La sicurezza nel cloud ibrido sconta ancora qualche problema, rivela l’edizione 2026 del Report di Red Hat sullo State of Cloud Native Security, che evidenzia come molte aziende operino ancora con un approccio prevalentemente reattivo, con difficoltà nel mantenere continuità e coerenza nelle attività di protezione. Per migliorare la propria postura di sicurezza, i team dovrebbero identificare pratiche e policy fondamentali su cui basare la strategia, così da fare della sicurezza un elemento strutturale della piattaforma e non un fattore di rallentamento.

Nel dettaglio, dal Report, frutto di oltre 600 interviste, emerge in primo luogo che il 97% delle aziende intervistate ha subito almeno un incidente cloud-native negli ultimi 12 mesi. Non si parla solo di attacchi complessi o occasionali: spesso gli incidenti sono riconducibili a errori comuni, mancanza di attenzione o impostazioni scorrette. Tra gli incidenti più frequentemente segnalati emergono infatti: Configurazioni errate di infrastrutture o servizi (78%): la prima causa di esposizione, spesso legata a errori manuali in ambienti complessi; Vulnerabilità note: workload distribuiti con codice già riconosciuto come vulnerabile, che aprono finestre di rischio del tutto evitabili; e infine Accessi non autorizzati: un problema operativo persistente, che porta spesso all’esposizione di dati sensibili.

L’impatto, però, non si ferma all’IT. Il 74% delle aziende ha rallentato o rinviato il rilascio di applicazioni nell’ultimo anno proprio per ragioni di sicurezza. E i danni non si esauriscono nei ritardi: il 92% degli intervistati segnala conseguenze rilevanti, tra cui l’aumento del tempo dedicato alla remediation (52%), il calo della produttività degli sviluppatori (43%) e perfino la perdita di fiducia da parte dei clienti (32%). In altre parole, la sicurezza non è più una semplice voce tecnica da spuntare: è diventata un fattore decisivo per l’agilità del business.

Da notare che uno degli elementi più significativi emersi dal report è il divario tra la percezione di prontezza e l’effettiva esistenza di una strategia strutturata. A fronte di un 56% delle aziende che definisce il proprio approccio quotidiano alla sicurezza come “altamente proattivo”, solo il 39% dispone davvero di una strategia di sicurezza cloud-native matura e ben definita.

Il dato suggerisce che molte aziende, pur dichiarando un orientamento proattivo, stiano in realtà ancora improvvisando. Circa il 22% delle aziende opera senza una strategia formalizzata, con un’adozione disomogenea dei principali controlli di sicurezza. L’Identity and Access Management è diffuso nel 75% dei casi, segno che l’identità è considerata un elemento chiave, mentre la firma delle immagini container è adottata solo da metà delle aziende e la protezione a runtime resta frammentata, spesso affidata a configurazioni di default. Questi dati evidenziano come la maturità sia determinante: le aziende con una strategia definita adottano più controlli avanzati e mostrano maggiore fiducia nella sicurezza della supply chain software. Tra queste, il 61% si dichiara sicuro delle proprie capacità, contro livelli molto più bassi nelle realtà meno strutturate.

Alla luce di questo scenario, le aziende stanno ribilanciando le priorità di spesa per il 2026. Il focus si sta spostando da strumenti isolati e puntuali verso un consolidamento delle piattaforme e l’integrazione della sicurezza direttamente nel ciclo di vita del software. Nei prossimi 12-24 mesi, le priorità di investimento si concentreranno su automazione DevSecOps, sicurezza della supply chain e protezione a runtime. Oltre il 60% delle organizzazioni punta ad automatizzare la sicurezza nelle pipeline CI/CD per ridurre gli errori umani, mentre il 56% considera cruciale proteggere la supply chain, verificando componenti e dipendenze tramite strumenti come SBOM. Parallelamente, il 54% intende rafforzare le difese in tempo reale contro minacce attive.

Anche la compliance assume un ruolo centrale: il 64% delle organizzazioni indica il Cyber Resilience Act europeo come uno dei principali driver di investimento in sicurezza nel 2026, segnando il passaggio della governance da elemento opzionale a requisito strategico.

Quanto all’intelligenza artificiale, questa è diventata un’arma a doppio taglio per i team cloud-native: se da un lato il 58% delle aziende afferma che l’adozione dell’AI è ormai un driver centrale nella pianificazione della sicurezza, dall’altro la governance procede a un ritmo molto più lento rispetto all’implementazione.

Senza regole chiare, il rischio è che l’AI finisca per modificare configurazioni o far uscire codice proprietario dai normali processi di controllo, amplificando problemi già esistenti in ambiti come identità e supply chain.

Cosa fare quindi  nel 2026? La conclusione del report è netta: il ritmo dell’innovazione cloud-native ha ormai superato quello della sicurezza tradizionale. Per colmare questo divario di maturità, le aziende devono abbandonare la logica del pronto intervento e adottare un approccio strutturato, coerente e centrato sulla piattaforma, con cinque indicazioni chiave:

Definire una strategia formale: le organizzazioni devono andare oltre la gestione ad hoc degli incidenti e costruire un percorso chiaro che le porti da una postura reattiva a una proattiva.

Integrare guardrail e automazione: la sicurezza deve diventare una caratteristica nativa della piattaforma, sicura per impostazione predefinita, gestita dai team DevOps o di platform engineering e capace di scalare senza aggiungere attrito agli sviluppatori.

Dare priorità all’integrità della supply chain: firma obbligatoria delle immagini e scansione delle dipendenze devono diventare pratiche standard. Come osserva uno degli intervistati, tutti usano software open source, ma “quasi nessuno esegue la scansione o firma le proprie dipendenze”. Fare eccezione, in questo caso, è fondamentale per la resilienza.

Chiudere il ciclo di feedback: occorre unificare i dati di osservabilità e sicurezza, in modo che le informazioni raccolte dal rilevamento delle minacce a runtime tornino nel processo di sviluppo e aiutino a dare priorità alle correzioni più urgenti.

Governare subito l’uso dell’AI: le organizzazioni non possono aspettare l’arrivo di nuove normative. Devono attivare subito gruppi di lavoro trasversali per definire linee guida sull’uso accettabile dell’AI e sulla gestione dei dati.

Nel 2026, la sicurezza non può più essere un aspetto da aggiungere a posteriori: si tratta di un elemento strutturale di ogni architettura cloud-native. Le aziende che sapranno avere successo saranno quelle capaci di considerarla non più come un costo, ma come uno dei principali fattori abilitanti dell’agilità nel business.