Il panorama della sicurezza informatica è mutato radicalmente: non siamo più di fronte a semplici tentativi di intrusione, ma a una vera e propria guerra di logoramento asimmetrica.
Indice degli argomenti
La guerra asimmetrica della sicurezza informatica moderna
In questo scenario, le minacce evolvono a una velocità che supera la capacità di reazione umana, trasformando la protezione del tessuto produttivo in una sfida di sopravvivenza strategica. Le aziende IT oggi non sono più semplici fornitori, ma guardiani di una “resilienza cognitiva” che deve trasformare la difesa da passiva a predittiva attraverso l’uso etico e positivo dell’Intelligenza Artificiale.
Secondo il Global Cybersecurity Outlook 2025 del World Economic Forum, questa complessità sta alimentando una preoccupante “cyber iniquità”. Mentre le grandi organizzazioni migliorano la propria postura, il 71% dei leader della sicurezza ritiene che le piccole imprese abbiano ormai raggiunto un punto critico oltre il quale non possono più proteggersi da sole contro minacce sempre più sofisticate.
Il divario di resilienza tra grandi aziende e PMI
I dati evidenziano un divario crescente: il 35% delle piccole organizzazioni giudica la propria resilienza insufficiente (una quota aumentata di sette volte dal 2022), contro appena il 5% delle grandi aziende. Ad aggravare la situazione è lo skills gap: la carenza di talenti è cresciuta dell’8% rispetto all’anno precedente, e oggi due organizzazioni su tre segnalano lacune da moderate a critiche nelle competenze necessarie per difendersi.
Questi indicatori riflettono in parte quanto rileviamo sul mercato del Triveneto: 3 PMI su 4 che incontriamo non hanno un Business Continuity Plan definito, mantenuto e manutenuto: i backup vengono fatti, ma è piuttosto raro trovare un’organizzazione che li testi periodicamente e valuti i tempi effettivi di ripristino rispetto all’RTO, ovvero il tempo di inattività massimo consentito dopo un’interruzione prima di causare danni irreparabili all’intera organizzazione. Senza poi parlare delle organizzazioni che implementino air gapping, che sia logico e fisico, per tutelare davvero le copie di dati dalla cifratura malevola da parte degli attaccanti.
L’evoluzione dell’intelligenza artificiale nella sicurezza IT
Gli ultimi anni hanno visto un aumento esponenziale della consapevolezza da parte del grande pubblico professionale degli strumenti di intelligenza artificiale generativa (detta anche GenAI) e della Intelligent Process Automation (detta anche IPA) spinta dal gran successo della società OpenAI, tuttavia l’adozione di sistemi “intelligenti” con caratteristiche tecnologiche simili a quelle degli strumenti che oramai conosciamo tutti molto bene è qualcosa che è nato molto, molto prima.
Negli anni ’90 le reti neurali venivano già usate per la Fault Detection: l’IA non seguiva più solo regole scritte come un qualunque algoritmo, ma iniziava a riconoscere “firme” di guasto analizzando il rumore nei dati di rete. Poi, a partire dal 2015, abbiamo iniziato a parlare di AIOps (Artificial Intelligence for IT Operations). La differenza fondamentale, addirittura epocale, è data dall’uso dei Big data e del Machine Learning non supervisionato: non è più necessario scrivere regole a mano, Il sistema ingerisce terabyte di log e metriche e impara da solo cosa è “normale” (baseline) e cosa è un’anomalia.
Quando l’AI diventa arma: l’accessibilità delle minacce
Questa evoluzione della tecnologia, che permette di individuare e risolvere in tempi relativamente brevi situazioni potenzialmente critiche, ha come sempre i suoi lati negativi. L’accessibilità di questi strumenti e i requisiti minimi per accedervi ha reso molto più facile sferrare attacchi nei confronti di privati e aziende. Basta chiedere ad un qualsiasi LLM con la giusta persuasività. Con pochi prompt è possibile comprendere i più comuni pattern di attacco, preparare testi convincenti e scrivere qualche semplice script. Il tutto senza competenze approfondite di IT. Ma anche i gruppi di attacchi più pericolosi ne beneficiano. Ad esempio, un attacco DDOS, attacco che mira a rendere un servizio online (sito web, server, rete) indisponibile sovraccaricandolo con una quantità enorme di traffico proveniente da più fonti, oggi viene “offerto” nel dark web anche in modalità “as-a-Service”: a fronte di un pagamento in criptovalute, i gruppi di hacker attaccano un obiettivo.
