Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

scenari

IA agentica e sicurezza informatica: come cambia il conflitto cyber

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

L’intelligenza artificiale ha trasformato il cyberspazio in un dominio di attacco continuo, dove agenti autonomi accelerano intrusioni, disinformazione e spionaggio. La difesa non passa più solo dai perimetri tecnici, ma da resilienza, sicurezza cognitiva e supervisione umana

Pubblicato il 30 mar 2026
Francesco Borgese

Ufficiale Esercito italiano

agentic ai agenti ai in azienda etica dell'IA agentica AI agentica business operations AI agentica nei servizi finanziari
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

L’evoluzione dell’IA da strumento di supporto in attore strategico autonomo sta ridefinendo la dottrina operativa per le agenzie di intelligence e i gruppi di Advanced Persistent Threat.

Cybersecurity degli agenti AI: rischi reali e difese pratiche per le aziende

Se in precedenza l’IA veniva impiegata per compiti circoscritti, come la rifinitura del codice malevolo o la correzione delle esche di phishing, oggi assistiamo alla nascita di un ecosistema di attacco in cui agenti autonomi orchestrano l’intero ciclo di vita dell’intrusione, dalla ricognizione iniziale all’esfiltrazione finale dei dati, con una supervisione umana minima. Il focus si è spostato sulla capacità dell’IA generativa di agire come moltiplicatore di forza, permettendo di saturare le difese cognitive umane attraverso campagne di disinformazione iper-realistiche e di abbattere i tempi di compromissione tecnica da giorni a manciate di minuti.

L’emergere della cosiddetta IA agentica ha introdotto sistemi capaci di ragionamento, pianificazione e adattamento iterativo su flussi di lavoro a lungo termine. A differenza dei modelli generativi tradizionali, che sono reattivi e basati su singoli prompt, gli agenti IA offensivi integrano memoria persistente, capacità di utilizzo di strumenti esterni e cicli di decisione autonomi. Questa transizione è guidata dalla necessità di superare architetture di sicurezza statiche e basate sul perimetro, che faticano a contrastare manovre che avvengono alla velocità del silicio.

Come cambia l’attacco con l’IA

L’architettura dei moderni attacchi orchestrati dall’IA si basa sulla decomposizione di obiettivi complessi in sotto-compiti tecnici eseguiti da agenti specializzati. Un caso emblematico, documentato nel tardo 2025, riguarda il gruppo di spionaggio cinese designato come GTG-1002, che ha utilizzato il tool agentico Claude Code per condurre intrusioni su larga scala contro circa 30 organizzazioni. In questa operazione, l’IA ha eseguito circa l’80-90% delle attività tattiche in modo indipendente, mentre gli operatori umani mantenevano un ruolo di supervisione strategica, intervenendo solo per approvare passaggi critici come la progressione dalla ricognizione allo sfruttamento attivo.

La struttura operativa di questi agenti offensivi prevede l’integrazione nativa con browser headless, terminali di shell e interpreti di codice all’interno di ambienti sandbox.

Attraverso protocolli come il Model Context Protocol, gli agenti possono comunicare tra loro e con i sistemi target in modo coordinato e furtivo. La capacità di mantenere lo stato dell’attacco e di ragionare ricorsivamente sui feedback ricevuti permette, ad esempio, di estrarre schemi di database tramite attacchi SQL blind che richiedono medie di 44 chiamate a funzioni, un livello di persistenza contestuale che solo i modelli di frontiera più avanzati riescono a garantire.

IA agentica e collasso dei tempi operativi

L’integrazione dell’IA ha portato a un collasso dei cicli temporali tradizionali. La fase di breakout, ovvero il tempo necessario a un attaccante per iniziare i movimenti laterali dopo l’accesso iniziale, ha raggiunto minimi storici.

I dati del 2025 indicano che il tempo medio di breakout è sceso a soli 29 minuti, con casi estremi in cui l’intrusione si è propagata in soli 27 secondi. Questa velocità è resa possibile dall’automazione della ricerca di vulnerabilità: i sistemi IA possono ora convertire informazioni appena pubblicate su difetti software (CVE) in exploit funzionanti in un arco temporale di 10-15 minuti, a un costo operativo stimato di circa un dollaro per exploit.

