Si è sicuramente facili profeti se si prevede che nel 2025 l’intelligenza artificiale avrà un ruolo di primo piano anche nel mondo della cybersecurity. D’altro canto, non potrebbe essere diversamente se si considera la rapida adozione che sta avendo in ogni ambito tecnologico. Ma dove e verso chi si focalizzeranno maggiormente le minacce e le attività degli attaccanti? E con quali modalità? Questi sono i temi che hanno caratterizzato l’evento #SecurityBarcamp, l’approfondimento che da qualche tempo organizza Trend Micro nel mese di gennaio per delineare gli scenari di cybercrime e di cybersecurity che con tutta probabilità caratterizzeranno l’anno appena iniziato. Un evento che è anche l’occasione per condividere le esperienze di enti pubblici e privati, che collaborano per il mantenimento della sicurezza a livello di sistema Paese.
L’edizione 2025 del #SecurityBarcamp ha visto la presenza di Gianluca Galasso, Direttore del Servizio Operazioni/CSIRT Italia, Agenzia per la Cybersicurezza Nazionale (ACN); Ivan Monti, CISO di Ansaldo; David Neumarker, CISO di Aruba; Alessio Agnello, Technical Director Trend Micro Italia; Marco Balduzzi, Presidente No Hat e Technical Research Lead Trend Micro; Alessandro Fontana, Country Manager di Trend Micro Italia.
Gli attacchi mirano sempre più a estorcere denaro
Ad aprire i lavori è stato Marco Balduzzi, il quale ha sottolineato come i costi associati alla criminalità informatica sono in crescita esponenziale. Se nel 2015 il valore stimato del cybercrime era di circa 3mila miliardi di dollari, nel 2024 si prevede supererà i 10mila miliardi, con un incremento medio annuo del 15%. Un segmento particolarmente critico è rappresentato dal crypto crime, ovvero dalle attività illecite legate alle criptovalute: “Nel 2023 – ha affermato Balduzzi – il valore delle transazioni illecite legate alle criptovalute si attestava a 46 miliardi di dollari, nel 2024 è salito a 51 miliardi”. Questo incremento è dovuto all’uso sempre più sofisticato di strumenti per il riciclaggio di denaro attraverso wallet digitali e servizi di finanza decentralizzata (DeFi).
Tra le minacce più rilevanti, un posto di rilievo lo riveste ancora il ransomware, che è evoluto da attacchi indiscriminati a campagne altamente mirate contro organizzazioni con asset critici e dati sensibili. “Abbiamo osservato un cambiamento significativo nel modus operandi degli attaccanti – ha aggiunto Balduzzi –: i dati esfiltrati per chiedere ricatti sono passati dai 10 terabyte ai 100 terabyte, con cifre medie pagate che sono passate da 200.000 dollari a oltre 1,5 milioni di dollari per singolo attacco”. Tra gli obiettivi primari ci sono ospedali, istituzioni finanziarie e aziende con elevate responsabilità in materia di protezione dei dati.
Negli ultimi anni, anche il panorama del cybercrime ha subito un’evoluzione drastica: “Nel 2015 il 65% delle transazioni nei marketplace underground riguardava la vendita di droga – ha spiegato Balduzzi –, oggi oltre il 50% è costituito da servizi di cybercrime“. Questo passaggio ha portato alla diffusione di modelli come il Crime-as-a-Service (CaaS), in cui chiunque può acquistare servizi di attacco personalizzati senza necessità di competenze tecniche.
Parallelamente, le piattaforme di comunicazione tra criminali si sono spostate da forum facilmente monitorabili a canali crittografati come Telegram, rendendo più complesso il lavoro di intelligence.
I dati citati da Balduzzi sono tratti dall’ultimo report Trend Micro, dal titolo “The Easy Way In/Out: Securing The Artificial Future”.
Trend Micro: le minacce emergenti per il 2025
L’AI viene utilizzata in maniera sempre più sofisticata dai criminali informatici per colpire l’anello debole” della sicurezza: l’utente finale. Questo avviene sia attraverso la manipolazione di dati personali sia mediante campagne di phishing sempre più avanzate. “Nel 2025, le deepfake non saranno solo un fenomeno mediatico, ma uno strumento cardine per le frodi digitali, utilizzate per ingannare utenti e sistemi di autenticazione“, ha sostenuto Alessio Agnello.
L’efficacia di questi attacchi sarà potenziata dall’uso di Large Language Models (LLM), in grado di generare comunicazioni perfettamente coerenti con lo stile e le abitudini delle vittime. Il rischio maggiore è rappresentato dalle Business Email Compromise (BEC), dove l’AI verrà impiegata per creare email fraudolente indistinguibili da quelle lecite. Un caso emblematico è quello delle truffe basate sull’alterazione dell’identità digitale, dove gli attaccanti sfruttano informazioni reperite online per simulare comunicazioni di parenti o superiori aziendali, convincendo le vittime a eseguire transazioni finanziarie o a condividere credenziali di accesso. “L’AI sta trasformando le tecniche di social engineering, rendendole più efficaci e difficili da individuare“, ha sottolineato Agnello.
