Una survey di Dynatrace su 450 senior IT leader di grandi imprese rivela che metà delle organizzazioni scarta o non raccoglie in media l'86% dei log di sistema, anche dopo filtraggio e aggregazione. Il dato è emerso il 19 giugno 2026 e mette a nudo un conflitto strutturale: i team che pagano i log e quelli che ne hanno bisogno per investigare i breach non si parlano, misurati su obiettivi diversi.
- Metà delle grandi imprese scarta o non raccoglie in media l'86% dei log di sistema, anche dopo filtraggio e aggregazione, secondo la survey Dynatrace riportata da Help Net Security.
- La spesa media per tool di logging in una singola grande impresa si aggira sui $2.5 milioni all'anno, con i log che assorbono circa la metà del budget observability e monitoring.
- Due terzi delle organizzazioni dichiara che il costo del log management ha superato il valore ottenuto, spingendo decisioni di riduzione del volume raccolto.
- Le decisioni su log retention e ingestion sono gestite da team di observability, platform engineering e cost-control, separati dai team di sicurezza che ne necessitano per il threat hunting e l'incident response.
Il costo della visibilità: da asset a riga di bilancio
I numeri della survey sono netti. La spesa media per tool di logging in una singola grande impresa è di circa $2,5 milioni all'anno. I log da soli consumano circa la metà del budget dedicato a observability e monitoring. Per due terzi delle organizzazioni intervistate, questo investimento ha superato la soglia di convenienza: il costo del log management è diventato più alto del valore percepito.
La conseguenza non è un taglio lineare ma selettivo, spesso invisibile fino al momento del bisogno. Gli stessi dati che dovrebbero alimentare il rilevamento delle intrusioni vengono campionati, filtrati o eliminati prima ancora di raggiungere i sistemi di sicurezza. Il problema non è tecnico in prima istanza: è economico e organizzativo.
"An intrusion can sit undetected for weeks or months before anyone notices. When the alert finally arrives and an investigator goes looking for the trail, the relevant entries may have been sampled away or deleted long before the breach surfaced."
Il governance gap: chi paga e chi ha bisogno non si incontrano
La fonte documenta esplicitamente la frattura organizzativa: "The people deleting logs and the people who need them during an incident are frequently different people, measured against different goals". I team di observability e platform engineering sono valutati su costo, latenza e throughput. I team di sicurezza sono valutati su mean time to detect e mean time to respond. Gli indicatori non comunicano.
Il risultato è un sistema in cui la decisione di quanto conservare, a quale granularità e per quanto tempo viene presa da chi non pagherà il prezzo di un'indagine forense fallita. La fonte non specifica se esistano governance framework o comitati congiunti che allineino questi processi in un numero rilevante di organizzazioni. Il dato non è disponibile nel brief.
Questo silos non è nuovo nel settore IT, ma il volume crescente di dati da gestire lo rende critico. Quando l'86% dei log viene scartato "anche dopo filtraggio e aggregazione", il filtraggio stesso diventa il problema: le regole di sampling decise per ragioni di costo possono escludere pattern di attacco che emergono solo nella correlazione di eventi apparentemente marginali.
L'accelerazione AI: più log, meno controllo
Nell'ultimo anno i workload AI hanno aumentato drasticamente il volume di log e telemetria, secondo le organizzazioni intervistate che li eseguono. Questo non è un trend accessorio: gli agent AI scrivono e leggono log, generando nuovi flussi di dati che i sistemi di ingestion esistenti non erano dimensionati per gestire.
La fonte cita esplicitamente che gli agent AI creano "un nuovo vettore di rischio per data poisoning e log tampering". Questo aggiunge una dimensione al problema: non solo i log utili vengono scartati per volume, ma i log che restano potrebbero essere stati manipolati da attori che sfruttano proprio la superficie di attacco espansa dall'automazione AI.
Il brief non specifica quanti dei 450 intervistati eseguano effettivamente workload AI, né fornisce cifre sul sovraccarico di telemetria generato. Il dato rimane qualitativo: "climbed sharply", senza percentuali o multipli.