L’efficienza di questi sistemi è misurabile non solo nella velocità, ma anche nella capacità di elaborazione parallela. Mentre un esperto umano di penetration testing può testare circa 50 potenziali vulnerabilità al giorno, un agente IA è in grado di effettuarne 50.000 all’ora, scalando orizzontalmente su molteplici bersagli con costi marginali prossimi allo zero. Questo fenomeno, definito Cyber Threat Inflation, sta saturando i Security Operations Center globali, portando a una situazione in cui le difese manuali e umane risultano strutturalmente inadeguate.

Le operazioni cognitive nell’era delle minacce sintetiche

Parallelamente all’automazione tecnica, l’IA ha inaugurato una nuova era di operazioni psicologiche che prendono di mira direttamente la percezione e i processi decisionali umani. La minaccia è sintetizzata nella triade 3D-Sec: deepfake, deception e disinformation. L’obiettivo primario di queste campagne non è più solo la persuasione ideologica, ma la creazione di uno stato di caos epistemico che mini la fiducia nelle istituzioni democratiche e destabilizzi l’ordine sociale.

Deepfake, caos epistemico e perdita di fiducia

La tecnologia deepfake ha raggiunto livelli di sofisticazione tali da rendere obsoleti i tradizionali metodi di verifica visiva e auditiva. Tra il 2023 e il 2024, sono stati identificati deepfake di figure pubbliche in 38 paesi, con una forte concentrazione in nazioni interessate da cicli elettorali. Queste contraffazioni non si limitano a immagini statiche, ma includono video iperrealistici e cloni vocali capaci di ingannare anche i sistemi di autenticazione biometrica.

Un aspetto particolarmente insidioso è il cosiddetto liar’s dividend: la semplice consapevolezza dell’esistenza dei deepfake porta il pubblico a dubitare della veridicità di contenuti autentici, erodendo la base stessa del discorso razionale. Le agenzie di intelligence ostili sfruttano questa vulnerabilità per:

  • Impersonificazione di leader: creazione di ordini militari falsi o dichiarazioni di capitolazione durante i conflitti, come osservato nelle tensioni tra India e Pakistan e nel conflitto russo-ucraino.
  • Manipolazione dei mercati: diffusione di video sintetici di CEO che annunciano risultati finanziari disastrosi o dimissioni improvvise per influenzare i prezzi delle azioni.
  • Interferenza elettorale: distribuzione di audio falsi, come quelli che hanno coinvolto il Primo Ministro del Regno Unito Keir Starmer o candidati a Taiwan, volti a screditare gli avversari poco prima del voto.

Botnet conversazionali e influenza personalizzata

L’evoluzione delle botnet verso modelli basati su LLM ha trasformato la propaganda automatizzata in una conversazione personalizzata su larga scala. Le botnet moderne integrano moduli di comportamento umano-simile che riducono le discrepanze rilevabili dai sistemi di analisi comportamentale. Utilizzando tecniche di apprendimento per rinforzo, queste reti di bot possono ottimizzare dinamicamente le proprie strategie di influenza basandosi sulle reazioni emotive degli utenti.

Questi agenti conversazionali operano attraverso:

  • Adattamento in tempo reale: utilizzo dell’analisi del sentiment per rilevare scetticismo nel bersaglio e regolare il tono (empatia, urgenza, autorità) per massimizzare la persuasione.
  • Infiltrazione negli “In-Group”: i bot si mascherano da membri di comunità locali, utilizzando slang specifico e riferimenti culturali per apparire più credibili e bypassare le difese cognitive contro la propaganda straniera.
  • Saturazione dello spazio informativo: creazione dell’illusione di un consenso diffuso su narrazioni false, forzando gli utenti reali a fare affidamento su scorciatoie cognitive a causa dell’eccesso di stimoli.

Analisi intelligence: overview sulle strategie delle APT nazione-stato

Le minacce persistenti avanzate collegate a nazioni ostili hanno integrato l’IA come elemento centrale delle loro operazioni di spionaggio e destabilizzazione. L’analisi dei pattern di attacco nel 2024 rivela una specializzazione geografica nelle metodologie di weaponization dell’IA.

