Attribuzione impossibile: identificare il nemico nell’era dell’AI e dei proxy

Tavola Rotonda tenutasi nel corso della 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma, 7 maggio 2026

Tra i momenti più stimolanti della seconda giornata della 14ª Cyber Crime Conference, la tavola rotonda dedicata all’attribuzione cyber ha messo a confronto competenze tecniche, investigative, accademiche e politiche su una delle questioni meno risolte nell’attuale dibattito di sicurezza: nel 2026, identificare il vero autore di un attacco informatico è ancora un esercizio possibile o è diventato un compito strutturalmente fuori portata?

La sessione ha visto la partecipazione di:

• Gabriella Biró – Ludovika University of Public Service, Ungheria;
• Col. Antonio Bisogno – Comandante del Reparto Indagini Tecniche del ROS, Arma dei Carabinieri;
• Emanuele De Lucia – Ricercatore di Cyber Security e Cyber Intelligence, Capo della divisione CTI di Meridian Group;
• Roberto Flor, Professore ordinario di Diritto penale all’Università di Verona e coordinatore scientifico del Centro interateneo per la sicurezza e la criminalità, Università di Trento e Verona.

Moderatore: Mattia Siciliano, Presidente della Commissione Studi Cyber Threat Intelligence e Cyber Warfare di SOCINT.

Il quadro di partenza: una firma digitale che scompare

In apertura, il moderatore ha richiamato lo scenario di riferimento. Nel 2026, attribuire un attacco al suo vero autore è diventato un compito quasi impossibile, anche perché l’intelligenza artificiale consente agli attaccanti di imitare e replicare Tactics, Techniques and Procedures (TTP) altrui con un livello di sofisticazione senza precedenti.

Il caso Olympic Destroyer del 2018 aveva già mostrato come fosse possibile ingannare anche analisti esperti; oggi, secondo le stime citate, fino all’80-90% delle operazioni di cyber spionaggio è condotto da strumenti basati su AI, mentre la convergenza tra criminalità organizzata e soggetti riconducibili ad attori statali si fa sempre più stretta.

Le tre domande che hanno guidato il panel sono state:

1. L’attribuzione è ancora possibile (e ancora significativa)?
2. Si è trasformata in un esercizio più politico che tecnico?
3. Quali sono le implicazioni giuridiche, investigative e di intelligence di questa nuova era di opacità deliberata?

Dagli artefatti tecnici alle Meta-TTP

Emanuele De Lucia ha aperto il dibattito descrivendo l’erosione degli standard classici della Cyber Threat Intelligence. Gli analisti, infatti, sono tradizionalmente abituati a «considerare l’attaccante come un essere umano» che commette errori e tende a ripetersi negli attacchi successivi.

L’AI offensiva sta cambiando radicalmente questo paradigma: in differenti attacchi oggi è possibile osservare payload, malware e tool del tutto diversi, generati su misura per ogni singolo bersaglio, creando un’estrema difficoltà sul piano dell’attribuzione.

La risposta della comunità di analisi «si sta muovendo verso un cambio di approccio».
Invece di concentrarsi sull’artefatto tecnico in sé, occorre osservare le caratteristiche dell’intelligenza artificiale che lo ha generato, come anomalie semantiche, particolari pattern di offuscamento, scelte sintattiche ricorrenti, utilizzo di determinate librerie.
Da qui, la possibilità di categorizzare gli artefatti tecnici sulla base della generative AI sottostante.

A questo si aggiunge il concetto, ancora in evoluzione, di Meta-TTP: tattiche, tecniche e procedure tipiche non più dell’attaccante umano, ma dell’agente AI che ha supportato o condotto in autonomia l’attacco.

Naturalmente, ciò presuppone l’avere visibilità su una buona parte della kill chain; si tratta di osservare l’albero decisionale del modello, dalla compromissione iniziale di una credenziale fino all’escalation dei privilegi.

«Anche il concetto di indicatore di compromissione sta perdendo importanza, perché gli attaccanti sono in grado di muoversi a velocità-macchina», ha osservato De Lucia. «Nel prossimo futuro non condivideremo più IoC, ma i “pesi” di un modello addestrato localmente, utile al contrasto delle minacce emergenti basate sull’AI offensiva».

La kill chain frammentata e il ruolo dei broker

Il Ten. Col. Bisogno ha portato nel panel lo sguardo investigativo del ROS, partendo da una provocazione: «se immaginiamo che reti terroristiche e organizzazioni criminali addestrino in proprio i loro hacker, probabilmente stiamo mistificando e sottovalutando la minaccia».

Oggi l’accesso a reti e dati è infatti divenuto una commodity, una merce di scambio acquistabile sui marketplace del dark web.

L’ultimo “Serious and Organized Crime Threat Assessment” (SOCTA) di Europol, ha ricordato Bisogno, descrive un quadro in cui organizzazioni criminali e terroristiche «non collaborano in modo strutturale ma convergono su strutture commerciali che vendono dati e accessi».

È in questo scenario che emergono con forza nuovi attori. Si tratta dei Data Broker, collettori di dati trafugati poi rivenduti su forum o canali criptati; e degli Initial Access Broker, venditori di accessi sottratti a enti istituzionali e imprese medio-grandi.

«Questo ha frammentato la catena di attacco, diventando un ulteriore elemento di complessità», ha spiegato Bisogno: lo IOCTA 2025 di Europol stima un aumento di circa il 50% nei prezzi medi degli accessi venduti all’asta nell’ultimo anno, segno della maturità di un mercato in cui anche gli zero day vengono trattati come merce di scambio.

Ne consegue l’esigenza di un cambio di passo sul piano investigativo: applicare il pensiero laterale, ad esempio iniziando a colpire i broker al centro della catena anziché inseguire il singolo autore di un attacco ransomware.

Le grandi operazioni internazionali recenti (Operation Endgame è stata citata insieme ad altre azioni congiunte con BKA, Europol e Polizia di Stato) seguono proprio questa logica: disarticolare la supply chain del cybercrime per produrre un effetto di prevenzione generale.

Resta il cosiddetto “effetto Hydra”: chiusura di un canale e riapertura di un altro a distanza di giorni o settimane. Per questo l’azione deve essere sistematica e coerente. «Togliere al terrorista l’arma digitale di cui dispone significa togliergli la possibilità di essere offensivo nei confronti dei nostri dati e delle nostre comunicazioni», ha sintetizzato Bisogno.

L’attribuzione pubblica e il declino della plausible deniability

Gabriella Biró ha spostato il fuoco sulla dimensione pubblica e politica dell’attribuzione.

Come premessa essenziale, la relatrice ha chiarito che «dichiarare pubblicamente chi sta dietro un attacco non è solo questione di puntare il dito, ma di “chi” punta quel dito».
Nella metodologia threat landscape di ENISA, ha ricordato, la fonte dell’attribuzione viene valutata in base all’affidabilità: il peso di un tabloid è diverso da quello di un’analisi tecnica strutturata, di un’istituzione UE o di un dipartimento di polizia.

Il punto centrale, tuttavia, è un altro: oggi l’attribuzione pubblica non si fonda più principalmente sulle evidenze tecniche, quanto sull’intento strategico degli attacchi.
Biró ha portato come esempio il report pubblicato dalla Polonia il 3 dicembre 2025 sugli attacchi alle infrastrutture energetiche, prodotto in tempi molto stretti rispetto alla rilevazione. Determinare con certezza l’unità o l’entità statale specifica era difficile, in presenza tra l’altro di componenti Crime-as-a-service; invece,si è scelto di affermare con sicurezza che dietro l’operazione vi fosse un’entità russa.

Da qui si è sviluppata una riflessione sul declino della plausible deniability.
Fino a pochi anni fa, gli attaccanti dedicavano ancora attenzione al poter negare le proprie azioni; oggi, di fronte a un’attribuzione pubblica fondata su intenti e moventi più che su prove concrete, gli sforzi di occultamento perdono di senso. Alcuni attori arrivano, anzi, a «rivendicare apertamente gli attacchi, anche se ciò non sempre significa che ne siano effettivamente gli autori».

La relatrice ha richiamato anche le indagini in corso presso la Corte Penale Internazionale su alcune cyber operation: segno che oggi un’attribuzione politica adeguatamente sostenuta può, in alcuni casi, reggere anche davanti a una giurisdizione internazionale.

Dove si “rompe” il diritto penale

Il Prof. Flor ha aperto il proprio intervento con due quesiti fondamentali: a quante garanzie siamo disposti a rinunciare per contrastare efficacemente il cybercrime? E di quale tipo di cybercrime stiamo parlando?

«Il diritto e il processo penale», ha argomentato, «sono costruiti attorno alle garanzie fondamentali previste dal dettato costituzionale». Di conseguenza, la risposta a queste due domande condiziona ogni riforma possibile.

Sul piano del diritto sostanziale – a livello di Consiglio d’Europa, Unione Europea e oggi anche delle Nazioni Unite – esiste un nucleo essenziale di fattispecie tendenzialmente armonizzato. Il problema è la loro effettività, nonché la dimensione della prova.

A titolo di esempio, il professore ha citato il reato di “estorsione informatica” introdotto dalla L. 90/2024. Una norma puramente simbolica, ha osservato, poiché altre fattispecie già consentivano di contrastare il fenomeno ransomware; a mancare non era la qualificazione astratta del fatto, quanto la possibilità di costruire prove utilizzabili nel processo.

Sul piano processuale, quindi, il nodo si fa più serio. Flor ha ricordato che alcuni Stati europei hanno disciplinato in modo completo le singole funzionalità dei captatori informatici, ricompresi nella più ampia categoria del lawful hacking. In Italia, invece, il trojan è disciplinato solo come strumento di intercettazione ambientale e per categorie di reato circoscritte, come terrorismo, criminalità organizzata e reati contro la Pubblica Amministrazione; mentre le altre potenzialità restano fuori da una cornice normativa adeguata.

Il secondo punto critico è la giurisdizione. La Corte di Cassazione, nei pochi precedenti sul tema, è tuttora orientata ad ancorare la competenza al luogo in cui l’attaccante ha materialmente digitato sulla tastiera. «Ma io so di essere stato attaccato, non so chi mi ha attaccato né dove si trovi», ha osservato Flor, mostrando come l’aggancio territoriale crolli a contatto con la realtà del fenomeno.

Il terzo punto riguarda l’imputazione. Le fattispecie penali sono costruite intorno a un autore umano, definendo le relative responsabilità e garanzie. Quando l’attaccante è un agente AI, la domanda non è solo “chi mi ha attaccato”, ma “cosa mi ha attaccato”: e qui sia il diritto penale sostanziale sia il processo penale entrano in crisi. Una cosa, infatti, è attribuire un attacco a una macchina; un’altra è imputarne la responsabilità a una persona fisica.

Infine, il relatore è tornato a soffermarsi sulla dimensione probatoria citando due casi esemplari: le operazioni contro le piattaforme EncroChat e Sky ECC, in cui ingenti moli di dati ottenuti da autorità giudiziarie straniere sono confluite in procedimenti penali italiani, hanno reso evidente la fragilità di «una disciplina probatoria nazionale oggi chiamata a confrontarsi con l’utilizzabilità di prove allogene» sul piano processuale.

Living off the model: il malware come prompt

Nel secondo giro di interventi, De Lucia ha approfondito il passaggio dal classico “living off the land” a ciò che ha definito “living off the model”. In questo scenario, il malware non porta con sé la propria logica malevola: dirotta agenti AI già autorizzati ad accedere a database aziendali, riassumere email o eseguire azioni potenzialmente dannose.

Il malware, quindi, oggi non è più un file: è un prompt costruito ad arte, iniettato in una rete neurale che l’organizzazione stessa ha scelto di integrare nei propri processi.

Per contrastare tali tipologie di minacce, ha elaborato De Lucia, è necessario sviluppare nuove competenze. Non è più sufficiente avere un’impostazione da ingegneri del software o analisti di rete puri: oggi servono figure ibride, capaci anche di agire come revisori dei modelli, «una sorta di linguista forense» in grado di interrogare il flusso di elaborazione dell’AI.

Diventa decisiva la visibilità: ovvero la capacità di ripercorrere a ritroso tutti gli step che hanno portato l’agente AI a una determinata decisione, per capire se l’azione compiuta sia corretta o rifletta un “avvelenamento” del modello.

Come ha sintetizzato il relatore, più che nell’esecuzione operativa, «è nel momento in cui i dati vengono acquisiti e processati che si annidano le vulnerabilità da presidiare».

Crittografia, metadati e Lawful Access by Design

Sul fronte investigativo, Bisogno ha affrontato il nodo della crittografia end-to-end.
Attualmente un pilastro della privacy delle comunicazioni, «è divenuta per molti fornitori di servizi digitali l’arena su cui si gioca la reputazione aziendale, se non addirittura il vantaggio competitivo»; al tempo stesso, la crittografia può effettivamente tradursi «in un ostacolo all’accertamento dei reati».

Tutte le comunicazioni di interesse investigativo, ha sottolineato il relatore, si sono ormai trasferite su piattaforme con crittografia end-to-end: l’unica risorsa residua sono i metadati, ma la disomogeneità tra regimi nazionali di data retention ha per lungo tempo portato a una “evaporazione” della prova prima che le rogatorie potessero produrre effetti.

Qualcosa, tuttavia, si sta muovendo. Il Regolamento (UE) 2023/1543, parte del pacchetto e-Evidence (già recepito a livello nazionale, in attesa della piena applicabilità dal 18 agosto 2026), introduce gli “Ordini europei di produzione e conservazione”, con tempi di risposta drasticamente ridotti rispetto alle procedure previgenti: 10 giorni in via ordinaria, 8 ore nei casi di emergenza.

Resta comunque ampio il lavoro da fare per costruire un autentico Lawful Access by Design, che richiederebbe sistemi progettati ab origine per consentire, dietro adeguate garanzie giurisdizionali, l’accesso a determinate categorie di evidenze digitali.

Una sfida che chiama in causa «una vera partnership tra pubblico e privato», ad oggi più dichiarata che realizzata.

Sanzioni, diplomazia e Cyber Diplomacy Toolbox

Biró ha portato la riflessione sul piano delle risposte politiche dell’Unione Europea rispetto al crescente fenomeno del cybercrime sponsorizzato da Stati.

Sebbene infatti le sanzioni esistano e vengano applicate, il gap di velocità resta abissale: «un attacco DDoS si organizza in pochi minuti (o al massimo ore), mentre sanzionare un individuo o un’entità nello spazio UE richiede in media un iter di 3 anni».

A questo si aggiunge il vincolo dell’unanimità in seno al Consiglio: basta un solo Stato membro contrario perché lo strumento sanzionatorio si arresti.

Da qui il rilievo crescente della Cyber Diplomacy Toolbox, che articola la risposta UE su più livelli di intensità: dalle dichiarazioni congiunte al “naming and shaming”, fino alle misure restrittive nonché – in casi limitati e a determinate condizioni – alle attività di contrattacco.

«Il “naming and shaming” produce qualche effetto», ha osservato Biró; e va considerato uno degli strumenti più immediatamente esercitabili. Ma resta aperto il problema della deterrenza nei confronti dello state-sponsored cybercrime, su cui l’arsenale europeo, allo stato attuale, appare ancora insufficiente.

Le riforme necessarie: armonizzare, cooperare, semplificare

Secondo Flor, le priorità di riforma sono tre.

La prima è il rafforzamento della cooperazione tra pubblico e privato: le grandi piattaforme hanno ormai un ruolo strutturale e devono essere responsabilizzate di conseguenza.

La seconda riguarda l’accesso ai dati. Il pacchetto e-Evidence sposta sul piano verticale (autorità nazionale verso service provider estero) una cooperazione tradizionalmente orizzontale, prevedendo «la possibilità delle autorità nazionali di accedere direttamente non solo ai metadati della comunicazione ma anche ai contenuti»; tuttavia, introduce un abbassamento delle garanzie che potrebbe portare la Corte di Giustizia a pronunciarsi nei prossimi anni.

La terza riguarda l’armonizzazione delle tecniche di lawful hacking a livello europeo: per quanto gli Stati siano storicamente «molto gelosi della propria sovranità penale e processuale», è giunto il tempo di un coordinamento più stretto su questo punto.

Sullo sfondo, la domanda iniziale: a quante garanzie siamo disposti a rinunciare per contrastare efficacemente il cybercrime?

Forse – ha suggerito Flor – occorre iniziare a ragionare in modo atipico anche per i penalisti, costruendo un sistema di garanzie europeo coerente e bilanciato che riconosca al cybercrime la sua capacità invasiva nei confronti dei diritti, della sostenibilità economica e dell’integrità dei Paesi.

Su cosa si fonda la fiducia nello spazio digitale?

La domanda finale del moderatore ha chiesto a ciascun relatore su quale fondamento residuo si basi, oggi, la fiducia nello spazio digitale.

In merito, per De Lucia l’identità è il vero nuovo perimetro: di conseguenza, la fiducia non può che basarsi sull’identità verificata, confermata da meccanismi robusti di autenticazione multi-fattore e concessa in modo temporaneo, non permanente.

La risposta di Bisogno si è invece focalizzata sul bilanciamento, consapevole e dichiarato, tra spazio di privacy e spazio di sicurezza; nonché sulla costruzione di modelli investigativi capaci di scardinare i modelli di business criminali prima che il colpo venga sparato, senza trascurare l’importanza della partnership tra pubblico e privato.

Dal canto suo Biró ha ribadito la centralità dell’architettura Zero Trust, con un caveat fondamentale: per fidarsi dei sistemi Zero Trust occorre poter verificare le entità e le istituzioni che li implementano. Gli sforzi vanno, quindi, indirizzati verso una fiducia che si sposta dall’individuo all’istituzione che eroga il servizio digitale.

Infine, Flor ha riportato il focus sulla fiducia dei cittadini nella giustizia, che passa anche per la semplificazione delle fattispecie; modelli sostanziali snelli, infatti, sono anche più sostenibili sul piano probatorio. Il professore ha inoltre auspicato una revisione complessiva dei mezzi di ricerca della prova adeguata al contesto cibernetico e un’autonoma tutela dell’identità digitale, che oggi nell’ordinamento italiano resta esposta a una protezione frammentaria.

In conclusione

Il filo che ha attraversato l’intero panel è la presa d’atto di una serie di mutamenti strutturali. L’attribuzione tecnica fondata su firme condivise sta perdendo significato; la kill chain si è frammentata in una supply chain del tutto assimilabile a un modello commerciale; l’attribuzione pubblica si è progressivamente sganciata dall’evidenza forense tradizionale; e il diritto penale, costruito intorno alla figura dell’agente umano, fatica a reggere il confronto con scenari in cui l’attaccante è una macchina o un agente AI.

I quattro relatori hanno offerto risposte coerenti pur partendo da prospettive diverse: spostare il fuoco dell’analisi dall’artefatto tecnico alla logica generativa che lo produce, aggredire la supply chain del cybercrime nei suoi nodi commerciali, presidiare il piano politico e diplomatico con strumenti più rapidi e ricostruire l’impianto probatorio del processo penale alla luce del nuovo contesto di minaccia.

Tutti, alla fine, hanno convenuto su un punto: la fiducia nello spazio digitale dovrà sempre più poggiare su un’identità forte, verificata e temporanea, ma soprattutto sulle istituzioni che a quell’identità sapranno offrire una tutela solida e coesa.