
Il time-to-exploit è diventato negativo: perché nel 2026 la patch non basta più
By, zero-adm
- 6 Lug, 2026
- 11 Views
In media una vulnerabilità software viene sfruttata circa sette giorni prima che esista la patch. Il report M-Trends 2026 di Mandiant fissa il time-to-exploit medio a −7 giorni — negativo — cioè gli attaccanti armano le falle prima che diventino pubbliche e prima che venga rilasciata una correzione. Nel 2018 quella finestra era di +63 giorni. Ha attraversato lo zero nel 2024. Il patch management, il controllo su cui poggia ancora la maggior parte dei programmi di sicurezza, non regala più il tempo di una volta.
Il time-to-exploit è l’intervallo tra quando una vulnerabilità diventa nota e quando viene sfruttata per la prima volta — e nel 2026 questo intervallo si è invertito.
Cosa significa un time-to-exploit “negativo”?
Significa che la correzione arriva dopo la violazione, non prima. I dati di prima linea di Mandiant mostrano il crollo con chiarezza: 63 giorni di margine nel 2018, quasi zero nel 2024, −7 giorni nel report 2026. Molte delle vulnerabilità usate per l’accesso iniziale sono ormai sfruttate come zero-day — armate prima che esista una patch — e in media la campagna parte una settimana intera prima che il CVE venga pubblicato.
La velocità a valle è altrettanto netta: Mandiant ha misurato attaccanti che passano l’accesso iniziale agli operatori ransomware in appena 22 secondi. L’assunto di un tempo — avere giorni per testare e distribuire una correzione — non regge più.
Perché la finestra di patch si sta chiudendo?
Perché la scoperta delle vulnerabilità è passata alle macchine. A febbraio 2026 il red team di Anthropic ha riferito che il suo modello Claude ha trovato e validato oltre 500 vulnerabilità ad alta gravità in software open source in produzione. Il modello Mythos Preview è andato oltre, identificando in autonomia migliaia di zero-day in tutti i principali sistemi operativi e browser — e, dato cruciale, finora meno dell’1% è stato corretto dai manutentori.
È una capacità a doppio taglio. Il Threat Intelligence Group di Google ha dichiarato di aver probabilmente sventato il tentativo di un gruppo di attaccanti di usare l’AI per un “evento di sfruttamento di massa”. Quando sia gli attaccanti sia i ricercatori trovano falle alla velocità della macchina, il collo di bottiglia non è più trovare il bug: è il ciclo umano di triage e patching, che non è accelerato di pari passo.
Perché conta per la tua azienda
Se la tua strategia di sicurezza presume un margine comodo tra divulgazione e sfruttamento, quell’assunto è ora un rischio. Una finestra di −7 giorni significa:
- “Applica la patch quando esce il CVE” è strutturalmente troppo lento. Quando la correzione arriva, lo sfruttamento può già durare da settimane.
- Il punteggio CVSS è il filtro sbagliato per iniziare. Conta se una falla è sfruttata nel tuo stack adesso, non la sua gravità teorica.
- La sola prevenzione non può essere il piano. Se non riesci sempre a correggere in tempo, devi saper rilevare e rispondere in tempo.
Per una PMI senza un SOC attivo 24/7 non è un dibattito astratto: è la differenza tra un incidente circoscritto e uno che chiude l’azienda.
E in Svizzera e in Europa?
La direzione normativa presume già questo scenario. Dal 2025 gli operatori svizzeri di infrastrutture critiche hanno l’obbligo di notifica all’UFCS (Ufficio federale della cibersicurezza) entro 24 ore da un attacco informatico rilevante — una tempistica che ha senso solo se si rileva in fretta. Le aspettative di resilienza operativa della FINMA spingono gli istituti finanziari verso risposta e ripristino testati, non solo prevenzione. Nell’UE, NIS2 e DORA codificano lo stesso spostamento: presumi la compromissione, dimostra di saper rispondere.
Una nota pratica per le PMI svizzere: non serve un budget da grande impresa per agire. Serve cambiare cosa si prioritizza, non necessariamente quanto si spende.
Cosa fare adesso: 4 passi
- Prioritizza per sfruttabilità, non per CVSS. Alimenta il patching con threat intelligence (es. CISA KEV, advisory dei vendor) così che “sfruttato attivamente” superi in coda “critico in teoria”. Correggi prima ciò che gli attaccanti stanno davvero usando.
- Guadagna tempo con il virtual patching. Dove non puoi correggere subito, schermati: regole WAF/IPS, segmentazione di rete e disattivazione delle funzioni esposte chiudono la finestra mentre testi la correzione definitiva.
- Presumi la violazione — investi in rilevamento e risposta. Runbook di incident response testati, EDR/rilevamento gestito e la prontezza a rispettare l’obbligo di notifica di 24 ore all’UFCS contano più di una cadenza di patch perfetta. Prova la risposta, non limitarti a documentarla.
- Metti l’AI in difesa e stringi la supply chain. Usa triage e detection assistiti dall’AI per tenere il passo, e ricontrolla dipendenze di terze parti e open source — dove gli stessi zero-day ora restano senza patch.
La verità scomoda: nel 2026 non batterai sul patching un avversario alla velocità della macchina. Puoi batterlo sulla preparazione.
Da che lato dei sette giorni si trova la tua organizzazione — ancora a correggere dopo la divulgazione, o già a rilevare prima?
Domande frequenti
Il patch management è ormai inutile?
No — resta igiene essenziale, ma non può più essere il controllo primario. La patch chiude falle note; non copre la finestra prima che la patch esista, dove oggi avviene gran parte dello sfruttamento.
Cos’è un time-to-exploit negativo?
In media gli attaccanti sfruttano una vulnerabilità prima che sia divulgata pubblicamente e prima del rilascio di una patch. M-Trends 2026 di Mandiant lo stima a −7 giorni.
Riguarda solo le grandi imprese?
No. Le PMI sono più esposte, perché raramente hanno rilevamento 24/7. Lo stesso software esposto a internet e le stesse dipendenze open source vengono sfruttati a prescindere dalla dimensione.
Qual è il cambiamento più importante?
Spostare budget e attenzione da “correggere tutto” a “rilevare e rispondere in fretta”, e prioritizzare le poche falle sfruttate attivamente.
Fonti
- Mandiant / Google Cloud — M-Trends 2026
- SecurityWeek — Initial Access Handoff Shrinks to 22 Seconds
- Help Net Security — The exploit gap is closing
- Fortune — Hackers are using AI to weaponize zero-days
- CNBC — Google thwarts AI mass exploitation event
Recent Posts
- Il time-to-exploit è diventato negativo: perché nel 2026 la patch non basta più
- EU AI Act: dal 2 agosto 2026 i contenuti generati dall’AI vanno dichiarati — cosa deve fare la tua azienda
- Sovranità digitale in Svizzera: perché il 2026 riscrive le regole del cloud per la PA e le imprese
- Rischi di Sicurezza IoT: Come i Dispositivi Connessi Stanno Espandendo la Superficie di Attacco
- Data Breach: Capire il Vero Costo di un Cyberattacco
Category
NUOVI ARTICOLI
All Tag
2025 Accademia di CyberSecurity AI Automazione Business CISO Compliance Consapevolezza CyberCriminali Cybersecurity Awareness CyberSecurityRating EU AI Act Futuro GDPR Malware Minacce nFADP NIS2 nLPD Phishing Privacy Protezione dei dati Ramsonware Ransomware Supply Chain Threat Intelligence Valutazione della vulnerabilità Vulnerability Management Zero-Day Zeroedge Academy