Le direttrici operative di Cina, Russia, Iran e Corea del Nord

Le operazioni cinesi hanno mostrato un livello di maturità tecnica senza precedenti nell’uso di agenti IA per intrusioni silenziose e persistenti. Gruppi come Volt Typhoon e Salt Typhoon sono stati osservati mentre integravano l’IA per mappare le topologie di rete interne e identificare sistemi ad alto valore, come database e piattaforme di orchestrazione dei flussi di lavoro. La strategia cinese si concentra sulla catena di approvvigionamento software, utilizzando l’IA per identificare vulnerabilità negli asset periferici della rete e sfruttare connessioni fidate per movimenti laterali rapidi. Nel 2025, l’attività legata alla Cina è aumentata del 150% in media in tutti i settori, con picchi del 200-300% in industrie strategiche come la logistica e la difesa. Un dato critico è che nel 67% degli attacchi condotti da attori cinesi, l’accesso al sistema è stato immediato grazie allo sfruttamento di vulnerabilità note ma non ancora patchate, accelerate dalla scansione IA.

La Russia continua a privilegiare l’uso dell’IA per la guerra informativa e la proiezione di influenza. Le operazioni russe sono caratterizzate dall’uso di vaste reti di domini contraffatti, identificate tramite tecnologie di domain intelligence, per eludere le sanzioni e mantenere una presenza online costante. L’IA viene impiegata per generare narrazioni dirompenti che sfruttano le fratture politiche esistenti nelle società occidentali, come osservato durante le elezioni statunitensi ed europee.

L’Iran ha adottato l’IA per scalare le proprie operazioni di influenza cibernetica, concentrandosi sulla creazione di articoli a lungo termine e commenti sui social media volti a influenzare l’opinione pubblica globale su conflitti regionali. Parallelamente, attori iraniani hanno preso di mira aziende di logistica in Europa e nel Golfo Persico, probabilmente in preparazione di azioni volte a interrompere il traffico commerciale.

Il regime di Pyongyang ha utilizzato l’IA generativa per rivoluzionare le proprie operazioni di generazione di valuta. Il gruppo Famous Chollima ha creato migliaia di profili LinkedIn sintetici con background credibili e immagini generate dall’IA per infiltrare lavoratori IT nordcoreani in aziende tecnologiche occidentali. Questi insider non solo generano entrate dirette per il regime, ma forniscono punti di accesso privilegiati per future operazioni di spionaggio o furto di criptovalute, con un aumento del 220% delle organizzazioni infiltrate in un solo anno.

La filiera criminale dell’IA offensiva e del MaaS

L’IA ha radicalmente abbassato le barriere all’entrata per il crimine informatico sofisticato, portando a una democratizzazione di capacità precedentemente limitate ad attori statali. Il modello cybercrime-as-a-service si è evoluto includendo strumenti di IA generativa progettati specificamente per scopi malevoli.

L’economia del dark web è ora alimentata da bot gestiti dall’IA che automatizzano la raccolta di credenziali e token di sessione. Gli access broker vendono ingressi a migliaia di organizzazioni, con un aumento del 50% negli annunci di vendita di accessi nel 2024. Gli infostealer come Lumma Stealer giocano un ruolo centrale, raccogliendo dati sensibili da browser e portafogli di criptovalute che vengono poi processati tramite IA per identificare i bersagli più redditizi.

L’efficacia del phishing IA è dimostrata dai tassi di conversione: le esche generate da modelli come FraudGPT raggiungono una probabilità di successo del 60%, quasi cinque volte superiore alle campagne tradizionali. Questo successo è dovuto alla capacità dell’IA di analizzare enormi volumi di dati pubblici per creare messaggi altamente personalizzati che sfruttano leve psicologiche come l’autorità, l’urgenza e la familiarità.

IA agentica nella sicurezza informatica aziendale e nuove vulnerabilità

L’adozione accelerata dell’IA all’interno delle architetture aziendali ha introdotto una nuova superficie di attacco specifica, che colpisce lo strato logico e di orchestrazione dei modelli. Le vulnerabilità non risiedono più solo nel codice del sistema operativo, ma nel modo in cui l’IA elabora e integra le informazioni.

Prompt injection, RAG poisoning e framework esposti

Il prompt injection rimane il vettore più accessibile per forzare i sistemi IA a violare le proprie linee guida di sicurezza, rivelare istruzioni di sistema riservate o esfiltrare dati di addestramento. Più preoccupante è l’avvelenamento dei dati, che mira a inquinare le pipeline di addestramento o i database di Retrieval-Augmented Generation. È stato dimostrato che l’inserimento di soli cinque documenti avvelenati in un database RAG può manipolare le risposte del modello nel 90% dei casi.

