Una corsa contro il tempo per il futuro digitale

Una corsa contro il tempo per il futuro digitale

Una corsa contro il tempo per il futuro digitale

Il panorama della sicurezza informatica ha varcato la soglia di una nuova era, definita da una variabile che sta riscrivendo le regole: la velocità. Fino a pochi anni fa, le strategie di difesa erano progettate per minacce che si sviluppavano seguendo tempi “umani”, lasciando quindi ai team di sicurezza delle organizzazioni pubbliche o private tempo sufficiente per analizzare avvisi e approvare interventi. Oggi, l’integrazione dell’intelligenza artificiale nelle operazioni offensive ha compresso questi tempi in pochi minuti o addirittura secondi, creando un divario di velocità (speed gap) che sta mettendo a rischio la difesa.

Secondo il report “When Cyberattacks Happen at AI Speed” di Booz Allen, nel 2025, il tempo medio di breakout dall’accesso iniziale alla possibilità di passare ad altri sistemi è sceso a meno di 30 minuti, con i casi più veloci misurati in secondi. Gli strumenti abilitati dall’AI ora automatizzano la ricognizione, generano exploit e scansionano migliaia di sistemi simultaneamente. Piccoli team – o anche operatori singoli – possono gestire campagne che un tempo richiedevano grandi gruppi coordinati di specialisti.

Nel 2026, le minacce abilitate dall’AI stanno superando le difese cibernetiche, creando rischi senza precedenti per la sicurezza nazionale e la stabilità economica. Gli agenti AI possono scansionare più bersagli, testare più opzioni e passare da una nuova idea a un’intrusione funzionante molto più velocemente rispetto agli operatori umani da solo. Le grandi imprese spesso gestiscono decine di migliaia di endpoint e carichi di lavoro, molto più di quanto i processi tradizionali di indagine e risposta possano monitorare in tempo reale. Gli incidenti possono iniziare prima che vengano distribuite le patch. Anche quando difensori e attaccanti vengono a conoscenza delle vulnerabilità contemporaneamente, gli attaccanti abilitati dall’AI possono sfruttarle nel giro di poche ore mentre i difensori stanno ancora determinando l’esposizione e implementando le correzioni.

Booz Allen

Le cause dell’accelerazione del cyber crime

L’intelligenza artificiale non è solo uno strumento aggiuntivo per i criminali informatici; è un moltiplicatore di capacità che trasforma radicalmente il modo in cui le intrusioni sono pianificate ed eseguite. Come dicevamo, uno dei dati più allarmanti riguarda il cosiddetto “breakout time”, ovvero il tempo che intercorre tra l’accesso iniziale a un sistema e la capacità dell’attaccante di muoversi lateralmente nella rete: nel 2025, questa finestra si è ridotta a una media di meno di 30 minuti, con casi estremi misurati in pochi secondi.

Booz Allen Report

Questa accelerazione è guidata da diversi fattori chiave:

  1. Agenti AI autonomi: si tratta di software capaci di eseguire compiti complessi e multi-fase con una guida umana minima. Questi agenti possono scansionare migliaia di sistemi, scegliere gli strumenti adatti e iterare le azioni fino al raggiungimento dell’obiettivo.
  2. Sviluppo rapido di malware: grazie ai modelli linguistici, il ciclo di creazione di exploit e codice malevolo è passato da settimane a poche ore. Piccoli team, o persino singoli operatori, possono ora lanciare campagne che un tempo richiedevano intere organizzazioni di specialisti.
  3. Industrializzazione degli exploit: Il costo per generare automaticamente un exploit per una vulnerabilità nota (CVE) è sceso a una media di soli 2,77 dollari. Strumenti come HexStrike AI hanno dimostrato di poter armare una vulnerabilità critica in meno di 10 minuti dalla sua scoperta pubblica.
  4. Frodi su scala industriale: L’IA permette di produrre esche di phishing e profili falsi estremamente convincenti, rendendo la social engineering efficace anche contro utenti addestrati.

Esempi concreti dimostrano la gravità della situazione: nel settembre 2025, un attacco autonomo condotto tramite il tool Claude Code ha colpito 30 bersagli globali con un intervento umano minimo. Nel luglio dello stesso anno, è stato rilasciato Villager, il primo framework di pentesting completamente autonomo di origine cinese, descritto come il successore “IA-native” di strumenti storici come Cobalt Strike.

