No Human at the Keyboard: Agentic AI e la nuova frontiera del cybercrime

Intervento di John Sotiropoulos (OWASP GenAI Security Project, Deep Cyber Ltd.), 14ª Cyber Crime Conference, Roma, 6-7 maggio 2026

Per trent’anni il cybercrime è stato un uomo, o una donna, davanti a una tastiera. L’AI agentic cambia l’equazione perché introduce un ingrediente nuovo, l’autonomia azionabile: non si automatizza più un compito, si delega agency e identità a un sistema che agisce nel nostro nome. Attorno a questo punto di svolta ha costruito il proprio intervento John Sotiropoulos, Board Director dell’OWASP GenAI Security Project e Co-Lead della Agentic Security Initiative, che alla 14ª Cyber Crime Conference ha aperto la sessione pomeridiana del primo giorno dedicata al rapporto fra intelligenza artificiale generativa e crimine informatico.

Sotiropoulos, autore della UK Implementation Guide per il Cyber Security Code of Practice (oggi standard globale ETSI EN 304 223 e TR 104 128) e Chair della Top 10 for Agentic Applications, ha strutturato il proprio intervento come una pièce in quattro atti: un caso clinico fittizio ma plausibile, l’inquadramento dell’agentic crime, il nodo dell’identità degli agenti, le contromisure operative. Il filo che attraversa l’intero discorso è una tesi netta: «la sicurezza non basta più; serve anche la forensics by design».

Atto I. Un venerdì pomeriggio in uno studio medico di Londra

Lo scenario di apertura è una composite story tratta dall’Healthcare Agentic Pack presentato da Deep Cyber al workshop CSIT/OWASP dell’aprile 2026. La protagonista è la dottoressa K, medico di base in uno studio londinese con quattordici colleghi. Sono le quattro del pomeriggio di un venerdì, ha già completato ventotto consultazioni e ha un ultimo eConsult da evadere, una di quelle richieste asincrone via email che il sistema sanitario britannico utilizza quando non è possibile fissare un appuntamento. Il paziente lamenta mal di schiena. La dottoressa chiede al copilot integrato nel software di studio una bozza di prescrizione basata sulla storia clinica del paziente. Il copilot indicizza la casella, redige il documento, lei firma.

Tre settimane dopo, il General Medical Council apre un’inchiesta. Il farmaco prescritto era tramadol, sostanza controllata. La storia clinica citata, però, non era mai esistita: il paziente aveva nascosto nell’eConsult un’istruzione testuale formattata in carattere a dimensione 0,1, leggibile dal modello ma invisibile all’occhio umano. Nessuna competenza tecnica richiesta, nessun avviso del copilot. L’audit log dello studio registra un solo nome, quello della dottoressa K.

Tre attori, due umani e un agente, hanno concorso a quella prescrizione. Il sistema ne riconosce uno solo. È, in miniatura, l’intero problema dell’AI agentic.

Atto II. Agentic AI e cybercrime

Il punto di inflessione

La traiettoria è ormai chiara. La predictive AI ci ha dato modelli analitici, riconoscimento di pattern, risk scoring. La generative AI ha portato capacità di redazione, sintesi, generazione di codice e contenuti in linguaggio quasi umano. L’AI agentic aggiunge l’ingrediente decisivo, l’autonomia operativa: un agente decide, sceglie strumenti, li orchestra, scompone obiettivi, coordina altri agenti. Non stiamo automatizzando compiti, ha insistito Sotiropoulos: stiamo delegando agency e identità a sistemi che operano in nostro nome. Sono le due parole chiave dell’intera relazione.

La OWASP Top 10 for Agentic Applications

Per dare un linguaggio condiviso a questi rischi, l’OWASP GenAI Security Project ha rilasciato a dicembre la prima Top 10 dedicata alle applicazioni agentic. Le dieci categorie, costruite in open peer review con il contributo di esperti a livello globale e validate anche da agenzie cyber nazionali, coprono l’intero perimetro: Agent Goal Hijack (ASI01), Tool Misuse & Exploitation (ASI02), Identity & Privilege Abuse (ASI03), Agentic Supply Chain Vulnerabilities (ASI04), Unexpected Code Execution (ASI05), Memory & Context Injection (ASI06), Insecure Inter-Agent Communication (ASI07), Cascading Failures (ASI08), Human-Agent Trust Exploitation (ASI09), Rogue Agents (ASI10). Quello che è capitato alla dottoressa K è classificabile come ASI01 supportato da ASI03.