Anche il mondo enterprise si trova ad affrontare nuove sfide di sicurezza con l’adozione massiva dell’AI. “Abbiamo visto cosa è successo con la migrazione al cloud: un’accelerazione senza precedenti che ha spesso trascurato gli aspetti di sicurezza. Oggi, lo stesso fenomeno si sta verificando con l’intelligenza artificiale. Molte aziende stanno integrando modelli AI generativi nei loro processi, spesso senza una chiara strategia di protezione”.
Un problema critico riguarda gli agenti AI e le chatbot che interagiscono con sistemi aziendali interni, raccogliendo e processando enormi quantità di dati sensibili. “Se un agente AI presenta una vulnerabilità, questa potrebbe essere sfruttata per accedere a dati riservati, con impatti devastanti sulla sicurezza aziendale”, ha avvertito Agnello.
Un altro rischio emergente è la difficoltà di monitorare la comunicazione tra gli agenti AI e i sistemi aziendali. Le interazioni tra AI e database, server di posta elettronica e sistemi di storage spesso sfuggono ai controlli tradizionali, rendendo più difficile individuare eventuali compromissioni. “L’assenza di visibilità sulle interazioni tra AI e infrastrutture IT apre la porta a nuovi scenari di attacco“.
ACN: non si può ignorare l’AI per la protezione
Gianluca Galasso ha evidenziato come l’Italia stia attraversando un momento decisivo nel campo della cybersecurity nazionale. Nonostante il Paese si collochi tra le principali economie industrializzate a livello mondiale, persistono sfide significative nel processo di digitalizzazione, specialmente nel settore pubblico e nelle piccole e medie imprese: “Abbiamo un ecosistema produttivo estremamente sviluppato e digitalizzato, ma con margini di miglioramento evidenti, soprattutto nella pubblica amministrazione e nelle PMI“.
I dati del 2024 provenienti dall‘Agenzia per la Cybersicurezza Nazionale (ACN) evidenziano un preoccupante aumento degli incidenti informatici: un incremento del 42% rispetto all’anno precedente, con 584 incidenti analizzati, quasi il doppio rispetto al 2023. Particolarmente significativo è stato l’aumento degli attacchi DDoS (+64%) e del browser hijacking (+21%), con un incremento del 124% nel numero di vittime coinvolte. Come ha osservato Galasso, “i dati non devono mai essere considerati in senso assoluto, ma sono sempre relativi alla capacità di osservazione e analisi”
L’ACN, istituita nel settembre 2021, ha registrato una crescita notevole, passando da una singola unità a circa 300 dipendenti nel 2024. Un progresso significativo nel quadro normativo è stato segnato dall’introduzione della legge 92/2024 sul rafforzamento della protezione cibernetica e dal recepimento della Direttiva NIS2 e di cosa questa comporta per la supply chain. L’Agenzia sta inoltre sviluppando un innovativo sistema denominato HyperSoc, un framework progettato per centralizzare e distribuire le informazioni cyber a livello nazionale.
Sul fronte tecnologico, “non possiamo ignorare l’AI”, ha affermato Galasso, evidenziando come l’ACN stia esplorando l’integrazione dell’intelligenza artificiale, non tanto per le attività di rilevazione e risposta agli attacchi, quanto per l’analisi di grandi volumi di dati provenienti da fonti aperte e collaborazioni internazionali.
Galasso ha sottolineato come il posizionamento dell’Italia nel Tier 1 del Cyber Global Index 2024 dell’ITU rappresenti un importante riconoscimento dei progressi compiuti: “Fino a pochi anni fa eravamo sempre in ritardo rispetto ad altri Paesi. Ora iniziamo a colmare il divario, ma il percorso è ancora lungo”.
Le priorità strategiche dell’ACN per il 2025 includono l’implementazione efficace della Direttiva NIS2 e il rafforzamento delle infrastrutture di cybersecurity nazionali. “Ci troviamo in una fase cruciale e il 2025 sarà un anno determinante per consolidare le strategie avviate e rafforzare ulteriormente la nostra posizione tra i Paesi leader nella cybersecurity”. Questa visione strategica sottolinea l’importanza di un approccio coordinato e sistemico alla sicurezza informatica nazionale.
