari spesi per un'acquisizione nella sicurezza delle identità abbiano senso finanziario, Palo Alto Networks deve dimostrare di essere in grado di vendere le capacità di CyberArk alla propria base di clienti esistente e di poter trattenere i clienti di CyberArk mentre li migra verso una piattaforma più ampia. Nessuna delle due cose è banale. L'integrazione di prodotti di sicurezza è tecnicamente delicata, i cicli di vendita nel segmento enterprise sono lunghi, e i clienti che operano nell'ambito dell'accesso privilegiato e dell'identità tendono ad avere contratti e dipendenze profonde che non si migrano sotto la pressione di un venditore.
Il fatto che il titolo sia arretrato nonostante un trimestre operativamente solido non è irrazionalità del mercato. È un segnale che il capitale aveva già scontato la narrativa, e ora vuole vedere l'esecuzione. Il titolo era salito del 65% dall'inizio dell'anno prima dei risultati. A quel livello di valutazione, superare le aspettative non sorprende più nessuno; ciò che muove la quotazione è la prova che l'integrazione produca i ricavi promessi.
---
Il modello che nasce da questa scommessa
Ciò che Arora sta costruendo, se riesce a sostenere l'esecuzione, è un modello di business la cui proposta centrale non è vendere singoli prodotti di sicurezza, bensì ridurre il costo e la complessità di operare in modo sicuro in un ambiente in cui la superficie di attacco non smette mai di crescere. Questo è diverso dall'essere il miglior firewall o la migliore soluzione di identità. È un argomento di consolidamento: il cliente paga di più in totale, ma paga meno per ogni unità di sicurezza di cui ha bisogno, e lo fa con un numero inferiore di fornitori da gestire.
Questo argomento ha precedenti in altri segmenti del software enterprise. Le piattaforme che riescono a consolidare guadagnano in pricing power, in ricorrenza e in barriere all'uscita. Quelle che non riescono a integrare con sufficiente fluidità finiscono per essere conglomerati con un multiplo penalizzato e una promessa che il tempo ha progressivamente logorato.
La differenza in questo caso è che il vento strutturale della domanda è genuino. Quando l'intelligenza artificiale facilita gli attacchi tanto quanto facilita la difesa, la spesa in cybersecurity non è qualcosa che i CISO possono tagliare nel prossimo difficile ciclo di bilancio. Questa rigidità della spesa è ciò che differenzia questo segmento dal SaaS analitico o creativo, che invece si trova di fronte a una minaccia di sostituzione diretta.
L'"apocalisse del SaaS" che Arora respinge non era un argomento universale; era un argomento che si applicava in modo disuguale a seconda del tipo di valore che ciascuna categoria di software consegnava. Nella cybersecurity, l'intelligenza artificiale non è arrivata per sostituire la necessità di protezione: è arrivata per elevare il costo di non averla. Questa distinzione non è una frase da presentazione per gli investitori. È la meccanica che spiega perché il flusso di cassa continua a essere solido mentre il titolo corregge, e perché il vero test di questo modello si trova ancora nei prossimi quattro trimestri, non in quello appena concluso.