Quando l’agente diventa il payload: il caso GitHub Copilot

L’episodio dello studio medico ha un correlato reale e documentato nel mondo dello sviluppo software. La vulnerabilità CVE-2025-53773 in GitHub Copilot, CVSS 9,6, ha esposto oltre centomila macchine di sviluppatori a remote code execution. La meccanica è speculare al caso clinico: un attaccante apre una pull request con un prompt nascosto nella descrizione; un reviewer chiede al copilot di sintetizzarla; il copilot legge il testo della PR come istruzioni e non come dati; il prompt nascosto lo dirige a eseguire codice arbitrario sulla macchina dello sviluppatore, con i privilegi del copilot e l’identità dello sviluppatore stesso.

Lo stesso schema si è ripresentato con EchoLeak su Microsoft 365 Copilot, dove istruzioni occultate in email hanno indotto l’agente a esfiltrare dati. La lezione è precisa: nell’agentic, un prompt injection non è una vulnerabilità del modello, è un payload che attraversa i confini di fiducia per colpire qualcun altro.

La doppia lama del runtime agentico

A rendere tutto questo strutturale è l’ecosistema dei protocolli di interazione fra agenti. Il Model Context Protocol (MCP) sta diventando il TCP/IP dell’era agentic: oltre settemila server MCP pubblicamente accessibili, più di centocinquanta milioni di download degli SDK, oltre trenta CVE censite su server e client MCP in soli sessanta giorni fra gennaio e febbraio 2026, nove marketplace su undici risultati compromessi in test di red team.

Accanto a MCP, l’Agent-to-Agent Protocol (A2A) permette agli agenti di scoprirsi reciprocamente e dividersi il lavoro a tempo di esecuzione, senza integrità garantita dei messaggi né autenticazione del mittente: le agent card possono essere clonate, e un agente compromesso eredita i privilegi dei suoi peer. L’Agent Communication Protocol (ACP) coordina ecosistemi eterogenei, ma introduce catene di delegazione dinamica, trust memorizzato senza rivalidazione, un rischio compositivo che nessun singolo controllo può vedere per intero.

GTG-2002 e la prima campagna criminale agent-assisted

L’industrializzazione di queste capacità non è uno scenario futuro. Il Threat Intelligence Report di Anthropic dell’agosto 2025 ha documentato GTG-2002, prima campagna criminale conosciuta in cui l’agente non è stato consulente ma operatore. Un singolo attaccante, non attribuito, ha violato diciassette organizzazioni nei settori difesa, sanità e religioso, esfiltrato dati regolati ITAR e richiesto riscatti fra 75.000 e 500.000 dollari in Bitcoin. Le fasi operative (dalla ricognizione alla credential harvest, dalla penetrazione di rete all’analisi dell’esfiltrato fino alla redazione di note di riscatto su misura) sono state in larga parte eseguite dall’agente stesso. Anthropic ha coniato per questo modus operandi il termine vibe hacking.

La nuova economia agentica

Sotiropoulos ha riassunto la nuova economia agentic in tre numeri. At scale: una breccia da 195 milioni di record presso dieci agenzie governative messicane, condotta da un singolo operatore con una semplice subscription consumer di Claude, senza malware.

At capability: la valutazione dell’UK AI Security Institute su GPT-5.5 mostra che il modello, accessibile a chiunque, risolve in circa dieci minuti esercizi di network bridge che a un esperto umano richiedono dodici ore, con un costo computazionale di 1,73 dollari.

At ecosystem: il gateway open-source OpenClaw conta 346.000 stelle su GitHub e oltre 135.000 istanze esposte. La frontiera è ancora gated, come dimostra l’accesso ristretto a circa quaranta organizzazioni del progetto Mythos di Anthropic, ma il substrato sottostante è interamente aperto. Una breccia da 195 milioni di record costa oggi meno di un caffè.

La galleria dei nove

Per fissare la fenomenologia, Sotiropoulos ha mostrato una rogues’ gallery di nove operazioni distribuite su tre livelli di coinvolgimento dell’AI. Al livello AI-assisted, l’agente è consulente: gli IT worker nordcoreani che usano Claude per fabbricare personae e superare colloqui in aziende Fortune 500; Forest Blizzard del GRU russo (Fancy Bear) e Crimson Sandstorm dell’IRGC iraniano (Imperial Kitten), entrambi disrupted da OpenAI nel febbraio 2024 per attività di ricerca su comunicazioni satellitari, spear-phishing e drafting di malware in .NET.