Ansaldo: sistemi di rilevamento per anticipare le criticità
Nel contesto della trasformazione digitale, Ansaldo Energia ha avviato un processo di innovazione tecnologica volto a ottimizzare le proprie infrastrutture IT e a potenziare la gestione operativa. “L’adozione di soluzioni avanzate per la gestione e l’analisi dei dati ci consente di migliorare l’efficienza operativa e di garantire una maggiore resilienza dei nostri sistemi”, ha sottolineato il CISO dell’azienda, Ivan Monti.
Uno degli elementi cardine di questa evoluzione è l’integrazione di strumenti di intelligenza artificiale e machine learning per il monitoraggio predittivo degli impianti. “Attraverso algoritmi avanzati, siamo in grado di anticipare potenziali criticità e ottimizzare la manutenzione, riducendo al minimo i tempi di fermo impianto. Questa strategia si traduce in una maggiore continuità operativa e in una riduzione dei costi di gestione”.
Parallelamente, Ansaldo Energia ha rafforzato il proprio approccio alla cybersecurity, adottando soluzioni di protezione end-to-end. “La cybersecurity è una priorità assoluta. Implementiamo controlli avanzati e sistemi di rilevamento delle minacce per garantire l’integrità e la protezione dei dati aziendali”. Un’attività che, ha precisato Monti, viene estesa anche ai clienti di Ansaldo.
Questa trasformazione digitale si inserisce in una più ampia strategia di modernizzazione dell’azienda, finalizzata a incrementare la competitività e a rispondere in modo efficace alle sfide del mercato energetico globale. “Innovare significa non solo adottare nuove tecnologie, ma anche ripensare i processi aziendali in ottica di efficienza e sostenibilità” ha concluso Monti.
Aruba: data center, elemento essenziale per la sicurezza
L’aumento degli incidenti cyber, sebbene preoccupante, riflette la crescente digitalizzazione delle imprese. In questo scenario, l’intelligenza artificiale (IA) sta giocando un duplice ruolo. “Se da un lato facilita gli attacchi, dall’altro diventa uno strumento essenziale per la difesa, influenzando le tre dimensioni chiave della sicurezza: people, process e technology”, ha dichiarato David Neumarker.
Sul fronte people, emerge un dato allarmante: “solo il 57% delle persone è in grado di distinguere tra immagini reali e fake”. L’IA ha aumentato significativamente la capacità degli attaccanti di ingannare, rendendo necessario un aggiornamento delle strategie di awareness tradizionali. Si stanno sviluppando nuovi programmi di formazione come strumento di difesa. Tra questi, Neumarker ha incluso la diffidenza operativa, ovvero la verifica del mittente tramite domande la cui risposta non può essere nota a un attaccante, come il nome di una persona, la data di un evento, il titolo di un film e così via
Per quanto riguarda l’ambito process, “la persistenza di malware e vulnerabilità richiede processi più rigorosi”, tra cui: gestione accurata degli asset aziendali, specialmente nel cloud, implementazione di configurazioni security-by-default, vulnerability management pervasivo e soluzioni di virtual patching per sistemi legacy.
Sul versante technology, particolare attenzione viene data alle piattaforme cloud, “con diverse declinazioni di responsabilità tra provider e cliente”. È l’importante un approccio ibrido e multi-cloud, con una “forte enfasi sulla sovranità digitale articolata su tre livelli”: dei dati (localizzazione fisica in Italia), operativa (gestione locale delle operations) e sovranità tecnologica (sviluppo interno delle soluzioni). “I data center rappresentano la spina dorsale di questa strategia e dei servizi di sicurezza che eroghiamo”, ha sottolineato Neumarker.
Cybersecurity localizzata con una dimensione etica
L’approccio alla cybersecurity nel 2024-2025 evidenzia una crescente enfasi sulla dimensione etica e sulla localizzazione delle strategie di cybersecurity per il contesto italiano, distanziandosi dall’adozione acritica di modelli multinazionali. Come ha sottolineato Alessandro Fontana, “non si può pensare di applicare le strategie delle multinazionali. Noi siamo in Italia, bisogna applicare quello che serve fare qui in Italia”. L’analisi del panorama nazionale ha rivelato una particolare vulnerabilità nell’ambito delle truffe digitali potenziate dall’intelligenza artificiale, con un focus specifico sulle categorie più vulnerabili.
Le priorità strategiche per il 2025 si articolano su due assi principali: “la prossimità territoriale, per la quale stiamo assumendo, soprattutto investendo nei giovani così da avere le persone nel territorio, e il supporto delle agenzie governative e della pubblica amministrazione”.
L’approccio implementativo prevede un’intensa attività di divulgazione attraverso il coinvolgimento di solution architect e specialisti del settore in programmi educativi presso università e scuole. “Questa strategia mira a incrementare la consapevolezza cyber nella popolazione, bilanciando obiettivi commerciali con responsabilità sociale e sviluppo sostenibile del sistema Paese”, ha concluso Fontana.