Security by Design: perché è fondamentale nel 2026

Security by Design è l’approccio secondo cui la sicurezza deve essere integrata fin dalle prime fasi dello sviluppo software, anziché essere aggiunta successivamente.

Nel 2026 questo paradigma non è più opzionale. L’aumento costante di vulnerabilità, attacchi informatici e data breach ha reso evidente che intervenire “a posteriori” non è più sufficiente per proteggere sistemi e dati.

Security by Design: i falsi miti da superare

Nonostante la sua crescente diffusione, Security by Design è ancora spesso frainteso. In particolare:

• viene confuso con il semplice secure coding;
• viene considerato una responsabilità esclusiva degli sviluppatori.

In realtà, la sicurezza è una responsabilità condivisa che coinvolge tutti gli stakeholder. Non solo gli sviluppatori ma anche i software architect, il management, i Product Owner e il team di sicurezza.
Senza un approccio trasversale, qualsiasi strategia di sicurezza risulta incompleta.

Il boom delle vulnerabilità: un trend insostenibile

A partire dal 2016, il numero di vulnerabilità scoperte e pubblicate è cresciuto in modo esponenziale.

• Nel 2025 si è arrivati a circa 50.000 vulnerabilità registrate.
• Nel 2026 si potrebbe raggiungere la soglia delle 100.000.

Questo aumento non è solo quantitativo, ma anche qualitativo: molte vulnerabilità non vengono analizzate in profondità. Le organizzazioni incaricate della loro classificazione e gestione non riescono più a stare al passo.
Il risultato? Sempre più vulnerabilità rimangono sfruttabili più a lungo, aumentando il rischio complessivo.

[Fonte: Jerry Gamblin / CVE.ICU (1999–2025 actuals); FIRST 2026 Vulnerability Forecast (2026 projection)]

Il caso: l’aggiornamento NIST del 15/04/2026 e come cambia la loro gestione del NVD

Proprio il 15 aprile 2026 – una settimana fa rispetto alla pubblicazione di questo articolo – il NIST ha pubblicato un aggiornamento che annuncia il cambio della modalità di gestione del database delle vulnerabilità informatiche (National Vulnerability Database o NVD) a causa dell’enorme crescita delle segnalazioni di vulnerabilità (Common Vulnerabilities and Exposures o CVE).

In questo aggiornamento segnalano che il numero di CVE è aumentato del +263% tra 2020 e 2025. Anche aumentando la produttività (circa 42.000 CVE analizzati nel 2025), il NIST non riesce più a stare al passo.
In passato il NIST cercava di analizzare tutte le vulnerabilità, ora passa a un modello basato su priorità/rischio: tutte le vulnerabilità continueranno a essere elencate, ma non tutte verranno analizzate nel dettaglio. Il NIST rinuncia, quindi, all’idea di analizzare tutto e passa a un approccio selettivo, comprese le vulnerabilità rimaste in arretrato.

Il ruolo dell’intelligenza artificiale nella cybersecurity

L’intelligenza artificiale sta accelerando ulteriormente questa dinamica.

Da un lato:

• aumenta la quantità di codice prodotto;
• incrementa potenzialmente il numero di vulnerabilità.

Dall’altro:

• rende più efficiente la scoperta delle vulnerabilità:
• porta alla luce un numero crescente di problemi di sicurezza.

I security researcher possono migliorare la velocità e la qualità delle analisi, ma non possono ridurre il numero di vulnerabilità generate. Chi può farlo davvero? Gli sviluppatori software, adottando pratiche di sviluppo sicuro e prevenendo i problemi alla radice.

Il vero ostacolo al Security by Design: un problema culturale

Il principale limite alla diffusione dell’approccio Security by Design non è tecnologico, ma culturale.

Il divario tra cybersecurity e sviluppo software riguarda:

• processi;
• priorità di business;
• comunicazione tra team;
• mentalità organizzativa.

La formazione tecnica da sola non basta. Serve un cambiamento più profondo, che coinvolga l’intera organizzazione.

Perché il modello attuale non è più sostenibile

Secondo l’esperienza di Betrusted:

• il modello attuale non è più sostenibile;
• trattare la sicurezza come un’aggiunta aumenta rischi e costi;
• è necessario integrare la sicurezza nei processi decisionali fin dall’inizio.

Security by Design non è solo una best practice: è un requisito strategico per la sostenibilità del software nel lungo periodo.

Come implementare la Security by Design nei diversi ruoli

Sviluppatori

Con l’aumento dell’utilizzo dell’AI, il ruolo degli sviluppatori evolve sempre di più verso una “continuous secure code review” che prevede delle best practice per ognuna delle tre macro-fasi:

• Progettazione: scrivere codice con consapevolezza dei rischi associati.
• Sviluppo: applicare principi di secure coding in modo sistematico.
• Testing: integrare test di sicurezza di base al pari di quelli funzionali.

DevOps

Il team DevOps è cruciale per rendere la sicurezza scalabile e automatizzata. Come per gli sviluppatori, anche questo team dovrebbe dotarsi di best practice:

• Testing: integrare test di sicurezza nelle pipeline CI/CD.
• Infrastruttura: configurare strumenti di analisi automatica del codice (es. SAST, SCA).

Product Owner, Delivery Manager e Scrum Master & co.

I ruoli di coordinamento hanno un impatto diretto sulla reale applicazione del Security by Design. Le loro responsabilità chiave dovrebbero essere:

• garantire tempo e risorse per lo sviluppo sicuro;
• includere la sicurezza nella pianificazione e nella progettazione;
• evitare che venga sacrificata la sicurezza per accelerare le delivery.

Security by Design: la sicurezza come leva strategica

Security by Design rappresenta un cambio di paradigma: da costo aggiuntivo a leva strategica. Integrare la sicurezza fin dall’inizio significa:

• ridurre il numero di vulnerabilità;
• diminuire i costi di remediation;
• migliorare la resilienza del software.

In un contesto in cui le vulnerabilità crescono più velocemente della capacità di gestirle, progettare software sicuro non è più una scelta. È una necessità.

Contattaci a info@betrusted.it e aiuteremo la tua organizzazione a integrare la sicurezza fin dalle prime fasi di progettazione del software.