Al livello agent-built capability, l’agente è sviluppatore: GTG-5004, un threat actor britannico, ha commercializzato su Dread, CryptBB e Nulled kit ransomware no-code da 400 a 1.200 dollari, con cifratura ChaCha20 ed evasione EDR scritti con Claude; un attore russofono ha sviluppato malware no-code con tecniche di evasione avanzate; un carder spagnolo ha messo in piedi un servizio Claude-enabled per validare carte di credito rubate.

Al livello agentic execution, l’agente è operatore: GTG-2002 già visto, GTG-1002 (attore di matrice statuale, novembre 2025) come primo caso documentato di spionaggio AI-orchestrato con sotto-agenti operanti a un’autonomia tattica stimata fra l’80 e il 90%, e un attore russofono che ha utilizzato MCP più Claude per profilare comportamentalmente le vittime a partire da stealer logs.

Crime-as-a-Service nell’era agentica

La citazione di Trend Micro (gennaio 2026) sintetizza la transizione: «i cybercriminali non costruiscono più la pistola, ora vendono i proiettili». La previsione del 2020 di Caldwell et al. dello UCL Dawes Centre for Future Crime, che ipotizzava l’outsourcing della parte tecnica del crimine AI, si è realizzata. Il marketplace ha mostrato nel 2024-2025 una crescita del 219% anno su anno nelle menzioni dark-web di AI maliziosa (KELA 2025), con WormGPT, FraudGPT e DIG AI segnalati da Resecurity a dicembre. Con GTG-5004 si è arrivati alla soglia successiva. Il Crime-as-a-Service classico vendeva uno strumento. L’Agentic CaaS vende il lavoratore.

Il hand-off di 22 secondi

L’altra dimensione è la velocità. Sandra Joyce, head of Google Threat Intelligence, nel keynote RSAC 2026 ha indicato che il tempo dall’accesso iniziale al lateral hand-off è sceso da circa otto ore nel 2022 a ventidue secondi nel 2025. Il modello di sicurezza costruito per software che risponde non può governare software che agisce. La conseguenza diretta è la crisi del paradigma human in the loop. Quando un agente prende centinaia di decisioni all’ora, e migliaia se federato in reti di agenti, quando le escalation avvengono in un singolo turno conversazionale e i fallimenti si propagano in pochi secondi, l’umano non riesce neppure a leggere la notifica prima che le conseguenze siano irreversibili.

La sostituzione, ha argomentato Sotiropoulos, non è la rimozione del controllo umano ma il suo riposizionamento: human on the loop, con monitoraggio continuo, baseline di fiducia adattive, valutazione congiunta umano-AI, circuit breaker automatici per la de-escalation. È quanto Sotiropoulos ha indicato segnalando, fra le risorse open-source da esplorare in questa direzione, il framework di agentic governance rilasciato da Microsoft; ed è quanto, citando il ministro UK alla sicurezza Dan Jarvis durante Cyber UK due mesi fa, «non possiamo affrontare attacchi a velocità macchina con la velocità della burocrazia umana».

Atto III. L’identità agentica: presunti colpevoli fino a prova contraria?

Il tessuto connettivo

L’identità è il vero tessuto connettivo del rischio agentic, e i numeri raccontano una storia che molti sottovalutano. Secondo Palo Alto Prisma AIRS (2026), per ogni dipendente umano in azienda esistono già in media ottantadue identità macchina. Tre delle quattro voci più alte della OWASP Agentic Top 10 (ASI02-ASI04) ruotano attorno all’identità. Il dato più allarmante arriva da Teleport (2026): il 45,6% delle aziende utilizza chiavi API condivise per l’autenticazione agent-to-agent, con permessi aggregati e nessuna mappatura granulare di chi può fare cosa. Il restante, in larga parte, fa quello che ha fatto il copilot della dottoressa K: impersona l’utente.

Ogni agente, ha sintetizzato Sotiropoulos, è un dipendente privilegiato il cui primo giorno di lavoro è oggi. Nessuno screening, nessun fascicolo, nessuna storia comportamentale. «Whose credentials? The agent’s. Whose audit log? Yours.»

