Punti ciechi nella catena: perché i CISO stanno perdendo di vista le minacce di terze parti

Nel mondo ad alta posta in gioco della cybersecurity, il nemico che non riesci a vedere è spesso quello che provoca i danni maggiori. Per i Chief Information Security Officer (CISO) di tutti gli Stati Uniti, quel nemico invisibile si annida nella supply chain - nascosto dietro il logo di un fornitore fidato, o incorporato in profondità dentro uno strumento di IA a scatola nera. Un sondaggio del 2026 appena pubblicato da Panorays rivela una realtà inquietante: la maggior parte delle organizzazioni vola alla cieca quando si tratta di minacce cyber di terze parti, e le conseguenze potrebbero essere catastrofiche.

Il Panorays CISO Survey 2026, basato sulle risposte di 200 leader della sicurezza statunitensi, dipinge un quadro cupo: mentre gli attacchi alla supply chain aumentano, la maggior parte delle organizzazioni ha poca idea di ciò che accade oltre i propri fornitori diretti. Sebbene il 60% dei CISO segnali un aumento degli incidenti legati a terze parti, un impressionante 85% non riesce a mappare l’intero spettro dei rischi della propria supply chain. Ancora più allarmante, solo il 21% ha messo alla prova i propri piani di risposta alle crisi, lasciando la porta spalancata a interruzioni prolungate, fughe di dati e costosi fallimenti di conformità.

Il cuore del problema? Strumenti obsoleti e complessità crescente. Nonostante la corsa ad adottare software di Governance, Risk, and Compliance (GRC) - ormai utilizzato da oltre il 60% delle aziende intervistate - la maggior parte dei CISO afferma che queste piattaforme non riescono a tenere il passo con l’attuale panorama di minacce, dinamico e in continua evoluzione. Due terzi dei rispondenti ammettono che le loro soluzioni GRC sono inefficaci, costringendo i team a fare affidamento su processi manuali e soggetti a errori che lasciano le vulnerabilità passare tra le maglie.

L’ascesa della “shadow AI” sta aggravando la crisi. Mentre le unità di business adottano strumenti di intelligenza artificiale a velocità vertiginosa, solo il 22% dei CISO dispone di procedure formali di valutazione. Questo lascia sistemi di IA di terze parti ad alto rischio incorporati negli ambienti core con scarsa supervisione, ampliando la superficie d’attacco e creando nuove vie imprevedibili che gli hacker possono sfruttare. Non sorprende che il 60% dei CISO oggi consideri la shadow AI un rischio particolarmente pericoloso.

C’è però un barlume di speranza. Il sondaggio mostra un rapido spostamento verso la gestione del rischio guidata dall’IA, con un’adozione più che raddoppiata nell’ultimo anno. Questi strumenti avanzati promettono visibilità in tempo reale e difese adattive, ma il divario tra aspirazione e realtà resta ampio. Solo il 15% dei CISO dichiara una piena visibilità sulla propria supply chain - un miglioramento modesto rispetto al 3% dell’anno scorso, ma ancora ben lontano dall’essere rassicurante.

Come avverte Matan Or-El, CEO di Panorays, “Le vulnerabilità di terze parti non scompariranno - si stanno moltiplicando, alimentate da una pericolosa mancanza di visibilità e dalla diffusione incontrollata dell’IA.” Finché le organizzazioni non riusciranno a vedere il quadro completo, ogni nuovo fornitore - e ogni nuovo strumento di IA - potrebbe essere la prossima violazione in attesa di accadere.

WIKICROOK

• Attacco alla supply chain: Un attacco alla supply chain è un cyberattacco che compromette fornitori fidati di software o hardware, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• CISO (Chief Information Security Officer): Un CISO è il dirigente responsabile della strategia di sicurezza delle informazioni e dei dati di un’azienda, supervisionando le policy di cybersecurity e la gestione del rischio.
• GRC (Governance, Risk, and Compliance): Il GRC (Governance, Risk, and Compliance) combina strumenti e pratiche per aiutare le organizzazioni a gestire in modo efficace normative, rischi e policy interne.
• Shadow AI: La shadow AI si verifica quando i dipendenti utilizzano strumenti di IA senza approvazione ufficiale, creando rischi nascosti di sicurezza e conformità per le organizzazioni.
• Panorama delle minacce: Il panorama delle minacce è l’ambiente dinamico e in evoluzione di rischi cyber, vulnerabilità e metodi di attacco che prendono di mira organizzazioni e individui.

Man mano che le supply chain diventano più complesse e l’adozione dell’IA accelera, il messaggio per i CISO è chiaro: vedere significa sopravvivere. Finché le organizzazioni non colmeranno il divario di visibilità, i punti ciechi cyber nelle loro supply chain resteranno un invito aperto per gli attaccanti - e una bomba a orologeria per tutti gli altri.