Alla fine del 2025 si è verificato un cambiamento significativo, che il nostro settore non ha ancora pienamente metabolizzato. Quando i modelli di AI di frontiera hanno superato una nuova soglia di capacità — sviluppando abilità tali da consentire a quasi ogni avversario di generare codice exploit funzionante, creare campagne di social engineering credibili su larga scala e concatenare attacchi in modo autonomo attraverso i confini dei prodotti di sicurezza — il panorama delle minacce non si è semplicemente evoluto: ha accelerato verso una categoria completamente nuova.
Velocità, scala e portata degli attacchi si sono spostate simultaneamente a favore degli avversari. Le intrusioni che un tempo si sviluppavano nell’arco di giorni o ore oggi avvengono in minuti, talvolta in secondi. Le campagne multifase, che in passato richiedevano risorse tipiche di attori statali, sono ora accessibili a una platea molto più ampia. Inoltre, ogni agente AI e ogni flusso di lavoro automatizzato adottato da un’organizzazione per aumentare la produttività introduce, silenziosamente, una nuova superficie di attacco.
Osservando questa evoluzione, emerge una conclusione chiara: la difesa su cui oggi si basa la maggior parte delle organizzazioni è stata progettata per contrastare una minaccia diversa. Non semplicemente una minaccia precedente, ma una minaccia strutturalmente diversa.
When attacks move at machine speed, the organizations that thrive aren't the ones with the most products. They're the ones whose defense gets smarter every time it encounters a threat, and passes that intelligence to every other customer in the system.
Il problema dello stack
Per quarant’anni, il settore della cybersecurity ha seguito un modello consolidato: a ogni nuova categoria di minaccia corrispondeva un nuovo prodotto. Nuova minaccia, nuovo strumento. Nuova lacuna, nuovo vendor. Il risultato? Oggi un’azienda media gestisce più di 45 prodotti di sicurezza separati.
Il problema non riguarda solo costi e complessità, sebbene siano aspetti rilevanti. La criticità principale è ciò che accade all’intelligence quando viene frammentata in 45 silos. L’endpoint non sa cosa ha rilevato il firewall. Il gateway e-mail non comunica al livello di identità ciò che ha individuato. Ogni strumento apprende in modo isolato. Nessun componente capitalizza su ciò che è stato osservato dagli altri.
Quando gli attacchi si muovono alla velocità delle macchine e vengono eseguiti su endpoint, cloud, identità, rete ed e-mail in un'unica spinta coordinata, una difesa che correla tali segnali manualmente – se mai li correla – non è una difesa. È un'analisi post-mortem molto costosa.
Il modello a stack presuppone che un analista umano possa unire i puntini tra quei 45 strumenti abbastanza velocemente da fare la differenza. Nel vecchio mondo, costruito su una minaccia più lenta e strutturalmente diversa, quell'approccio era utile. Non è più sostenibile.
SIEM e XDR erano il giusto istinto
È importante riconoscere il percorso compiuto dal settore. La frammentazione non è stata solo identificata come problema: sono state sviluppate due tecnologie per affrontarla, SIEM e XDR. Il SIEM nasce per riunire i log in un unico punto. La prima generazione di XDR è stata progettata per correlare i rilevamenti tra strumenti diversi.
Entrambi rispondevano a un’esigenza corretta. Entrambi offrono funzionalità concrete e, di fatto, rappresentano componenti essenziali di un sistema di difesa moderno, che Sophos fornisce già oggi. Tuttavia, un decennio di implementazioni ha reso evidente un punto: né l’uno né l’altro, singolarmente o insieme, raggiungono il livello di capacità richiesto dall’attuale scenario di minaccia.
Il SIEM aggrega i dati a posteriori. Raccoglie i log da prodotti che restano indipendenti tra loro e richiede poi a un analista di interpretarli. La prima generazione di XDR correlava gli alert, ma solo tra strumenti appartenenti allo stesso vendor e solo dopo che ciascuno strumento aveva già determinato autonomamente cosa fosse rilevante. L’aggregazione non equivale a un’architettura. Spostare i dati in una vista condivisa non rende le fonti consapevoli l’una dell’altra, né consente loro di operare come un’unica entità.