Ma cosa c’entra con l’AI? Questi gruppi hanno reso monetizzabile un attacco che un tempo aveva principalmente scopi di taglio politico: l’intelligenza artificiale consente agli aggressori di rilevare rapidamente le vulnerabilità nella protezione DDoS di un’organizzazione, semplificando l’aggiramento delle difese e l’interruzione dei servizi essenziali.
Attacchi DDoS potenziati: l’Italia nel mirino globale
Inoltre, l’AI consente un migliore coordinamento delle tempistiche degli attacchi e l’utilizzo di più vettori di attacco, per consentire ai criminali informatici di lanciare campagne DDoS altamente efficaci, della durata di più giorni o addirittura di più settimane. Il risultato?
Gli attacchi globali sono aumentati di circa il 40% anno su anno e solo l’Italia, secondo i dati diffusi da CSIRT, ha subito circa il 10-11% degli attacchi mondiali. Questi numeri, per quanto rappresentino una frazione della realtà, delineano uno scenario piuttosto chiaro: siamo entrati nell’era dell’automazione del conflitto, una vera “corsa agli armamenti” tecnologica.
La superintelligenza difensiva: teoria dei giochi contro il cyber crimine
Da un lato, i cybercriminali sfruttano i Large Language Models (LLM) per industrializzare le estorsioni, creando campagne di phishing multilingue impeccabili e accelerando la ricognizione delle vulnerabilità. Dall’altro, la difesa sta adottando un approccio da “scacchista”.
La nuova frontiera è la “superintelligenza della cybersecurity”, dove sistemi come il Generative Cut-the-Rope (G-CTR) utilizzano la Teoria dei Giochi per prevedere le mosse degli attaccanti attraverso calcoli di equilibri di Nash su gradi d’attacco. Questo permette di creare agenti “Purple”, che superano di gran lunga le prestazioni umane, riducendo le allucinazioni del sistema e ancorando l’AI alle parti più rilevanti dell’ambiente operativo.
Democratizzare la cybersecurity per le PMI italiane
In questa escalation tecnologica, come possono le piccole e medie imprese trovare un equilibrio? La missione “sociale” delle aziende IT in virtù di quanto già menzionato sopra, è democratizzare la cybersecurity, specialmente per le PMI italiane, che spesso si trovano a un “punto critico” in cui non possono più proteggersi da sole. La Governance IT sta cambiando: l’AI (attraverso Machine Learning e Robotic Process Automation) permette di automatizzare la conformità normativa e la gestione dei rischi, trasformando processi manuali lenti e costosi in meccanismi proattivi e accurati.
Anche il ruolo del CISO (Chief Information Security Officer) sta evolvendo: da tecnico esperto, sta progressivamente passando a partner strategico che deve tradurre il rischio cyber in impatto economico per il business. La governance non è più solo un insieme di controlli, ma una direzione consapevole che garantisce trasparenza, equità e responsabilità nelle decisioni prese anche dalle macchine.
Il fattore umano: formazione dinamica contro deepfake e phishing
Non dimentichiamoci però che al centro di tutto rimane la persona: l’essere umano rimane l’anello più vulnerabile, spesso bersagliato da deepfake sofisticati che replicano voce e video dei dirigenti. Tuttavia, i dipendenti possono essere galvanizzati attraverso un “allenamento funzionale” tecnologico. Non si tratta più di corsi annuali noiosi, ma di simulazioni di phishing frequenti e dinamiche che combattono la routine e addestrano alla “cultura del sospetto”.
Ad esempio, è funzionale erogare corsi di formazione per migliorare il grado di security awareness sui quali intervenire con variazioni di programma, frequenti simulazioni di attacchi di phishing e contenuti sempre aggiornati. Dalla nostra esperienza, questa metodologia è in grado di ridurre già nei primi mesi la percentuale di utenti soggetti a phishing di un 30% medio.
Firewall intelligenti: oltre la sicurezza basata su firme
Chiaramente, per difendersi dalle minacce, training e governance da sole arrivano ad un certo punto, specialmente davanti ad attacchi DDOS. In questa nuova “trincea digitale”, i sistemi di protezione tradizionali basati su regole statiche e firme predefinite stanno fallendo perché l’Intelligenza Artificiale è intrinsecamente adattiva e probabilistica, a differenza dell’approccio deterministico della sicurezza classica. I Firewall di Nuova Generazione (NGFW) potenziati dall’AI rappresentano il superamento del modello reattivo.