Booz Allen Report

Il grande divario: orologi umani contro orologi artificiali

Il problema centrale è che la maggior parte delle difese attuali opera ancora su linee temporali umane. Mentre gli attaccanti agiscono in minuti, i difensori spesso impiegano ore per il triage, giorni per la bonifica e settimane per il patching. Quando il contenimento inizia ore dopo l’intrusione, l’attaccante ha già il controllo totale della situazione. Per colmare questo divario, le organizzazioni non possono più fare affidamento esclusivamente sulla prevenzione o su processi di approvazione manuali. È necessario un cambio di paradigma che porti la difesa alla stessa velocità dell’offesa.

I tre pilastri della difesa moderna

Secondo le analisi più recenti, una difesa efficace nell’era dell’IA si basa su tre decisioni strategiche fondamentali:

  1. Portare la difesa alla velocità dell’AI. Il contenimento iniziale non può attendere l’approvazione umana mentre un’intrusione è in corso. Le organizzazioni devono pre-approvare azioni automatizzate che scattino immediatamente quando le prove di attacco sono solide. Queste includono l’isolamento degli host compromessi, il blocco del traffico malevolo, la revoca di sessioni sospette e il congelamento di cambi di privilegio anomali.
  2. Proteggere le piattaforme AI come infrastrutture critiche. Le piattaforme di AI stanno diventando il nuovo “cuore” delle aziende, concentrando dati sensibili e flussi di lavoro operativi. Se compromesse, offrono agli attaccanti un accesso diretto ai sistemi vitali. È quindi essenziale stabilire standard di sicurezza vincolanti, adottare modelli Zero Trust e monitorare costantemente le interazioni tra gli agenti AI e i dati aziendali per prevenire manipolazioni o fughe di informazioni.
  3. Adottare il modello Human-AI teaming. La difesa non deve essere “solo umana” né “solo artificiale”, ma una collaborazione sinergica. In questo modello, gli agenti AI gestiscono i compiti ripetitivi e il triage degli avvisi in pochi secondi, operando alla velocità della macchina. Gli esperti umani, liberati dal lavoro di routine, possono concentrarsi su indagini complesse e sulla supervisione strategica, agendo come registi dell’operazione difensiva.

Gestire il rischio: automazione e controllo umano

L’automazione della difesa porta con sé una sfida inevitabile: i falsi positivi. Tuttavia, quando sono a rischio operazioni critiche, il compromesso pende a favore di un contenimento rapido rispetto alla certezza assoluta. Per gestire questo rischio operativo, la leadership deve accettare il cosiddetto “trade off della disruption”. Un’automazione sicura richiede però requisiti rigorosi:

  • Limiti e pre-approvazione: le azioni devono avvenire entro confini definiti e approvati dalla direzione.
  • Reversibilità (Rollback): ogni intervento automatizzato deve poter essere annullato rapidamente in caso di errore, minimizzando l’impatto sul business.
  • Osservabilità e Audit: i sistemi devono produrre log dettagliati per consentire revisioni post-incidente.
  • Autorità di Override: gli esseri umani devono mantenere il potere di intervenire e correggere le azioni dell’AI in qualsiasi momento, garantendo che l’ultima parola spetti sempre al giudizio umano.

Una gara che non ammette ritardi

La cybersecurity è diventata, oggi più che mai, una corsa contro il tempo. Gli attaccanti hanno già abbracciato la velocità dell’intelligenza artificiale, abbattendo le barriere all’ingresso per intrusioni sofisticate. I difensori che non modernizzeranno i propri sistemi per operare alla stessa velocità rischiano di rilevare i danni solo quando è ormai troppo tardi.

Il passaggio a un modello operativo abilitato dall’AI non è solo un aggiornamento tecnologico, ma una trasformazione culturale che richiede visione e assunzione di responsabilità da parte della leadership aziendale. Solo chi saprà integrare l’automazione con la supervisione umana potrà sperare di contenere le minacce all’interno della finestra operativa dell’attaccante, proteggendo efficacemente il proprio futuro digitale.

Accedi al Report “When Cyberattacks Happen at AI Speed” di Booz Allen

You Might Also Like