Il rischio invisibile: forense e accountability
La citazione più forte della fonte descrive uno scenario operativo concreto: un'intrusione persiste non rilevata per settimane o mesi, e quando l'allarme suona il percorso di ricostruzione è già stato cancellato. La fonte non cita casi documentati di breach non investigabili per mancanza di log: enuncia un rischio teorico, non un catalogo di incidenti accertati.
Il problema, però, è che il rischio teorico si traduce in esposizione reale su tre fronti che il brief non esplora in dettaglio ma che emergono dalla lettura dei dati: normativa, assicurativa e reputazionale. Se un'organizzazione non può dimostrare di aver conservato i log necessari a ricostruire un incidente, la sua posizione di difesa in contesti legali o di compliance si indebolisce. La fonte non documenta specifiche sanzioni o casi giudiziari su questo punto.
Il dato tangenziale dalla Fonte 2 — il 94% degli incidenti che coinvolge infrastruttura anonimizzata (VPN, proxy residenziali) — non è collegato dalla fonte al problema del log discard. La correlazione non è esplicitata e non va costruita artificialmente: sono survey diverse su problemi diversi. Ciò che resta è che entrambi i fenomeni, presi insieme, disegnano un panorama di investigazione sempre più ostico: gli aggressori nascondono le tracce dietro infrastrutture anonime, e le vittime non conservano le tracce che potrebbero rimanere.
Perché è importante
Il brief non documenta misure correttive specifiche adottate dalle organizzazioni intervistate, né soluzioni tecniche alternative già in campo. La fonte non specifica la natura esatta dei log scartati (di sistema, di applicazione, di rete, di audit) né fornisce dettagli sulla metodologia di campionamento applicata.
Non è noto se esistano sottoinsiemi di organizzazioni che abbiano implementato approcci di log tiering (hot/warm/cold storage) o tecniche di compressione o di log reduction intelligente che preservino la rilevanza per la sicurezza. Il dossier non specifica inoltre se i 450 senior IT leader appartengano a settori verticali particolarmente afflitti dal problema o se la distribuzione sia uniforme.
La fonte non fornisce dati storici di confronto: non è possibile affermare se l'86% rappresenti un peggioramento o una situazione stabile, né se la spesa media di $2,5 milioni sia cresciuta o diminuita rispetto a periodi precedenti. Il trend, quindi, non è quantificabile sulle serie storiche disponibili.
Il dato sulla governance separata tra team costo e team sicurezza è invece chiaro e rafforza la lettura del problema come fallimento di organizzazione, non solo di tecnologia o budget. Finché chi paga e chi investiga non condivide gli stessi obiettivi, o almeno un framework di governance comune, il log gap persisterà come vulnerabilità strutturale.
Domande e risposte
Che cosa significa "anche dopo filtraggio e aggregazione" nell'86% di log scartati?
Significa che le organizzazioni applicano già processi di riduzione del volume (filtri per severità, aggregazione di eventi simili, sampling) e comunque metà di esse scarta o non raccoglie l'86% del totale. Il dato indica che la perdita di visibilità avviene a più livelli: prima della raccolta, durante il filtraggio, e nella decisione di non ingestion.
Perché la spesa è così alta se gran parte dei log viene scartata?
La fonte non spiega esplicitamente questa apparente contraddizione. Una lettura possibile è che i costi riguardino l'infrastruttura di ingestion e storage dimensionata per picchi, le licenze dei tool di log management (spesso basate su volume indicizzato o su host monitorati), e le risorse umane per gestire la pipeline. Scartare log non necessariamente riduce questi costi fissi.
Gli agent AI menzionati sono una minaccia specifica o un esempio generale?
La fonte li cita come nuovo vettore di rischio per data poisoning e log tampering, inserendoli nel contesto dell'aumento di volume generato dai workload AI. Il brief non fornisce dettagli tecnici su come avvenga la compromissione, né casi documentati di agent AI manipolati in produzione.
Fonti
- https://www.helpnetsecurity.com/2026/06/19/report-log-management-security-risk/
- https://thehackernews.com/2026/06/survey-94-of-incidents-involve.html
- https://www.welivesecurity.com/en/kids-online/lessons-life-childrens-data-long-term-identity-risk/
- https://unit42.paloaltonetworks.com/cyber-extortion-economy/
- https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.