Un sistema di difesa è diverso per natura, non per grado. SIEM e XDR vi risiedono come funzionalità, non come limite massimo di ciò che il sistema può fare. I punti di controllo condividono un unico livello di dati dal momento in cui nasce un segnale, non dopo che è approdato in un magazzino. Informano le decisioni reciproche in tempo reale, non in un rapporto che un analista legge in seguito. Questa è la linea di demarcazione tra la raccolta di informazioni e l'operatività su di esse. SIEM e XDR raccolgono e correlano. Il sistema di difesa agisce.
Il vero divario di capacità
Con circa 359 milioni di aziende nel mondo, meno di 35.000 dispongono di un CISO o di un responsabile della sicurezza. Questo rapporto — un CISO ogni 10.000 aziende — è uno dei motivi principali per cui il settore fatica a tenere il passo con l’evoluzione della minaccia.
La soglia di povertà della cybersecurity è ciò che accade quando le aziende non riescono a trasformare la propria tecnologia di sicurezza in una difesa funzionale. Non è definita solo dalle dimensioni o dal budget; ho visto aziende ben finanziate trovarsi ben al di sotto di essa e aziende regionali di 200 persone operare ben al di sopra. È definita dalla capacità strategica: la capacità di impostare correttamente i controlli, monitorarli continuamente, misurare se funzionano e migliorare nel tempo.
L’AI ha reso questo divario più pericoloso e, per la prima volta, concretamente colmabile. Più pericoloso perché gli aggressori l’hanno adottata immediatamente, ottenendo un potenziamento rapido e a basso costo. Colmabile perché le stesse capacità di AI che accelerano gli attacchi possono anche accelerare la difesa, a condizione che siano integrate nell’architettura e non semplicemente aggiunte come funzionalità.
Presentazione di Sophos Fusion
Oggi annunciamo Sophos Fusion, il sistema di difesa cybersecurity AI-native più completo del settore.
Sophos Fusion rappresenta l’evoluzione di ciò che il settore ha finora definito piattaforma. È un’architettura unica e aperta in cui ogni punto di controllo — endpoint, firewall, e-mail, cloud, rete, identità, operazioni di sicurezza e altro ancora — condivide gli stessi dati, la stessa intelligence e risponde come un’unica entità.
L’elemento distintivo rispetto alle piattaforme proposte da altri vendor risiede nell’architettura sottostante:
Un data lake di contesto unificato, in cui ogni segnale proveniente da ogni punto di controllo confluisce in un unico livello di dati condiviso in tempo reale. Nessun ritardo di aggregazione. Nessun silo. L'intero sistema vede ciò che vede ogni singola parte.
Synchronized Security™ è il tessuto connettivo che trasforma le informazioni condivise in una risposta coordinata. Un rilevamento sull'endpoint attiva una risposta coordinata sul firewall, un'identità compromessa blocca l'accesso in tutto l'ambiente e un'e-mail sospetta aumenta il livello di controllo ovunque. Rilevamento ovunque, risposta ovunque.
Autonomia agentica con discernimento umano. Il sistema è in grado di rilevare, indagare e rispondere senza attendere l'intervento umano, operando entro i confini stabiliti e continuamente calibrati dai nostri analisti MDR. Non si tratta di automazione che sostituisce la responsabilità umana. Si tratta di intelligenza artificiale che ragiona su situazioni nuove, con gli esseri umani che governano il perimetro di fiducia.
Intelligenza cumulativa. Ogni minaccia rilevata da Sophos in oltre 625.000 organizzazioni protette viene reimmessa nel sistema. Un nuovo cliente non parte da zero, ma eredita i vantaggi di ogni minaccia che il sistema abbia mai incontrato.
È altrettanto importante chiarire cosa Sophos Fusion non è: un sistema chiuso. Oltre 500 integrazioni di terze parti alimentano lo stesso livello di dati condiviso. La telemetria delle minacce proveniente dagli strumenti endpoint, firewall o identità già presenti nell’ambiente del cliente, anche di numerosi vendor diversi, confluisce nello stesso Context Lake delle informazioni provenienti dalle soluzioni Sophos, nello stesso motore di correlazione e nello stesso team MDR. Nativo dove conta. Aperto dove il cliente ne ha bisogno.
L'evoluzione di Sophos Central
Sophos Fusion è l’evoluzione di Sophos Central, riprogettata per l’era dell’AI. Tutti i clienti Sophos fanno già parte di Sophos Fusion e beneficiano già di una protezione avanzata contro minacce che si muovono alla velocità delle macchine. Nei prossimi mesi, gli utenti vedranno Sophos Central evolversi in Sophos Fusion all’interno dell’interfaccia, con l’introduzione progressiva della nuova denominazione e senza alcuna azione richiesta a clienti o partner.
