Verizon 2026 DBIR: Le vulnerabilità software superano le password come principale causa di violazione

Verizon 2026 DBIR: Le vulnerabilità software superano le password come principale causa di violazione

Per quasi due decenni, le password rubate o deboli hanno detenuto il poco invidiabile primato di metodo più comune con cui gli attaccanti penetravano nei sistemi. Quell’era è ufficialmente finita. Il Data Breach Investigations Report (DBIR) 2026 di Verizon rivela che lo sfruttamento delle vulnerabilità rappresenta ora il 31% delle violazioni, superando per la prima volta nella storia del report le credenziali rubate. Il ransomware, nel frattempo, compare nel 48% di tutti gli incidenti di violazione. Questi risultati hanno implicazioni concrete per chiunque faccia affidamento su un singolo strumento di sicurezza, inclusa una VPN, per proteggere i propri dati.

Cosa ha effettivamente scoperto il DBIR 2026

Il dato principale è netto: il 31% delle violazioni oggi inizia con lo sfruttamento di una vulnerabilità software, in aumento rispetto a circa il 20% del report dell'anno precedente. Si tratta di un balzo significativo in un solo anno. L'abuso delle credenziali, che per anni ha occupato il primo posto, è stato spinto al secondo.

Il dato sul ransomware è altrettanto rilevante. Quasi la metà di tutti gli incidenti di violazione coinvolge oggi il ransomware, a indicare che gli attaccanti non si limitano a entrare attraverso le falle software, ma usano sempre più questi punti di accesso per distribuire payload dannosi a scopo di lucro. La combinazione di software non aggiornato e ransomware crea un circolo particolarmente pericoloso: una patch mancata diventa una porta aperta, e quella porta aperta conduce a file cifrati e richieste di riscatto.

Il report sottolinea inoltre che l'IA sta cominciando ad accelerare l'equazione dal lato degli attacchi, aiutando gli avversari a identificare le vulnerabilità sfruttabili più rapidamente di quanto molte organizzazioni riescano a rispondere.

Perché l'applicazione delle patch è in ritardo e chi ne paga il prezzo

Uno dei dettagli più preoccupanti che circolano parallelamente al DBIR 2026 è che solo una minima parte delle vulnerabilità critiche viene effettivamente corretta in tempi rapidi. Le organizzazioni tendono sistematicamente a rimandare gli aggiornamenti perché l'applicazione delle patch richiede tempi di inattività, test e coordinamento tra i team. Gli attaccanti hanno imparato a sfruttare esattamente questo intervallo.

Non si tratta di un problema esclusivo delle grandi aziende. Le piccole e medie imprese operano spesso con reparti IT snelli, il che significa che un singolo server non aggiornato o un'applicazione obsoleta possono restare esposti per settimane o mesi. I dati del DBIR 2026 suggeriscono che questa finestra di esposizione viene oggi sfruttata in modo più aggressivo che mai.

Il cambiamento è rilevante anche per il modo in cui pensiamo all'identità e all'accesso. Il phishing mobile è emerso come un altro vettore di violazione in crescita nello stesso ciclo di report, e quando il phishing raccoglie con successo le credenziali, queste vengono sempre più spesso abbinate allo sfruttamento di sistemi non aggiornati per muoversi lateralmente all'interno della rete. Le due minacce si rafforzano a vicenda.

Perché le VPN da sole non bastano

Una VPN cifra il traffico internet e maschera l'indirizzo IP, il che è realmente utile per proteggere i dati in transito, specialmente su reti non fidate. Ma una VPN non fa nulla per correggere un'applicazione vulnerabile. Se un attaccante individua una falla non corretta in un software in esecuzione su un server, può sfruttarla indipendentemente dal fatto che quel server sia dietro una connessione VPN.

Questa è la lezione fondamentale nascosta nei numeri del DBIR 2026: gli strumenti di sicurezza funzionano a strati e nessun singolo strato copre tutte le minacce. Le connessioni cifrate proteggono i dati in movimento. Password robuste e uniche (supportate da un password manager) riducono l'esposizione delle credenziali. L'autenticazione a più fattori alza il costo degli attacchi basati sulle credenziali. E l'applicazione tempestiva delle patch chiude le porte da cui dipende lo sfruttamento delle vulnerabilità.

Il ransomware non fa distinzioni tra organizzazioni con VPN e senza. Segue qualsiasi percorso di minor resistenza offerto da un sistema non aggiornato o da credenziali compromesse.

Cosa significa per te

Il DBIR 2026 è un utile campanello d'allarme sia per i singoli individui sia per le organizzazioni. Ecco i passi concreti che vale la pena intraprendere alla luce di ciò che i dati mostrano:

• Dare priorità alle patch. Abilitare gli aggiornamenti automatici laddove possibile per sistemi operativi, browser, plugin e applicazioni. Per le organizzazioni, stabilire una finestra di patching definita e rispettarla.
• Verificare l'inventario software. Non si può correggere ciò che non si sa di avere in funzione. Un semplice inventario delle applicazioni con le relative versioni è un punto di partenza.
• Difesa a strati. Usare una VPN per le connessioni cifrate, un password manager per credenziali robuste e uniche e l'autenticazione a più fattori su ogni account che la supporta.
• Prendere sul serio il ransomware a livello di backup. I backup offline o immutabili sono uno dei contromisure più efficaci contro il ransomware: non impediscono un attacco, ma limitano il potere negoziale dell'attaccante.
• Non dare per scontato che gli strumenti perimetrali coprano le vulnerabilità interne. Firewall e VPN proteggono il perimetro. Le vulnerabilità all'interno della rete richiedono comunque attenzione diretta.

Il DBIR 2026 non descrive una minaccia futura; descrive ciò che sta già accadendo su larga scala. Le organizzazioni e gli individui che considerano la sicurezza come un insieme di abitudini complementari piuttosto che come l'acquisto di un singolo prodotto sono quelli nella posizione migliore per evitare di entrare a far parte delle statistiche del prossimo anno.