+1 (888) 440-2404

A Vanishing Act: When Data Disappears in the Age of AI

Un atto di sparizione:

Attacchi informatici e perdita di dati
La nuova realtà: Più incidenti, meno tempo per rispondere

Gli incidenti informatici stanno diventando rischi operativi continui e ad alta frequenza.

I progressi nell’intelligenza artificiale hanno modificato radicalmente il panorama delle minacce dal punto di vista degli attacchi. L’IA è ora in grado di individuare e sfruttare vulnerabilità a un livello paragonabile a quello di operatori umani d’élite, accelerando in modo significativo sia la scoperta sia i cicli di attacco.

Il risultato è uno squilibrio strutturale:

Più vulnerabilità individuate

Più attacchi lanciati

Un numero di incidenti superiore a quello che i team di risposta guidati da persone possono gestire su scala

Non si tratta di un aumento graduale. È un cambiamento radicale.

Per le organizzazioni, ciò significa che la probabilità di subire un evento informatico distruttivo sta aumentando rapidamente, mentre la finestra per rispondere in modo efficace si sta riducendo.

Dalla crittografia alla cancellazione: L’evoluzione del ransomware

I modelli tradizionali di ransomware si concentravano sull’esfiltrazione e sulla crittografia dei dati. Questo modello sta cambiando.

Gli attacchi moderni, accelerati dall’IA, sono sempre più spesso operazioni premeditate e articolate in più fasi, progettate per eliminare le opzioni di ripristino prima dell’esecuzione.

Nel 2026, gli attaccanti:

Mappatura degli ambienti tramite ricognizione assistita dall’IA

Identificazione di repository di backup, catene di snapshot e flussi di lavoro di ripristino

Disabilitare o compromettere tali sistemi in anticipo

Ritardare l’esecuzione per massimizzare l’interruzione operativa e la leva legata al riscatto

Piuttosto che una “detonazione” visibile, le organizzazioni si trovano ad affrontare un degrado silenzioso della propria capacità di ripristino. Quando i sistemi vengono cifrati e/o i dati cancellati, la possibilità di recupero è già stata sistematicamente eliminata secondo la prospettiva tradizionale di disaster recovery.

Il livello che scompare: Hypervisor e infrastruttura di backup

Uno dei cambiamenti più significativi riguarda il punto di partenza degli attacchi. Gli attori delle minacce non prendono più di mira solo endpoint o server. Stanno scendendo lungo lo stack tecnologico:

Hypervisor (VMware ESXi, Hyper-V)

Piattaforme di orchestrazione del backup

API di backup cloud

Vault di archiviazione con deduplicazione dei dati

Nel 2025 gli attaccanti hanno dimostrato di poter compromettere i livelli di virtualizzazione e colpire simultaneamente decine o centinaia di workload. Nel 2026 questo approccio diventa ancora più preciso:

Corruzione selettiva dei metadati

Manipolazione delle policy di conservazione

Manomissione dell’integrità degli snapshot

Rendere inaffidabile il ripristino a un punto nel tempo

Questo è il vero “atto di sparizione”: i dati non vengono solo cifrati, ma resi irrecuperabili per progettazione.

Perdita di dati vs. disaster recovery: Una distinzione cruciale

Molte organizzazioni si affidano ancora a strategie di disaster recovery (DR) che presuppongono che i backup siano integri.
Tale presupposto non è più valido.

  • Il disaster recovery ripristina i sistemi quando l’infrastruttura subisce un guasto
  • Il recupero dati è necessario quando i dati stessi vengono eliminati, corrotti o resi inutilizzabili

Gli attacchi informatici ora prendono regolarmente di mira:

Eliminazione dei backup

Corruzione dei backup

Manipolazione degli snapshot

Errore nella ricostruzione di file di grandi dimensioni

Quasi tutte le organizzazioni colpite da un evento informatico subiscono un certo livello di corruzione dei dati, in particolare nei dataset di grandi dimensioni o complessi.

E, cosa ancora più importante, il pagamento di un riscatto non garantisce il recupero dei dati. Anche quando vengono forniti strumenti di decrittazione, i tassi di ripristino completo restano bassi.

La regolamentazione cambia le regole del gioco: Il mandato australiano del 2025

Nel 2025 il governo australiano ha promulgato una legge che impone alle organizzazioni di segnalare gli incidenti di cybersecurity.

Questo trasforma gli eventi informatici da crisi operative interne a eventi regolamentati e visibili all’esterno.

Le implicazioni sono significative:

Maggiore scrutinio da parte delle autorità di regolamentazione e degli stakeholder

Esposizione legale e finanziaria legata alla gestione degli incidenti

Maggiore enfasi su una capacità di ripristino dimostrabile, non solo sugli sforzi di risposta

In questo contesto, la domanda non è più: «Siete in grado di rispondere a un incidente?»