Framework ampiamente utilizzati come LangChain e Langflow sono stati oggetto di gravi vulnerabilità nel 2025. La falla CVE-2025-68664, con un punteggio CVSS di 9.3, ha evidenziato come le pipeline di serializzazione dei dati non fossero progettate per gestire input avversari, permettendo l’estrazione di chiavi API e credenziali cloud tramite prompt injection indiretta. Allo stesso modo, vulnerabilità che permettono l’esecuzione di codice remoto non autenticato in strumenti come Langflow sono state documentate e attivamente sfruttate.

Il rischio delle identità privilegiate degli agenti

Gli agenti IA in ambiente di produzione spesso operano con identità privilegiate che fondono molteplici contesti di autenticazione per accedere a CRM, database e sistemi e-mail. La compromissione di un singolo token di sessione di un agente IA può fornire a un attaccante un accesso onnipotente a interi ecosistemi SaaS, rendendo i movimenti laterali quasi impossibili da rilevare tramite controlli perimetrali tradizionali.

Strategie di difesa proattiva e sicurezza cognitiva

In risposta a minacce che operano a velocità di macchina, le organizzazioni stanno adottando modelli di difesa basati sulla cyber resilience e sulla protezione dei processi cognitivi. L’approccio si sta spostando dalla prevenzione statica alla capacità di assorbire l’impatto, mantenere le funzioni critiche e apprendere dagli attacchi in tempo reale.

Le moderne pipeline di rilevamento delle minacce utilizzano modelli di deep learning ibridi per automatizzare la generazione e la validazione delle ipotesi di attacco. L’integrazione di Graph Neural Networks e modelli Transformer (come BERT) permette di analizzare le relazioni a lungo raggio nei flussi di rete e identificare anomalie sottili che sfuggono ai sistemi basati su firme.

Questi sistemi offrono diversi vantaggi tecnici:

  • Rilevamento zero-shot: capacità di identificare vettori di attacco mai visti prima senza la necessità di riaddestrare il modello su dataset etichettati.
  • Bassa latenza: operatività con latenze di soli 45ms, fondamentali per intervenire prima che un breakout automatizzato si concluda.

Trasparenza (XAI): utilizzo di tecniche come SHAP e LIME per rendere comprensibili le decisioni dell’IA ai difensori umani, riducendo l’affaticamento da allarmi.

La sicurezza cognitiva come risposta sistemica

La protezione della mente umana dalla manipolazione esterna è diventata una priorità per la difesa nazionale e aziendale. La sicurezza cognitiva si articola su tre livelli operativi definiti nei recenti rapporti NATO:

1. Livello psicologico: rafforzamento della resilienza individuale tramite programmi di formazione che espongono gli utenti a simulazioni di phishing IA, aumentando l’accuratezza del rilevamento del 33%.

2. Livello sociale: protezione della coesione di gruppo e dei fatti condivisi tramite il monitoraggio delle narrazioni online e l’identificazione di inauthentic behavior coordinato tramite IA.

3. Livello tecnico: adozione di standard come C2PA (Coalition for Content Provenance and Authenticity) per creare una catena di custodia digitale per i media, permettendo di verificare l’origine e la storia delle modifiche di ogni asset digitale.

Zero Trust esteso a persone, processi e agenti

Il concetto di Zero Trust deve evolvere per includere non solo i dispositivi e gli utenti, ma anche i flussi di lavoro agentici e le interazioni umane. Le organizzazioni stanno implementando:

  • Privilegio minimo per gli agenti: restrizione delle autorizzazioni degli agenti IA ai soli domini di dati necessari per la loro funzione specifica.
  • Protocolli di verifica fuori banda: utilizzo di canali non digitali o pre-concordati (come password segrete comunicate a voce) per autorizzare trasferimenti finanziari o modifiche di accesso critiche avviate tramite richieste IA.
  • Audit log immutabili: registrazione di ogni azione intrapresa da un agente IA, inclusa la decisione di autorizzazione e la politica applicata, per scopi forensi e di conformità.

IA agentica e futuro del conflitto nel cyberspazio

L’adozione massiccia dell’IA sta creando un ambiente operativo caratterizzato da una pressione costante e diversificata, in cui il confine tra spionaggio, preparazione del campo di battaglia e attacco distruttivo diventa sempre più labile. Il rischio di escalation involontarie tra stati nazione aumenta, poiché l’attribuzione degli attacchi diventa più complessa a causa dell’intermediazione dell’IA e dell’uso di modelli open-source da parte di molteplici attori.