Questi sistemi non si limitano più a bloccare minacce già catalogate, ma eseguono un monitoraggio comportamentale continuo dell’intero ecosistema IT: sono in grado, infatti, di analizzare miliardi di eventi e punti dati in tempo reale, distinguendo tra attività normali e anomalie sospette che potrebbero indicare una violazione. Questa capacità è fondamentale per proteggere i dati in transito, poiché permette di identificare deviazioni sottili nel traffico di rete o schemi di accesso insoliti da parte degli utenti, spesso segnali di minacce “zero-day” ancora sconosciute.
Nuove vulnerabilità: data poisoning e attacchi ai modelli AI
Tuttavia, l’integrazione dell’AI nella difesa introduce una nuova superficie di attacco e rischi precedentemente inesistenti. Gli avversari hanno iniziato a colpire direttamente i modelli statistici attraverso tecniche come l’avvelenamento dei dati (data poisoning) e la manipolazione degli input (come il prompt injection).
Il data poisoning consiste nell’iniettare dati corrotti o falsificati nelle pipeline di addestramento per distorcere i risultati del modello, portandolo a ignorare traffico malevolo o a generare falsi positivi che paralizzano l’operatività. Poiché l’AI apprende ed evolve, un dataset compromesso può causare danni difficili da rilevare e ancora più difficili da contenere.
Security by Design: architetture sicure dall’origine
Per contrastare queste vulnerabilità, la sicurezza non può più essere un modulo aggiunto a posteriori, ma deve essere integrata “by design” lungo tutto il ciclo di vita dei dati. Questo approccio, definito “Security by Design“, richiede di ripensare l’architettura dei sistemi fin dalle fondamenta, applicando principi di gestione del rischio AI sin dalla fase di ingestione dei dati. È necessario stabilire “gate di sicurezza” tra le diverse fasi del ciclo di vita — dall’addestramento alla distribuzione, fino al monitoraggio post-rilascio — per garantire che solo modelli validati, spiegabili e conformi avanzino nella pipeline produttiva.
L’obiettivo della governance moderna è trasformare la resilienza da una reazione post-incidente a un asset strategico. Implementando controlli rigorosi come l’autenticazione granulare di ogni accesso ai dati (Zero Trust), la crittografia dei flussi e la tracciabilità completa delle decisioni dei modelli, le organizzazioni possono costruire una difesa che non solo resiste agli urti, ma si adatta attivamente per prevenirli. In questo contesto, la cybersecurity smette di essere un mero centro di costo per diventare un abilitatore di business, permettendo alle aziende di innovare con fiducia in un mercato globale sempre più dominato dall’intelligenza distribuita.
Sovranità del dato e convergenza IT-OT: le sfide future
Guardando al prossimo futuro, ci sono due temi che sentiamo particolarmente critici e sui quali si sta investendo ancora relativamente poco tempo e poche energie. Il primo è la Sovranità del Dato.
L’Europa si sta muovendo con regolamenti come l’EU AI Act e il Cyber Resilience Act per garantire che l’innovazione non avvenga a scapito della privacy e della sicurezza. Per le imprese, navigare in questo “puzzle regolatorio” è complesso ma essenziale per costruire fiducia e competitività. Il secondo tema è la convergenza tra IT (Information Technology) e OT (Operational Technology).
L’interconnessione dei sistemi industriali — dalle reti elettriche agli impianti idrici — sta includendo nella battaglia endpoint fisici oltre che digitali. Se un attacco IT colpisce i dati, un attacco OT può mettere a rischio la sicurezza fisica delle persone e l’integrità delle infrastrutture critiche. La sfida per chi opera nell’ICT è estendere la resilienza cognitiva anche a questi ambienti, utilizzando modelli di AI “leggeri” capaci di operare direttamente sui dispositivi periferici (Edge AI).
La sicurezza come fattore abilitante del business
La sfida per il futuro è chiara: trasformare la sicurezza da costo a fattore abilitante di fiducia e continuità del business. In questa nuova trincea digitale, l’uso etico dell’AI non è solo una scelta tecnologica, ma un dovere strategico per proteggere il cuore produttivo del nostro tessuto imprenditoriale e garantire una crescita sostenibile nell’era dell’intelligenza distribuita.
