C’è un momento, in ogni intrusione, in cui il problema smette di essere “sono entrati” e diventa “quanto lontano arrivano prima che io me ne accorga”. Il Global Threat Report 2026 di Crowdstrike lo chiama breakout time e si tratta del mio numero preferito. In altre parole è il tempo che passa dall’accesso iniziale alla capacità dell’avversario di “scappare” dal punto d’ingresso e muoversi lateralmente verso asset di valore. Non è una metrica da addetti ai lavori: è il termometro della nostra illusione più diffusa, quella secondo cui “abbiamo tempo”.
La notizia, nel documento, è semplice e sgradevole: il breakout time sta scendendo con continuità e negli ultimi cinque anni. Il report sintetizza il fenomeno come una riduzione di circa il 70% dal 2021 al 2025. Tradotto: il tempo operativo che un difensore può permettersi di sprecare non si sta “ottimizzando”, si sta proprio riducendo come una palla di neve al sole. I numeri sono quasi didascalici: 98 minuti (2021), 84 (2022), 62 (2023), 48 (2024), 29 (2025) di media. È un conto alla rovescia che non fa rumore, ma sposta l’equilibrio: se prima potevi sbagliare un passaggio, oggi sbagli un passaggio e hai già perso un’intera stanza.
Qui vale la pena usare una lente argomentativa, non solo descrittiva. Quando il tempo si accorcia, non basta “fare le stesse cose meglio”, si deve cambiare approccio. In un mondo a 98 minuti, puoi permetterti una catena decisionale con attriti, escalation lente, un sistema di sicurezza che deve “capire bene” prima di agire. In un mondo a 29 minuti, le domande diventano altre. Quali azioni posso automatizzare senza farmi male? Quali segnali devo considerare sufficienti per intervenire? Quali strumenti devo trattare come potenzialmente ostili anche quando sembrano legittimi? È il passaggio da una sicurezza che ragiona a una sicurezza che reagisce, e il confine tra le due è una zona grigia piena di politica aziendale, non solo di tecnologia.
Il caso riportato su CHATTY SPIDER, che si trova nel report, serve proprio a questo: non a farci paura, ma a farci capire il meccanismo. Nel 2025 il gruppo “ha continuato a colpire soprattutto studi legali” e lo ha fatto con un ingrediente che non passerà mai di moda: la voce umana, il voice phishing (vishing) per convincere dipendenti a installare software per la gestione remota del proprio dispositivo. Una volta dentro, niente fantascienza: usano un altro software molto comune (WinSCP) per poi tentare l’esfiltrazione dei dati. E soprattutto una scelta tattica che svela maturità: pochi movimenti, mirati, veloci.
Il dettaglio più istruttivo è il vettore: l’accesso viene concesso tramite un’applicazione gratuita integrata in Windows 10/11 che permette di dare o ricevere supporto tecnico da remoto (Microsoft Quick Assist) ovvero un canale che, in molte organizzazioni, gode di fiducia implicita. E poi il record: quattro minuti dall’accesso al tentativo di esfiltrazione. Quattro minuti sono l’unità di misura di una nuova verità: la difesa non può più affidarsi all’idea che l’avversario debba “costruire” qualcosa di complesso prima di fare danni. C’è, infine, anche un’altra lezione, più sottile e più fastidiosa: quando blocchi un metodo, l’avversario non si ferma, cambia piattaforma. Nel caso descritto, il tentativo iniziale viene “bloccato da controlli firewall”, ma l’attore trova rapidamente un’alternativa: Google Drive come canale di esfiltrazione e ancora una volta la fiducia diventa superficie d’attacco. Strumenti legittimi, credenziali legittime, procedure “normali”. Il report lo dice senza retorica: il rischio è nell’abuso della normalità. Se dovessi trasformare questi dati in un commento vi direi che la cybersecurity sta entrando nell’era dei minuti, non più delle ore e quando il tempo si contrae, anche la nostra retorica deve cambiare: non basta promettere “prevenzione”, bisogna progettare una risposta anche prima di avere una domanda. Perché l’avversario corre, e non corre perché è più intelligente: corre perché ha imparato che, nella maggior parte delle organizzazioni, la lentezza è una policy non scritta. Alla fine, il report non parla solo di attaccanti più rapidi: parla di difensori che devono decidere chi vogliono essere. Perché quando il cronometro scende a 29 minuti, non è l’attacco ad accelerare: è la realtà che smette di aspettarti. Allora la sicurezza, quando funziona, diventa la capacità di non arrivare secondi a casa propria.