L’intelligenza artificiale sta progressivamente trasformando la cybersecurity da funzione difensiva a leva strategica per la resilienza aziendale. Il mercato globale lo conferma: secondo Dimension Market Research, il valore delle soluzioni AI per la sicurezza informatica passerà da 22,1 miliardi di dollari nel 2024 a quasi 115 miliardi entro il 2033. Un’accelerazione trainata da minacce sempre più sofisticate, che si muovono a una velocità tale da rendere obsoleti i processi di risposta tradizionali. L’esplosione dei modelli generativi ha moltiplicato i tentativi di phishing: in seguito alla diffusione di ChatGPT, il loro volume complessivo è cresciuto del 4.151%, con una quota crescente di contenuti generati direttamente da AI (tra lo 0,7% e il 4,7% secondo Hoxhunt – https://hoxhunt.com/blog/ai-powered-phishing-vs-humans).
Dall’arma degli aggressori allo scudo delle imprese
La capacità degli attaccanti di sfruttare modelli AI per orchestrare attacchi in pochi secondi ha reso indispensabile una risposta automatizzata e tempestiva. La analisi mostrano che il tempo medio fra compromissione ed esfiltrazione dei dati sta costantemente scendendo arrivando in media a un paio di giorni, con molti incidenti che si concretizzano entro 24 ore. In questo scenario, un Security Operations Center (SOC) deve essere in grado di rilevare e contenere le minacce in tempi drasticamente inferiori rispetto al passato. Il tempo medio per il contenimento di un attacco con processi manuali supera le 8 ore e si tratta un arco temporale non più compatibile con la velocità degli attacchi odierni.
Il dato che fotografa questa nuova esigenza è chiaro: il 70% del malware in circolazione è oggi di tipo polimorfo (Fonte Secur-Serv), rendendo insufficiente un approccio basato su firme statiche.
Inoltre, la convergenza tra sistemi IT e OT sta ampliando il perimetro di attacco, in particolare nelle realtà manifatturiere. Sistemi come PLC e SCADA, fondamentali per la continuità operativa, sono ora bersagli diretti di campagne malevole.
Un’infrastruttura capace di operare a velocità di macchina
Per fronteggiare questa nuova classe di minacce, la piattaforma di OpenText Cybersecurity integra tecnologie di machine learning capaci di analizzare centinaia di milioni di eventi ogni giorno, assegnando priorità e punteggi di rischio in tempo reale. Questo modello alimenta playbook automatici che si attivano una volta superate determinate soglie di rischio, riducendo il tempo medio di contenimento da ore a minuti. Una risposta che non si traduce però in una perdita di controllo o di trasparenza: ogni alert generato è accompagnato da una spiegazione leggibile e verificabile delle caratteristiche che hanno attivato la segnalazione. La capacità di rilevare comportamenti anomali può essere estesa all’interno di segmenti OT per attivare meccanismi di isolamento automatico, garantendo la continuità produttiva e la sicurezza dell’impianto.
Explainable AI e trasparenza normativa
Questo approccio, fondato su un’analisi leggibile e verificabile degli eventi, non è solo funzionale all’efficienza operativa: rappresenta anche una risposta coerente alle sempre più stringenti esigenze normative. Nel contesto regolatorio europeo, infatti, la trasparenza degli algoritmi è diventata un requisito imprescindibile. La direttiva NIS2 e il quadro normativo sull’intelligenza artificiale impongono la capacità di spiegare decisioni e processi automatizzati. In questo scenario, i sistemi di explainable AI integrati nelle soluzioni di difesa di OpenText permettono di visualizzare con precisione le motivazioni alla base di ogni intervento automatico, sostenendo l’attività degli analisti e assicurando piena conformità agli audit e agli obblighi di accountability. Comunque, già ora l’adozione estensiva dell’intelligenza artificiale consente alle aziende di ridurre il costo medio per incidente (di oltre 2,2 milioni di dollari secondo secondo l’IBM Cost of a Data Breach Report 2024).
Verso un SOC autonomo, ma supervisionato
Il SOC del futuro sarà sempre più data-driven, in grado di integrare fonti informative interne ed esterne e di costruire un ciclo di feedback continuo per ottimizzare la rilevazione e la risposta. L’automazione avanza, ma il ruolo dell’analista resta centrale: i sistemi di AI consentono di ridurre drasticamente il rumore di fondo e di focalizzarsi sugli incidenti reali. In media, si passa da migliaia di alert giornalieri a poche decine di eventi realmente rilevanti. È una trasformazione che consente di contenere un incidente entro la prima mezz’ora, un risultato nettamente inferiore alle 8 ore richieste dai processi manuali e ai 51 giorni medi necessari al settore finanziario per gestire una violazione.
La cyber resilienza non è più un obiettivo accessorio delle strategie IT, ma un fattore critico per la continuità operativa, la reputazione aziendale e la competitività sui mercati.
L’intelligenza artificiale rappresenta oggi l’unica leva in grado di riportare la difesa in vantaggio rispetto all’attacco, costruendo una sicurezza che anticipa, risponde e si adatta in tempo reale.