La cybersecurity sta vivendo una discontinuità profonda. Le minacce digitali continuano a crescere in volume e sofisticazione, ma ciò che sta davvero cambiando lo scenario è l’irruzione dell’intelligenza artificiale, che sta trasformando tanto le capacità difensive quanto, e forse ancora di più, quelle offensive. Il machine learning non è più solo uno strumento a supporto della detection o dell’automazione: è il cuore di un nuovo paradigma di attacco e difesa, dove i confini tra umano e macchina diventano sempre più sfumati.
Il report IBM X-Force Threat Intelligence Index 2024 evidenzia che stiamo assistendo a un aumento significativo nell’uso di automazione da parte degli attaccanti e sottolinea come l’adozione diffusa di tecnologie AI stia spingendo i criminali informatici a sviluppare strumenti più sofisticati per colpire in modo mirato. Sebbene non venga indicata una percentuale specifica, emerge chiaramente una tendenza verso attacchi sempre più automatizzati e adattivi.
E se l’AI difensiva è in grado di processare grandi volumi di dati per identificare comportamenti sospetti in tempo reale, l’AI offensiva – in particolare quella generativa – sta aprendo scenari totalmente nuovi: dalla creazione automatica di malware polimorfi alla costruzione di campagne di spear phishing su misura, con una capacità di persuasione e realismo mai vista prima.
La GenAI potenzia l’attacco: più veloce, più subdolo, più difficile da rilevare
La vera discontinuità sta proprio qui. La disponibilità di modelli generativi come ChatGPT, Claude o Gemini ha reso accessibili a un pubblico vasto – inclusi cyber criminali – strumenti in grado di scrivere codice, generare messaggi, sintetizzare informazioni e adattarsi al contesto. Uno dei trend più preoccupanti è l’uso crescente di LLM (Large language models) per costruire attacchi di social engineering, capaci di sfruttare bias cognitivi, toni linguistici personalizzati, fonti manipolate e contenuti visivamente credibili (inclusi deepfake).
Phishing, business email compromise, frodi bancarie e manipolazione reputazionale stanno vivendo una nuova ondata, alimentata proprio dall’AI. Il punto non è solo la quantità, ma la qualità. Gli attacchi sono sempre più contestualizzati, culturalmente coerenti, psicologicamente efficaci. I sistemi di protezione basati su pattern riconoscibili o su black list diventano rapidamente obsoleti.
Machine learning nella difesa: vantaggi straordinari, ma non privi di rischi
Sul fronte della difesa, l’AI si sta dimostrando un alleato formidabile. I sistemi XDR, le piattaforme di anomaly detection, i servizi di MDR (Managed detection and response) e i tool di threat hunting sono oggi sempre più basati su machine learning. Riescono a identificare segnali deboli, correlare eventi in tempo reale e reagire in modo proattivo a minacce emergenti.
Tuttavia, il rovescio della medaglia è rappresentato dai nuovi rischi associati proprio all’uso di AI: modelli di detection basati su dati incompleti o non rappresentativi possono generare falsi positivi o, peggio, non rilevare minacce sofisticate. L’AI blindness – ovvero la tendenza a considerare l’output del sistema come infallibile – è un rischio concreto. Inoltre, l’uso di modelli opachi (black box) rende difficile spiegare le decisioni, limitando la capacità di audit e di risposta in ambiti regolati.
La sfida è costruire sistemi di cybersecurity che siano al tempo stesso intelligenti e trasparenti. Questo implica lavorare su explainable AI, governance algoritmica e qualità dei dati. Significa anche rivedere le competenze richieste: oggi la sicurezza informatica non può più prescindere da una solida alfabetizzazione sull’uso e la valutazione dell’intelligenza artificiale.
Il rischio cognitivo: quando il bersaglio non è il sistema ma l’utente
C’è un ulteriore livello di rischio, forse il più insidioso: quello cognitivo. L’AI generativa non colpisce direttamente le vulnerabilità tecniche, ma sfrutta le debolezze umane. I modelli linguistici possono convincere, manipolare, disinformare. Possono essere usati per generare documenti aziendali falsi, comunicazioni interne alterate, simulazioni vocali credibili. Tutto questo rende estremamente difficile distinguere il vero dal falso in tempo reale.
Per esempio, nel febbraio 2024, un gruppo di cybercriminali ha utilizzato tecniche di deepfake per impersonare il direttore finanziario di Arup, una società di ingegneria britannica. Durante una videoconferenza, i truffatori hanno convinto un dipendente a trasferire circa 25 milioni di dollari su conti bancari a Hong Kong. Questo incidente evidenzia l’uso crescente dell’intelligenza artificiale per creare truffe sofisticate, sfruttando l’imitazione realistica di figure aziendali di alto livello.
Si tratta di un salto di scala nelle minacce. Non siamo più di fronte solo a vulnerabilità di codice, ma a vulnerabilità umane. E queste non possono essere risolte con un patch di sistema: richiedono formazione, consapevolezza, simulazioni continue e nuovi strumenti per la verifica dell’identità e dell’autenticità dei contenuti.
Normative in evoluzione: tra protezione e responsabilità algoritmica
La pressione normativa è destinata ad aumentare. L’Unione europea ha approvato a marzo 2024 il primo AI Act, che introduce obblighi specifici per i sistemi considerati “ad alto rischio”, inclusi molti ambiti legati alla sicurezza, alla gestione delle identità, ai processi critici aziendali. La direttiva NIS2, in parallelo, impone requisiti sempre più stringenti sulla gestione del rischio, l’analisi delle dipendenze tecnologiche e la comunicazione degli incidenti.
Le imprese si trovano così in una posizione ambivalente: da un lato devono accelerare l’adozione di tecnologie AI per rafforzare la propria postura difensiva, dall’altro devono garantire trasparenza, responsabilità, protezione dei dati e conformità. L’adozione di AI nella cybersecurity non può più essere lasciata all’iniziativa dei singoli team IT, ma va inquadrata in una strategia aziendale, con un forte presidio etico, legale e operativo.
Cybersecurity e AI: un binomio destinato a ridefinire la resilienza digitale
L’ibridazione tra AI e cybersecurity non è più un’opzione. È già realtà. Ma richiede un cambio di mentalità radicale. Non basta aggiungere uno strato di intelligenza a strumenti esistenti. Occorre ripensare l’intero approccio alla sicurezza, in ottica predittiva, adattiva e cognitiva. Le difese devono diventare fluide, distribuite, capaci di apprendere e riadattarsi in tempo reale. Allo stesso tempo, è fondamentale evitare l’eccesso di automazione cieca, costruendo un equilibrio tra capacità algoritmica e controllo umano.
Questa nuova fase della cybersecurity presenta un ecosistema dove AI e machine learning rappresentano insieme la più grande minaccia e la migliore opportunità per rafforzare la resilienza. Le imprese italiane dovranno affrontare la transizione con urgenza ma anche con visione strategica perché chi non saprà governare l’intelligenza, rischia di diventarne vittima. La sicurezza del futuro si gioca oggi, all’incrocio tra codice e coscienza, tra tecnologia e responsabilità.