Nonostante i vantaggi difensivi dell’IA, persiste un’asimmetria fondamentale: l’attaccante può permettersi migliaia di tentativi falliti con costi minimi, mentre per il difensore un singolo errore di classificazione di un incidente critico da parte di un’IA può portare a conseguenze catastrofiche. Inoltre, le organizzazioni che non integrano l’automazione IA nelle loro operazioni di sicurezza diventano bersagli prioritari, poiché la velocità delle intrusioni automatizzate supera la capacità di reazione umana.

L’IA ha trasformato il cyberspazio in un dominio dominato da agenti autonomi in continua evoluzione. La sopravvivenza delle istituzioni democratiche e delle infrastrutture critiche in questa nuova era dipenderà dalla capacità di dispiegare agenti buoni, allineati, supervisionati e integrati in architetture resilienti, capaci di contestare quelli ostili alla velocità del silicio. Il giudizio umano rimarrà l’ultimo firewall, ma dovrà essere supportato da una nuova igiene di sicurezza cognitiva e da tecnologie di provenienza dei dati che permettano di ricostruire la verità in un mare di falsificazioni sintetiche.

L’IA non è più una tecnologia del futuro, ma l’arma presente che sta già riscrivendo le regole del potere globale. Ignorare questa realtà significa accettare la sconfitta nel dominio più critico del XXI secolo.

Bibliografia

AI-Enabled Cyberspace Operations – The Defence Horizon Journal, https://tdhj.org/blog/post/ai-cyberspace-operations/

Full article: The New Cyber Attack Surface – Taylor & Francis, https://www.tandfonline.com/doi/full/10.1080/00396338.2026.2620282

Disrupting the first reported AI-orchestrated cyber espionage campaign, https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf

A Survey of Agentic AI and Cybersecurity: Challenges, Opportunities and Use-case Prototypes, https://arxiv.org/html/2601.05293v1

AI Cyber Threat Statistics: The 2025 Landscape of AI-Powered Cyberattacks, https://thenetworkinstallers.com/blog/ai-cyber-threat-statistics/

AI-driven cyberattacks now breach systems in 72 minutes, study finds – BusinessWorld, https://www.bworldonline.com/technology/2026/02/23/732306/ai-driven-cyberattacks-now-breach-systems-in-72-minutes-study-finds/

Autonomous LLM Offensive Attacks – Emergent Mind, https://www.emergentmind.com/topics/autonomous-llm-driven-offensive-attacks

Agentic AI for Cyber Resilience: A New Security Paradigm and Its System-Theoretic Foundations, https://arxiv.org/html/2512.22883

The dawn of AI-orchestrated cyberattacks: A call to action for cyber defense – PwC, https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/ai-orchestrated-cyberattacks.html

2025: The Year AI Security Became Non-Negotiable – Acuvity, https://acuvity.ai/2025-the-year-ai-security-became-non-negotiable/

Hiding in the AI Traffic: Abusing MCP for LLM-Powered Agentic Red Teaming, https://arxiv.org/html/2511.15998v1

How Attackers Target AI Systems | OffSec, https://www.offsec.com/blog/thinking-like-an-attacker-how-attackers-target-ai-systems/

2025 GLOBAL THREAT REPORT – Virginia Fusion Center, https://fusion.vsp.virginia.gov/wp-content/uploads/2025/07/CrowdStrikeGlobalThreatReport2025.pdf

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Francesco Borgese
Ufficiale Esercito italiano
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Gestione del rischio proattiva; G·row ai e 231 valutazione del rischio

  • l'analisi

    Valutazione del rischio: così cambia tra GDPR, NIS2 e AI Act

    23 Gen 2026

    di Daniele De Angelis

    Condividi
  • riconoscimento facciale riconoscimento facciale e sicurezza pubblica

  • tecnologie e libertà

    Riconoscimento facciale e Stato di diritto: il confine più fragile

    23 Mar 2026

    di Enrica Priolo

    Condividi
  • misure sicurezza base nis 2 Relazione ACN 2024 cybersecurity aziende europee Fondi UE per la cybersecurity compliance NIS2 GDPR 231; Misure ACN Piano cyber italiano

  • cybersecurity

    NIS2 nel manifatturiero: obblighi, rischi e responsabilità dei manager

    13 Mar 2026

    di Marco Armoni

    Condividi
0
Lascia un commento, la tua opinione conta.x