Resilienza e intelligenza artificiale: la frontiera della cybersecurity
L’intelligenza artificiale accelera difese e minacce: la resilienza diventa il nuovo obiettivo strategico della cybersecurity. Ecco come AI e automazione stanno cambiando la sicurezza informatica.
Negli ultimi anni, la cybersecurityha subito una trasformazione profonda, spostandosi da un approccio tradizionale basato sulla prevenzione degli attacchi a un paradigma centrato sulla resilienza. Questa evoluzione nasce dalla consapevolezza che il rischio cyber non può più essere eliminato completamente, soprattutto in un contesto in cui l’intelligenza artificiale accelera sia le capacità difensive sia quelle offensive. Oggi, la resilienza non significa solo difendersi dagli attacchi, ma soprattutto essere in grado di continuare a operare e riprendersi rapidamente anche quando un attacco riesce a colpire.
Il cambiamento del paradigma cybersecurity
Nella cybersecurity, i sistemi tradizionali, basati su firewall, antivirus e controlli perimetrali, stanno lasciando spazio ad architetture distribuite, integrate e intelligenti. Queste nuove piattaforme sono in grado di monitorare in modo continuo reti, endpoint, identità digitali, ambienti cloud e supply chain, rispondendo a un mondo in cui il concetto di perimetro aziendale è ormai dissolto. La diffusione del lavoro ibrido, delle applicazioni SaaS, dell’edge computing e dell’Internet of Things ha reso necessaria una sicurezza continua, adattiva e automatizzata.
L’intelligenza artificiale rappresenta il motore della nuova generazione di piattaforme di cybersecurity. I Security Operation Center (SOC) utilizzano algoritmi di machine learning per analizzare enormi quantità di dati in tempo reale, identificando comportamenti anomali e correlazioni invisibili agli analisti umani. Le piattaforme di Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR) sfruttano modelli AI per rilevare minacce avanzate, bloccare movimenti laterali all’interno delle reti e automatizzare la risposta agli incidenti. L’AI è inoltre integrata nei sistemi di identity security, nella protezione delle applicazioni cloud-native e nella threat intelligence predittiva.
L’AI è un acceleratore ma anche una sfida
L’adozione dell’intelligenza artificiale nella sicurezza cresce rapidamente perché consente di affrontare uno dei problemi più critici del settore: la velocità. Gli attacchi moderni si sviluppano in pochi minuti, mentre le aziende devono gestire volumi sempre più elevati di alert. Secondo il Cost of a Data Breach Report 2025 di IBM e Ponemon Institute, le organizzazioni che utilizzano estensivamente AI e automazione nella sicurezza registrano risparmi medi di quasi 2 milioni di dollari per violazione rispetto a quelle che non impiegano queste tecnologie. Inoltre, la riduzione dei tempi di identificazione e contenimento degli incidenti, resa possibile dall’automazione e dall’analisi AI-driven, è un fattore chiave per la resilienza.
Tuttavia, l’AI non è solo una risorsa per i difensori. Gli attaccanti stanno sfruttando le stesse tecnologie per aumentare la sofisticazione e la scala delle offensive. Negli ultimi mesi sono emersi strumenti capaci di automatizzare campagne di phishing, generare malware polimorfico e individuare vulnerabilità software in tempi estremamente ridotti. In un suo report, Googleha parlato apertamente di “industrializzazione” dell’hacking AI-driven, evidenziando come gruppi criminali e attori statali utilizzino modelli avanzati per migliorare la persistenza degli attacchi e accelerare lo sfruttamento delle falle. Palo Alto Networks ha definito questa situazione come una vulnpocalypse, mostrando come nuovi modelli AI siano in grado di individuare un numero di vulnerabilità sette volte superiore rispetto agli strumenti tradizionali.
La resilienza come strategia integrata
La resilienza cyber non riguarda solo la tecnologia, ma coinvolge processi, persone e cultura organizzativa. Un’infrastruttura resiliente deve essere progettata per resistere agli errori umani, agli attacchi e alle interruzioni operative. Deve prevedere ridondanza, disaster recovery, protezione delle identità e capacità di ripristino rapido. Inoltre, la formazione continua è fondamentale, poiché l’errore umano resta uno dei principali vettori di compromissione.
L’intelligenza artificiale sta modificando anche il ruolo degli analisti di sicurezza. Nei moderni SOC, l’automazione elimina molte attività ripetitive, lasciando agli specialisti compiti più strategici. Il settore evolve verso sistemi multi-agente e pipeline semi-autonome, capaci di collaborare nella raccolta delle evidenze, nella classificazione delle minacce e nella risposta operativa. Tuttavia, questa trasformazione introduce nuove criticità, come la governance dell’AI. Molte aziende implementano strumenti AI senza controlli adeguati, creando fenomeni di shadow AI simili a quelli già visti con il cloud shadow IT. Secondo il report di IBM, il 63% delle organizzazioni colpite da violazioni non dispone di policy mature di governance AI, e il 97% di quelle che hanno subito incidenti legati all’AI non aveva controlli adeguati sugli accessi ai sistemi AI.
Questi dati dimostrano che la resilienza non può basarsi solo sull’introduzione di nuove tecnologie, ma richiede una strategia complessiva che includa visibilità, controllo e supervisione umana. Gli stessi modelli AI possono essere manipolati tramite tecniche come prompt injection, poisoning dei dati o attacchi adversarial, rendendo la protezione delle infrastrutture AI un tema centrale per il futuro.
L’importanza delle architetture Zero Trust
Parallelamente, cresce il ruolo delle architetture Zero Trust, considerate il fondamento della resilienza moderna. Il principio base è semplice: non fidarsi mai automaticamente di utenti, dispositivi o applicazioni, anche se interni alla rete aziendale. Ogni accesso deve essere verificato continuamente attraverso autenticazione forte, segmentazione e controllo contestuale. L’integrazione dell’AI rende questi modelli dinamici e adattivi, capaci di individuare anomalie comportamentali e rischi in tempo reale.
La resilienza cyber diventa così un fattore competitivo. Le aziende più mature misurano non solo il numero di attacchi bloccati, ma la capacità di garantire continuità operativa durante una crisi. In settori come finanza, sanità, manifattura ed energia, un’interruzione anche di poche ore può generare perdite economiche enormi e danni reputazionali difficili da recuperare.
Il mercato italiano della cybersecurity
Il giro d’affari generato dalla cybersecurity in Italia continua a crescere con ritmo sostenuto, segnando una nuova fase di maturazione. La più recente ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha riscontrato che nel 2025 il valore complessivo del comparto ha raggiunto 2,78 miliardi di euro, con un aumento del 12% rispetto all’anno precedente. Questo trend positivo, seppur con un lieve rallentamento rispetto agli anni precedenti, evidenzia la centralità crescente della sicurezza informatica nell’agenda delle grandi organizzazioni italiane.
La pressione degli attacchi informatici è palpabile: nel 2025 il 34% delle grandi imprese italiane ha subito attacchi cyber con costi significativi di ripristino, e per il 3% di questi eventi l’impatto ha compromesso l’operatività. Di fronte a questa emergenza, il 57% delle grandi aziende ha avviato una revisione strutturale dei piani di incident response, e lo stesso 57% ha segnalato un aumento dell’attenzione del board sulla tematica, effetto diretto dell’entrata in vigore di normative come la direttiva NIS2, il Cyber Resilience Act, l’AI Act e il Data Act.
Per gestire meglio la complessità normativa, il 56% delle imprese dichiara di ricercare sinergie organizzative e operative. Un altro tema rilevante che condiziona le scelte di sourcing è la sovranità digitale: il 73% delle grandi imprese considera la provenienza geografica dei fornitori e preferisce soluzioni ritenute più allineate dal punto di vista strategico, limitando rapporti con soggetti di Paesi percepiti come non allineati. Il panorama tecnologico resta dominato da player extra UE, ma la preoccupazione per dipendenze critiche spinge a scelte più attente alla provenienza.
Sul fronte degli investimenti, la quota dei servizi mantiene un ruolo predominante e cresce più rapidamente rispetto alle sole soluzioni tecnologiche. In particolare, la domanda di Managed Security Services si rafforza, riflettendo una carenza di competenze interne e la necessità di assicurare continuità operativa di fronte a minacce sempre più sofisticate. I settori che più hanno contribuito alla crescita del mercato sono la Pubblica Amministrazione, il finance e la logistica e trasporti.
L’AI e il rischio cyber secondo i CISO italiani
L’adozione dell’intelligenza artificiale come fattore che ridefinisce i rischi è uno degli elementi più critici emersi dalla ricerca. Il 71% dei Chief Information Security Officer (CISO) italiani ritiene che l’AI aumenti il rischio cyber. L’automazione delle azioni offensive è già una realtà, con agenti AI capaci di orchestrare tra l’80 e il 90% delle catene d’attacco, abbassando la soglia di ingresso per attori privi di competenze tecniche avanzate. Questo significa che anche soggetti meno esperti possono condurre attacchi complessi grazie all’ausilio di strumenti automatizzati basati su AI.
Inoltre, il proliferare di soluzioni AI di tipo consumer è visto come un fattore che amplifica il rischio di errore umano, con il 60% dei CISO che esprime preoccupazione per questo aspetto. L’errore umano rimane infatti la criticità principale per il 96% dei responsabili della sicurezza, e l’uso diffuso di AI da parte degli utenti può aumentare la vulnerabilità complessiva delle organizzazioni.
Nonostante questi rischi, l’AI viene adottata anche come strumento di potenziamento delle capacità difensive. Il 56% delle grandi imprese ha già implementato l’uso sistematico dell’AI in ottica di augmentation, cioè per aumentare l’efficacia e la rapidità delle difese cyber. Tuttavia, solo una parte delle aziende ha integrato completamente l’AI nelle proprie strategie di sicurezza, indicando che la trasformazione verso modelli proattivi e predittivi è ancora in corso.
La resilienza come nuovo obiettivo strategico
In definitiva, la resilienza è diventata il nuovo obiettivo strategico della cybersecurity. Nessuna infrastruttura può più considerarsi impermeabile e la sicurezza non coincide più con l’assenza di attacchi, ma con la capacità di sopravvivere e riprendersi rapidamente da qualsiasi crisi digitale. L’intelligenza artificiale offre strumenti potenti per migliorare rilevamento, automazione e risposta agli incidenti, ma introduce anche nuovi rischi e superfici di esposizione. Per questo per essere preparate ad affrontare un futuro in cui l’incertezza rappresenta ormai la normalità le aziende devono riuscire a integrare AI, governance e continuità operativa. Solo in questo modo potranno riuscire ad adattarsi, reagire e continuare a operare in un ambiente digitale sempre più complesso e dinamico.
