L’avanzata delle nuove tecnologie digitali ha trasformato la cybersicurezza in una delle sfide più cruciali per aziende e istituzioni.

L’uso di AI e machine learning nella cyber security solleva interrogativi profondi: strumenti capaci di potenziare la difesa digitale o nuove armi nelle mani dei criminali informatici? A chiarire i termini della questione è stata Lina Novetti, responsabile della divisione Cyber Security Awareness di Shot, nel podcast Pillole di Cybersicurezza, che ha analizzato l’impatto di queste tecnologie sul panorama europeo e italiano.

Oltre i modelli tradizionali: l’urgenza di sistemi predittivi

Per anni la sicurezza informatica si è fondata su approcci reattivi, basati su regole predefinite.

Secondo Novetti, questo modello non è più sufficiente: «La crescente complessità e l’evoluzione camaleontica delle minacce odierne rendono i sistemi tradizionali obsoleti». Le tecniche di rilevazione su liste fisse di elementi indesiderati non riescono a stare al passo con la rapidità di mutazione degli attacchi.

L’introduzione dell’intelligenza artificiale consente un salto di qualità. L’AI non si limita a reagire, ma apprende dai dati e anticipa i rischi, individuando anche comportamenti non classificati in precedenza.

Questo significa maggiore capacità di intercettare malware sconosciuti, attacchi zero-day e phishing di nuova generazione, con un livello di accuratezza impossibile da raggiungere per un operatore umano.

La forza dell’AI nella difesa digitale

Nel podcast viene sottolineato come i sistemi AI analizzino miliardi di log e flussi di rete in tempi rapidissimi, apprendendo il comportamento normale di una rete o di un utente e segnalando anche le deviazioni più lievi.

L’applicazione concreta riguarda soprattutto i Security Operation Center (SOC una funzione o un team centralizzato in grado di monitorare l’infrastruttura IT di un’azienda, al fine di prevenire, rilevare, analizzare e rispondere alle cyber minacce), dove l’obiettivo è ridurre il rumore di fondo e automatizzare la prioritizzazione degli allarmi.

«In Italia e in Europa, numerose organizzazioni, dalle grandi istituzioni finanziarie alle Pmi, stanno già implementando soluzioni basate sull’AI nei propri SOC» ha ricordato Novetti.

Oltre alla rilevazione, l’AI trova impiego nella risposta automatizzata agli incidenti. È possibile isolare dispositivi infetti, bloccare indirizzi IP malevoli o disabilitare account compromessi, riducendo drasticamente i tempi di reazione. In Europa stanno emergendo startup che sviluppano piattaforme di Security Orchestration Automation Response (SOAR), capaci di integrare diversi strumenti e orchestrare risposte complesse come direttori d’orchestra digitali della sicurezza aziendale.

L’altra faccia della medaglia: AI come arma offensiva

L’intelligenza artificiale non è appannaggio esclusivo dei difensori. «I criminali informatici la stanno attivamente integrando nelle loro operazioni» ha sottolineato Novetti.

Un esempio citato è il ransomware di nuova generazione, in grado di apprendere il comportamento delle vittime per identificare il momento di massima vulnerabilità al pagamento.

Questo tipo di software malevolo può adattarsi dinamicamente alle difese, aggirandole in tempo reale.

L’AI è anche la tecnologia abilitante dietro fenomeni già noti come deepfake e voice cloning. Email indistinguibili da quelle legittime, contenuti testuali che imitano lo stile di un CEO, telefonate in cui una voce clonata ordina un bonifico urgente: lo spettro delle minacce diventa sempre più difficile da riconoscere.

Inoltre, l’automazione permette agli attaccanti di eseguire scansioni massive delle vulnerabilità e generare varianti di malware in modo autonomo, eludendo le firme tradizionali di riconoscimento.

Le sfide emergenti: bias, guerra algoritmica e regolamentazione

Uno dei punti critici riguarda la qualità dei dati. «I sistemi AI apprendono dai dati. Se i dati sono viziati o distorti, l’AI potrebbe produrre risultati imprecisi o discriminatori» ha osservato Novetti. Nel campo della cybersicurezza ciò può tradursi in falsi positivi che appesantiscono le operazioni o, peggio, in mancate rilevazioni di minacce reali.

A questo si aggiunge la cosiddetta “guerra degli algoritmi”, una corsa agli armamenti digitali dove le AI difensive vengono sfidate da AI offensive, in un ciclo di innovazione continua.

Il tema della regolamentazione è altrettanto centrale. L’Europa, con l’AI Act (la normativa sull’uso dell’intelligenza artificiale approvata lo scorso anno dall’Unione europea, che stabilisce regole dettagliate per lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di AI), si posiziona come apripista nella definizione di regole che bilancino innovazione e tutela dei diritti fondamentali.

Rimane aperta la questione della sua applicazione a un settore dinamico come la sicurezza informatica, dove l’evoluzione delle minacce non conosce tempi burocratici.

Privacy ed etica: il lato oscuro dell’analisi dei dati

Per funzionare, l’intelligenza artificiale deve processare enormi quantità di dati, spesso anche personali. Da qui nasce un dilemma cruciale: come garantire la privacy dei cittadini mentre si sviluppano sistemi capaci di riconoscere minacce sempre più sofisticate? La riflessione di Novetti mette in evidenza il rischio che la protezione della sicurezza digitale possa entrare in tensione con la salvaguardia delle libertà individuali.

L’AI non sostituirà gli esperti umani

Nonostante la crescente centralità delle macchine, il podcast ribadisce che l’AI non è destinata a rimpiazzare i professionisti della sicurezza. «L’AI non sostituirà gli esperti di cybersicurezza, ma ne amplificherà le capacità» afferma Novetti.

Le attività ripetitive e di analisi di routine potranno essere gestite dall’automazione, mentre agli esseri umani resteranno la definizione delle strategie, la risoluzione di problemi complessi, l’analisi forense avanzata e l’adattamento a scenari di attacco inediti. Creatività e pensiero critico rimangono insostituibili.

Le indicazioni pratiche per le PMI

La riflessione su AI e machine learning (attraverso l’uso di algoritmi, i sistemi di ML sono in grado di migliorare le proprie prestazioni e la propria capacità decisionale man mano aumenta l’esposizione a dati sempre più ampi e diversificati) nella cyber security si chiude con alcune raccomandazioni per le imprese più piccole, che spesso percepiscono l’adozione dell’AI come un processo troppo oneroso.

Secondo Novetti, le PMI dovrebbero «investire in soluzioni AI-driven accessibili», senza necessariamente svilupparle in casa.

Altrettanto fondamentale è la formazione continua del personale. Infatti l’anello umano resta il punto più vulnerabile.

Tra le strategie suggerite ci sono la collaborazione con Managed Security Service Provider che utilizzano AI nei loro SOC, l’adozione di un approccio a strati che combini diverse misure difensive e l’aggiornamento costante sulle nuove minacce e contromisure.