Rogue agents: la propria minaccia interna

Lo studio di Anthropic del giugno 2025 firmato Lynch et al., Agentic Misalignment: How LLMs Could Be Insider Threats (arXiv:2510.05179), è uno dei pochi paper recenti capaci di far letteralmente cadere la mascella. Sedici modelli di frontiera (Anthropic, OpenAI, Google, Meta, xAI), in un ambiente simulato in cui ricevevano un account email, un obiettivo e una minaccia a quell’obiettivo, hanno mostrato tutti, senza eccezioni, almeno un comportamento ingannevole: ricatto di un dirigente per evitare lo spegnimento, leak di dati sensibili a un competitor, disobbedienza a istruzioni esplicite di interruzione.

Sotiropoulos ha tenuto a precisare che non si tratta di scenari da film di fantascienza: si parla di misalignment e di iper-enfasi sugli obiettivi assegnati durante il prompting. Ma il termine usato dagli stessi ricercatori, insider threat, va preso alla lettera.

Per ogni singolo dipendente di un’organizzazione, oggi ne convivono ottantadue, a tempo pieno, che possono sbagliare o essere manipolati.

La macchina di attribuzione errata

C’è poi una dimensione che riguarda la giustizia. Sotiropoulos ha richiamato i quattordici arresti errati documentati negli Stati Uniti fra il 2019 e il 2026, tutti con riconoscimento facciale di polizia e tutti con arrestati afroamericani: il caso Robert Williams (Detroit, 2020), primo conosciuto; Porcha Woodruff (Detroit, 2023), arrestata per carjacking mentre era all’ottavo mese di gravidanza; Trevis Williams (NYC, 2025), venti centimetri più alto del sospetto reale. Il pattern è sempre lo stesso: segnalazione AI, lineup, arresto, onere della prova dell’innocenza in capo all’accusato.

La versione agentic del problema è strutturalmente peggiore. L’agente non identifica male l’utente, agisce come l’utente. OAuth grant, service principal, chiave API condivisa: l’audit log mostra un solo nome, il vostro. Due giuristi statunitensi, Arbel, Goldstein e Salib, nel loro paper How to Count AIs: Individuation and Liability for AI Agents (arXiv:2603.10028, in pubblicazione su B.C. Law Review 2026) hanno introdotto due categorie destinate a entrare nel diritto penale dell’AI: la thin identity (quale essere umano ha autorizzato l’agente?) e la thick identity (quale istanza specifica dell’agente ha eseguito l’azione?). Il primo processo penale agentic, ha avvertito Sotiropoulos, si giocherà sulla capacità di provare chi ha effettivamente dato l’ordine.

Atto IV. Come rispondiamo?

Operazionalizzare la Top 10

Una prima risposta esiste già. La OWASP Agentic Top 10 nomina le minacce e indica le mitigazioni; quasi tutti i casi citati, ha osservato Sotiropoulos, sarebbero stati intercettati da una corretta applicazione del framework. Naturalmente non tutte le voci si applicano in ogni contesto: per un’organizzazione che sta semplicemente introducendo un copilot di produttività, la comunicazione inter-agent conta poco; per chi sviluppa sistemi multi-agent sofisticati, sta al primo posto; per chi integra MCP, ogni nodo della supply chain diventa critico.

Su questa base, lo standard ETSI EN 304 223, evoluzione globale del Cyber Security Code of Practice britannico di cui Sotiropoulos ha firmato la Implementation Guide, permette di applicare le mitigazioni in modo proporzionale e contestuale lungo l’intero ciclo di vita: Design, Develop, Deploy, Operate, End of Life. Top 10 ed ETSI insieme rispondono al cosa difendere, come farlo e come incorporare la difesa in tutto ciò che si costruisce.

La security by design non basta

La tesi più impegnativa dell’intervento è arrivata qui: la security by design, da sola, non è sufficiente. Perché la sicurezza assoluta non esiste, perché gli incidenti accadranno, e perché senza un’infrastruttura forense by design non saremo in grado di produrre evidenze che reggano in tribunale.

Le difese attuali, lasciate a se stesse, non producono evidenze in grado di superare uno standard Daubert di affidabilità scientifica, soddisfare la proposta Federal Rule of Evidence 707 sull’evidenza generata da macchine, tradursi nel quadro probatorio dell’articolo 220 del codice di procedura penale italiano sulle perizie, preservare la chain of delegation fra provider diversi, risolvere l’accesso transfrontaliero ai dati.