Diventa: «Siete in grado di dimostrare che i vostri dati e la vostra attività possono essere ripristinati?»

La risposta agli incidenti mostra i suoi limiti, il ripristino deve evolversi

Il settore della risposta agli incidenti si è storicamente sviluppato attraverso la crescita delle competenze umane e l’espansione delle risorse.

Questo modello è sotto pressione.

L’IA sta aumentando il volume degli incidenti oltre ciò che i team tradizionali possono assorbire:

  • Un aumento di 2x è plausibile
  • 10x non è irrealistico

Questo sta guidando l’ascesa della risposta agli incidenti nativa dell’IA, in cui l’automazione gestisce:

  • Flussi di lavoro di indagine
  • Riconoscimento di pattern
  • Azioni iniziali di contenimento

Tuttavia, anche con una risposta assistita dall’IA:

  • Il ripristino resta vincolato all’integrità dei dati
  • Ed è proprio l’integrità dei dati il primo obiettivo degli attaccanti
Eliminato non significa scomparso, ma implica una realtà diversa

Una delle realtà più fraintese negli incidenti informatici è che l’eliminazione non è sempre permanente, ma il ripristino e il recupero non sono più processi semplici.

Un recupero efficace ora richiede:

Ispezione approfondita degli ambienti di produzione e backup

Ricostruzione delle strutture di file corrotte

Competenza multipiattaforma (fisica, virtuale, cloud)

Strumenti proprietari per scenari di dati complessi

Gli strumenti standard disponibili sul mercato sono sempre meno efficaci in questi ambienti.

Ciò che determina il successo non è solo la disponibilità di strumenti, ma la profondità della competenza su come i dati sono effettivamente archiviati e su come si comportano in condizioni di guasto.

Cosa significa per il 2026 e oltre

Le organizzazioni devono ricalibrare le proprie ipotesi.

1 Presumete che i backup saranno presi di mira
Non solo eliminati, ma anche corrotti, manipolati o resi inaccessibili.

2 Considerate l’hypervisor come una superficie di attacco critica
Non è più solo un componente infrastrutturale di base, ma un obiettivo primario.

3 Convalidate il ripristino, non datelo per scontato
Testate il ripristino dei dati E l’integrità dei dati in condizioni di attacco.

4 Integrate i flussi di recupero dati nella risposta agli incidenti
Il recupero non è più un’attività a valle, ma un elemento centrale della resilienza.

5 Preparatevi alla visibilità normativa
La capacità di recupero sta diventando un requisito di conformità e reputazione.

Conclusione: L’illusione del recupero

Negli anni passati, le organizzazioni presumevano che «Se abbiamo backup, possiamo recuperare».

Nel 2026, questa ipotesi è sempre più falsa.

Gli attacchi informatici stanno evolvendo da semplici eventi di interruzione a campagne di distruzione dei dati progettate con precisione.

Il vero rischio non è più il downtime. È una perdita di dati irreversibile mascherata da un guasto infrastrutturale apparentemente recuperabile.

Le organizzazioni che sapranno adattarsi saranno quelle che riconosceranno che la resilienza non riguarda più soltanto il ripristino dei sistemi. Si tratta di recuperare dati progettati per scomparire.

Articoli correlati

Perché le richieste di ransomware stanno aumentando mentre meno aziende pagano

DailyCyber: la realtà del recupero dal ransomware con Andy Maus, responsabile dei servizi di Cyber Recovery presso DriveSavers

Caso di studio: ripristino di SQL Server e database dopo un attacco ransomware

Articoli correlati

Andy Maus è responsabile dei Cyber Recovery Services presso DriveSavers, dove guida iniziative che aiutano le organizzazioni a recuperare dati critici in seguito a incidenti informatici, attacchi ransomware e altre violazioni della sicurezza. È entrato in DriveSavers nel 2023 dopo oltre due anni in Arete Incident Response, dove ha introdotto i servizi di recupero dati nel portafoglio aziendale, ha ampliato il team tecnico operativo da 10 a oltre 70 specialisti e ha avviato collaborazioni strategiche con SentinelOne, Dell e Presidio. In precedenza, presso Ontrack Data Recovery, ha gestito le vendite globali supportando complesse attività di recupero in 22 paesi. Con oltre trent’anni di esperienza nel settore tecnologico — inclusi ruoli dirigenziali in Dell, Mitel e Level 3 Communications — Andy offre una solida competenza in risposta a incidenti informatici, metodologie di recupero dati e operazioni tecniche su larga scala.

Torna su
Cerca