La prova nella nostra operatività
Sophos gestisce su Sophos Fusion il SOC agentico più grande al mondo. Il 52% dei casi viene gestito interamente dall’AI, senza intervento umano. Il tempo medio dall’avviso alla risposta completamente automatizzata è di 89 secondi. Non misuriamo più il tempo di risposta MDR in minuti: lo misuriamo in secondi.
Anche il mercato conferma il valore di ciò che abbiamo costruito. Nei report G2 Summer 2026 — basati interamente su recensioni verificate dei clienti — Sophos si è classificata al primo posto in endpoint, EDR, XDR, MDR e firewall nella stessa stagione. Nessun altro vendor ha ottenuto lo stesso risultato in tutte e cinque le categorie contemporaneamente. Sophos è inoltre l’unico vendor riconosciuto come Gartner® Peer Insights™ Customers’ Choice per Email Security, piattaforma di protezione endpoint, Managed Detection and Response, Extended Detection and Response e Network Firewalls. Questi riconoscimenti riflettono ciò che conta di più: la scelta costante dei clienti di affidarsi a Sophos per proteggere, rilevare e rispondere alle minacce in tutto il proprio ambiente di cybersecurity.
Cosa c'è in arrivo
Sophos Fusion è ora disponibile e nei prossimi mesi espanderemo significativamente il sistema.
Da metà agosto rilasceremo importanti miglioramenti al servizio Sophos MDR, un'espansione significativa di Sophos XDR Powered by Secureworks basata sull'analisi Taegis, e una nuova offerta di Next-Gen SIEM.
Sophos Next-Gen SIEM merita un’attenzione particolare: il modello di prezzo si basa su utenti e server, anziché sul volume dei dati, eliminando l’incentivo che porta i team di sicurezza a limitare la telemetria acquisita, lasciando deliberatamente punti ciechi nella copertura o esponendosi a costi non controllati.
A ottobre saranno introdotte altre due funzionalità. Sophos AI Defense offrirà alle organizzazioni visibilità, controllo e protezione su ogni strumento di AI presente nel loro ambiente, inclusa la shadow AI, facendo leva su funzionalità già integrate nel sistema. Sophos CISO Advantage estenderà inoltre la guida a livello CISO a ogni azienda, con o senza un CISO, offrendo convalida continua dei controlli, mappatura della conformità, benchmarking tra pari e valutazione del rischio pronta per il management. Per le organizzazioni al di sotto della soglia di povertà della cybersecurity, che non hanno mai avuto accesso a questo livello di capacità strategica, rappresenta un cambiamento sostanziale.
Una difesa che si moltiplica
Per decenni, il settore ha trasmesso ai clienti l’idea che un maggior numero di strumenti equivalesse a una sicurezza migliore. L’era dell’AI ha reso evidente il limite di questo presupposto. Il vantaggio appartiene alle organizzazioni dotate di una difesa coordinata, capace di vedere ogni segnale, apprendere da ogni minaccia e rispondere come un’unica entità.
Questo richiede un’architettura fondamentalmente diversa, che molti vendor di cybersecurity non sono ancora riusciti a realizzare in modo completo.
Sophos Fusion è l’architettura verso cui abbiamo lavorato per anni. L’era dell’AI l’ha resa necessaria. Il lavoro svolto — dalle funzionalità di prodotto pluripremiate all’acquisizione di Secureworks, fino al SOC agentico che gestiamo oggi — l’ha resa possibile.
Lo stack ha fatto il suo tempo. Ciò che segue è un sistema.
Declinazione di responsabilità
I contenuti di Gartner® Peer Insights™ sono una raccolta delle opinioni di utenti finali individuali, basate sulle relative esperienze; non devono essere interpretati come affermazioni di fatto, né come rappresentazione delle opinioni di Gartner® o dei suoi affiliati. Gartner® non appoggia alcun vendor, prodotto o servizio citato in questi contenuti, né fornisce alcuna garanzia, espressa o implicita, in riferimento a tali contenuti, alla loro accuratezza o completezza, inclusa qualsivoglia garanzia sulla commerciabilità o sull’idoneità a un particolare scopo.
GARTNER® e PEER INSIGHTS™ sono marchi registrati di Gartner, Inc. e/o dei suoi affiliati.