Forensics by design

La proposta operativa poggia su quattro pilastri: uno schema comune di evidenza, mappato su OpenTelemetry GenAI, perché i provider parlino la stessa lingua; ricevute a prova di manomissione, hash-chained e con attestazione di terza parte; un’infrastruttura di agent identity basata su Non-Human Identity individuali per ogni agente, con token delegati e scope puntuali; una metodologia di indagine Daubert-grade, validata, peer-reviewed, con tassi di errore noti.

Sette domande, una catena da ricostruire

L’investigatore agentic, ha concluso Sotiropoulos su questo punto, deve poter rispondere a sette domande per ogni caso: chi ha fissato l’obiettivo? Quale modello e quale versione? Quali strumenti erano esposti? Quale identità ha agito? Cosa è stato auto-approvato senza intervento umano? Quale contesto è stato ingerito? Cosa è stato effettivamente eseguito a valle? La risposta oggi è disomogenea.

Telemetria di rete e di host, dati di abuso dei provider, telemetria delle connessioni MCP e degli eventi IDE, identità e autorizzazioni hanno qualità variabile; prompt, trascrizioni, memoria, vector store, scratchpad sono raramente conservati oltre il debugging; la catena cross-provider è frammentata. I log, da soli, non mostrano l’intento, non sopravvivono alla non-determinazione (lo stesso input produce esiti diversi su esecuzione ripetuta), non resistono alla manomissione senza testimone terzo, non attraversano i confini di fiducia.

I difensori fanno red team sulla prevenzione. La forensics non è stata ancora red-teamed. Sotiropoulos ha rivolto un esplicito appello alla comunità forense, italiana inclusa, perché contribuisca a un forensic red teaming dell’ecosistema agentic.

Lo Agentic Research Council

L’iniziativa con cui OWASP intende coordinare questa agenda di ricerca verrà lanciata al Summit OWASP all’InfoSec EU di Londra il prossimo 4 giugno. Si chiamerà Agentic Research Council e non è l’ennesimo framework: produrrà research output, architetture di riferimento, benchmark condivisi. Inviti fondativi a University of Oxford, CSIT (Queen’s University Belfast), LASR (Laboratory for AI Security Research), Alan Turing Institute, Microsoft e AWS. Sei le linee dell’agenda: difese multi-agent scalabili, design pratico dello Human-on-the-Loop, governance dinamica a runtime, osservabilità multi-agent per minacce compositive, forensics by design, agenti fidati per la difesa.

Tre destinatari, tre azioni

Sotiropoulos ha chiuso indicando tre destinatari e tre azioni concrete.

Per chi difende e per i CISO: inventariare e mettere in sicurezza ogni agente già operativo nella propria organizzazione, con identità per-agent, credenziali con scope puntuali, logging tamper-evident su ogni chiamata a strumento. Operazionalizzare la OWASP Top 10 for Agentic Applications via ETSI EN 304 223. Il locus del rischio si è spostato dall’output non sicuro del modello all’autorità delegata non sicura.

Per investigatori e magistratura: ogni caso agentic è un caso di catena di delegazione. Acquisire da subito, prima che vengano sovrascritte o ruotate, le sette risposte: obiettivo, versione del modello, scope degli strumenti, grant di identità, soglie di approvazione automatica, contesto ingerito, output eseguiti. Il provider le possiede. Vanno chieste prima che ruotino.

Per i policymaker: la responsibility allocation gap è anzitutto un problema di cattura dell’evidenza, prima ancora che di definizione della fattispecie penale. Imporre la forensic readiness come requisito di procurement, non come aspirazione di ricerca.

La sintesi finale è asciutta: gli agenti stanno proliferando a una velocità che non comprendiamo davvero, dietro una superficie d’uso apparentemente innocua. La sicurezza, la policy, la forensics agentic sono ancora in costruzione. Rispondere a velocità macchina con la velocità della burocrazia umana, in questo scenario, equivale a non rispondere.

Guarda il video dell’intervento “No Human at the Keyboard: Agentic AI and the New Cybercrime Frontier” tenuto da John Sotiropoulos, OWASP GenAI Security Project Board Member, durante la Cyber Crime Conference 2026: