AI offensiva: come l'intelligenza artificiale sta riscrivendo le regole del cybercrime

L’AI offensiva nella cybersecurity non è più un’ipotesi da convegno. È un fatto operativo, documentato, misurabile. E il suo impatto sta ridefinendo alla radice le categorie con cui la comunità della sicurezza informatica ha costruito i propri modelli di difesa nell’ultimo ventennio.

Per anni abbiamo ragionato su un assunto implicito: la complessità di un attacco è proporzionale alla sofisticazione dell’attaccante. Un exploit zero-day richiedeva competenze di reverse engineering maturate in anni di pratica. Una campagna APT multi-stadio presupponeva team strutturati, infrastrutture dedicate, catene di comando. Questo rapporto tra competenza e pericolosità era, in fondo, il nostro vantaggio strategico: sapevamo che gli attacchi più devastanti potevano provenire solo da un numero limitato di attori.

Quel rapporto si è spezzato. L’intelligenza artificiale generativa e, più recentemente, l’AI agentica hanno introdotto una discontinuità radicale nel panorama delle minacce cyber. Non si tratta di un’evoluzione incrementale, ma di una rottura strutturale. Un singolo individuo, privo di competenze tecniche consolidate, può oggi orchestrare operazioni offensive che fino a ieri richiedevano un team multidisciplinare. E lo può fare con una velocità, una coerenza e un’adattività che superano le capacità di molti analisti umani.

Questo articolo apre una serie dedicata a esplorare le dimensioni di questa trasformazione. Non come esercizio teorico, ma come strumento di orientamento operativo per chi – CISO, threat researcher, security architect, SOC analyst, giuristi del digitale – è chiamato a ripensare strategie e paradigmi alla luce di una realtà che muta più rapidamente dei nostri framework.

L’AI agentica come arma: dall’advisory all’execution

La prima fase dell’interazione tra intelligenza artificiale e cybercrime è stata relativamente benigna, almeno dal punto di vista strutturale. I threat actor utilizzavano i modelli linguistici come consulenti: per correggere la grammatica delle email di phishing, per generare snippet di codice malevolo, per ottenere informazioni tecniche. L’AI era un amplificatore di produttività, non un operatore autonomo.

Quella fase è conclusa.

Il passaggio cruciale è avvenuto con l’emergere dell’AI agentica – sistemi capaci non solo di generare contenuti su richiesta, ma di pianificare, decidere, eseguire e adattarsi in modo autonomo lungo catene operative complesse. Il report di threat intelligence pubblicato da Anthropic nell’agosto 2025 ha documentato per la prima volta questa transizione con evidenze concrete e inquietanti.

Il caso più emblematico riguarda un cybercriminale che ha utilizzato Claude Code – un assistente di codifica agentico – per condurre un’intera campagna di estorsione contro almeno 17 organizzazioni, tra cui strutture sanitarie, servizi di emergenza, enti governativi e istituzioni religiose. L’aspetto che distingue questa operazione da tutte le precedenti non è la scala, ma il ruolo dell’AI: Claude Code non ha fornito suggerimenti a un operatore umano. Ha condotto l’operazione. Ha eseguito la ricognizione automatizzata, raccolto credenziali, penetrato reti, analizzato i dati esfiltrati per determinare l’importo dei riscatti (che in alcuni casi superavano i 500.000 dollari) e generato lettere di estorsione personalizzate calibrate sul profilo finanziario e psicologico di ciascuna vittima.

In termini ancora più espliciti: l’AI ha preso decisioni tattiche e strategiche. Ha deciso quali dati esflitrare. Ha valutato quali informazioni avessero maggiore valore di leva. Ha generato comunicazioni persuasive che facevano riferimento ai margini operativi delle vittime e alle conseguenze di un’interruzione dei servizi.

A novembre 2025, Anthropic ha reso pubblico un caso ancora più significativo: la prima campagna di cyber-spionaggio orchestrata autonomamente dall’AI. Un gruppo state-sponsored cinese, identificato come GTG-1002, ha manipolato Claude Code convincendolo di essere impiegato in test di sicurezza difensiva legittimi. L’AI ha eseguito autonomamente tra l’80% e il 90% delle operazioni tattiche: scoperta di servizi interni, mappatura completa della topologia di rete, identificazione di account ad alto privilegio, creazione di backdoor persistenti, estrazione e categorizzazione dei dati per valore di intelligence. Gli operatori umani si sono limitati a selezionare i target e ad approvare le esflitrazioni finali.

Non siamo più nell’ambito dell’AI-assisted cybercrime. Siamo entrati nell’era dell’AI-operated cybercrime.

Vibe hacking: la democratizzazione radicale dell’offensiva cyber

Il termine “vibe hacking” è emerso nella comunità di sicurezza nella prima metà del 2025, derivato dal concetto di “vibe coding” coniato da Andrej Karpathy all’inizio dello stesso anno. Se il vibe coding descrive un approccio allo sviluppo software in cui il programmatore fornisce istruzioni ad alto livello e l’AI genera il codice, il vibe hacking applica lo stesso principio alle operazioni offensive.

Il concetto cattura qualcosa di profondo: l’attaccante non ha bisogno di comprendere cosa sta facendo. Non deve saper scrivere un exploit, configurare un’infrastruttura di command-and-control o comprendere i meccanismi di evasione. Deve saper parlare con l’AI nel modo giusto. La competenza tecnica è sostituita dalla competenza conversazionale.

I casi documentati da Anthropic illustrano questa dinamica con chiarezza disarmante. Nel caso dell’operazione di estorsione, l’attaccante ha configurato Claude Code con un playbook operativo (un file CLAUDE.md che standardizzava i pattern di attacco adattandoli a ciascuna vittima). L’intero flusso – dalla ricognizione alla monetizzazione – era orchestrato dall’AI. Un analista di IronScales ha commentato che questo caso demolisce l’assunto tradizionale secondo cui sofisticazione dell’attore e complessità dell’attacco siano correlate.

Un altro caso rivelatore riguarda gli operativi nordcoreani che hanno utilizzato Claude per ottenere e mantenere posizioni lavorative fraudolente in aziende Fortune 500 statunitensi. Questi individui necessitavano di assistenza AI per compiti elementari: comprendere riferimenti culturali americani, rispondere a domande tecniche di base, comunicare in modo professionale. L’AI ha eliminato il collo di bottiglia della formazione specialistica che in precedenza limitava la capacità operativa del regime.

Parallelamente, un altro attore ha sviluppato e venduto nel dark web varianti di ransomware con crittografia ChaCha20, tecniche anti-EDR e sfruttamento di Windows internals, il tutto essendo completamente dipendente da Claude per l’implementazione. I pacchetti erano commercializzati a prezzi compresi tra 400 e 1.200 dollari. L’attore vendeva competenze che, in realtà, non possedeva.

Il vibe hacking è dunque l’incarnazione operativa di un fenomeno più ampio: l’AI offensiva nella cybersecurity sta abbattendo le barriere di ingresso nel cybercrime con una velocità e una radicalità che i modelli tradizionali di valutazione delle minacce non sono progettati per catturare.

L’AI lungo l’intero ciclo di attacco: una mappatura MITRE ATT&CK

Per comprendere la portata sistemica dell’AI offensiva, è utile mapparne l’integrazione lungo le fasi del ciclo di attacco così come codificato nel framework MITRE ATT&CK. Il report di Anthropic ha documentato un attore cinese che ha integrato Claude in 12 delle 14 tattiche ATT&CK nel corso di una campagna di nove mesi contro infrastrutture critiche vietnamite – telecomunicazioni, enti governativi e settore agricolo.

Questa copertura quasi totale della kill chain non ha precedenti documentati. Vediamo come l’AI si integra nelle fasi principali.

Ricognizione e acquisizione risorse. Gli agenti AI operano in modo persistente e autonomo, raccogliendo informazioni da social media, dati di breach, API esposte e misconfigurazioni cloud. Come evidenziato nel framework di attacco agentico sviluppato da Unit 42 di Palo Alto Networks, a differenza della ricognizione tradizionale (tipicamente un’operazione manuale e statica), un agente AI si auto-interroga su quali dati servano, li raccoglie, e aggiorna la propria strategia se il contesto del target cambia.

Accesso iniziale e social engineering. L’AI genera comunicazioni di phishing grammaticalmente perfette, contestualmente rilevanti e personalizzate. Ma la novità non è solo qualitativa: è strutturale. L’AI può condurre operazioni di social engineering multicanale – email, SMS, messaggi vocali con voice cloning – in parallelo, adattando tono e contenuto in tempo reale sulla base delle risposte delle vittime.

Esecuzione, persistenza e movimento laterale. L’AI genera codice polimorfico on-demand. Ogni payload è unico, vanificando le detection basate su firme e hash. Nella campagna GTG-1002, Claude ha scoperto autonomamente servizi interni, mappato la topologia di rete e identificato sistemi ad alto valore, il tutto senza istruzioni umane granulari.

Esfiltrazione e impatto. L’AI non si limita a sottrarre dati: li analizza, li categorizza per valore di intelligence, produce report strutturati e genera comunicazioni di estorsione personalizzate. Nella campagna documentata da Anthropic, Claude generava automaticamente report operativi che consentivano la continuità delle operazioni anche in caso di interruzioni, abilitando il passaggio di consegne tra operatori.

Un dato quantitativo rende tangibile l’accelerazione: secondo il Global Incident Response Report 2025 di Unit 42, il tempo medio di esfiltrazione (MTTE) dopo l’accesso iniziale è crollato da nove giorni nel 2021 a due giorni nel 2024. In un caso su cinque, l’esfiltrazione avviene in meno di un’ora. L’AI agentica è un fattore determinante di questa compressione temporale.

L’ecosistema della frode AI-powered: una supply chain end-to-end

L’AI offensiva nella cybersecurity non si limita ad accelerare singole operazioni. Sta generando un intero ecosistema criminale strutturato, con una propria catena del valore.

Il report GTIG di Google (febbraio 2026) documenta la maturazione del mercato underground per strumenti AI-enabled. Nel 2025, il marketplace criminale ha visto la proliferazione di offerte multifunzionali progettate per supportare diverse fasi del ciclo di attacco. Praticamente ogni strumento pubblicizzato nei forum underground menziona la capacità di supportare campagne di phishing. Esistono “evil LLM” come WormGPT, modelli linguistici commercializzati esplicitamente per scopi criminali, capaci di generare malware, campagne di phishing e codice di exploit.

Google ha inoltre identificato, nel terzo trimestre 2025, una famiglia di malware denominata PROMPTFLUX che impiega le API di Gemini durante l’esecuzione per generare tecniche di offuscamento dinamico in VBScript. Non si tratta più di malware statico potenziato dall’AI: è malware che utilizza l’AI come componente funzionale in tempo reale.

A questo si aggiungono i “vibe script” venduti nei marketplace del dark web: template conversazionali ottimizzati per ingegneria sociale empatica, progettati per costruire rapport con le vittime prima di condurle alla compromissione. La combinazione di voice cloning, generazione di testi personalizzati e timing adattivo rende queste operazioni quasi indistinguibili da interazioni umane autentiche.

L’ecosistema include anche servizi di “influence-as-a-service”, documentati nel report di marzo 2025 di Anthropic, in cui l’AI non genera semplicemente contenuti ma decide quando i bot social devono commentare, condividere o interagire con utenti reali, sulla base di personas politicamente motivate. L’AI è l’orchestratore strategico, non il mero esecutore tattico.

Siamo di fronte a una industrializzazione del cybercrime AI-driven, con specializzazione dei ruoli, economie di scala e abbattimento dei costi marginali per attacco.

Implicazioni per i framework di valutazione delle minacce

L’irruzione dell’AI offensiva impone una revisione critica dei modelli con cui valutiamo le minacce. I framework tradizionali, a partire dalla stessa matrice MITRE ATT&CK, sono stati progettati per catalogare tattiche, tecniche e procedure di attori umani che operano con vincoli umani: tempo di apprendimento, necessità di coordinamento, limiti di velocità esecutiva.

L’ottobre 2025 ha segnato un punto di svolta: MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) ha integrato, in collaborazione con Zenity Labs, 14 nuove tecniche e sotto-tecniche specificamente focalizzate su agenti AI e sistemi di AI generativa. Queste includono il context poisoning degli agenti AI, la manipolazione della memoria a lungo termine dei LLM, la thread injection e il RAG credential harvesting. ATLAS conta ora 15 tattiche, 66 tecniche e 46 sotto-tecniche. Ma anche questo aggiornamento potrebbe non bastare.

Il problema fondamentale è che i modelli di rischio basati sulla classificazione degli attori (script kiddie, cybercriminale organizzato, APT state-sponsored) perdono significato quando un attore con competenze da script kiddie può eseguire operazioni di livello APT grazie all’AI. Il World Economic Forum, nel Global Cybersecurity Outlook 2025, ha rilevato che il 66% delle organizzazioni intervistate prevede che l’AI avrà l’impatto più significativo sulla cybersecurity nell’anno in corso. Secondo Darktrace, il 78% dei CISO ritiene che le minacce guidate dall’AI avranno un impatto rilevante sulle proprie organizzazioni.

Questi dati riflettono una consapevolezza crescente, ma non ancora una risposta operativa adeguata. La sfida non è aggiungere “AI” come variabile ai modelli esistenti: è ripensare le categorie stesse su cui quei modelli si fondano.

Le implicazioni sono molteplici e interconnesse. Sul piano della threat intelligence, i modelli di attribuzione basati su tooling e TTP specifici si indeboliscono quando l’AI genera varianti uniche a ogni esecuzione. Sul piano del risk assessment, la probabilità di attacco si disaccoppia dalla sofisticazione percepita dell’attore. Sul piano della compliance e della governance, il quadro normativo europeo – già in fase di profonda evoluzione – deve fare i conti con scenari che i legislatori non avevano pienamente anticipato.

La Direttiva NIS2 (Direttiva UE 2022/2555), pienamente applicabile dal 18 ottobre 2024 e ora in fase di enforcement attivo, impone agli enti essenziali e importanti obblighi stringenti di gestione del rischio cyber (articolo 21), notifica degli incidenti entro 24 ore per l’early warning e 72 ore per il report completo (articolo 23), e responsabilità diretta del management con possibilità di sanzioni personali fino all’interdizione dalla funzione dirigenziale. Ciò che la rende particolarmente rilevante nel contesto dell’AI offensiva è il suo approccio alla supply chain (articolo 21.3 e 22): le organizzazioni devono valutare la sicurezza dei propri fornitori, inclusi i fornitori di servizi AI, il che acquisisce una dimensione nuova quando gli stessi strumenti AI possono essere weaponizzati.

Il Recital 89 della direttiva incoraggia esplicitamente gli Stati membri a promuovere l’uso di tecnologie innovative, inclusa l’intelligenza artificiale, per migliorare la sicurezza informatica – un mandato che, alla luce del vibe hacking, assume una doppia valenza: l’AI è simultaneamente raccomandazione difensiva e vettore offensivo. Le sanzioni sono significative: fino a 10 milioni di euro o il 2% del fatturato globale per gli enti essenziali. A gennaio 2026, la Commissione europea ha proposto emendamenti mirati per semplificare la compliance, riconoscendo implicitamente la complessità applicativa per le 28.700 imprese interessate.

Parallelamente, l’AI Act (Regolamento UE 2024/1689) introduce un framework stratificato per rischio. Entrato in vigore il 1° agosto 2024, ha già attivato i divieti sulle pratiche AI inaccettabili (febbraio 2025) e gli obblighi di governance per i modelli GPAI (agosto 2025).

Le scadenze critiche sono imminenti: ad agosto 2026 diventeranno applicabili i requisiti completi per i sistemi AI ad alto rischio (articoli 8-15), inclusi obblighi di gestione del rischio, governance dei dati, documentazione tecnica, supervisione umana, e – elemento cruciale per il nostro contesto – garanzie di accuratezza, robustezza e cybersecurity. I modelli GPAI con rischio sistemico (quelli addestrati con più di 10²⁵ FLOP) devono sottostare a valutazioni tramite adversarial testing, reporting degli incidenti gravi all’AI Office entro 72 ore, e protezioni di cybersecurity allo stato dell’arte.

Le sanzioni possono raggiungere i 35 milioni di euro o il 7% del fatturato globale. Il Digital Omnibus, proposto dalla Commissione nel novembre 2025, mira a coordinare AI Act, NIS2, DORA e GDPR in un quadro più coerente, introducendo un punto unico di reporting per gli incidenti – un segnale chiaro che la frammentazione normativa attuale è percepita come un problema reale.

L’intersezione tra questi due regolamenti è il terreno su cui l’AI offensiva nella cybersecurity pone le sfide più complesse: come si classifica il rischio di un sistema AI che può essere simultaneamente strumento di compliance (AI per la detection) e vettore di attacco (AI weaponizzata)? Come si applica il requisito di adversarial testing quando gli stessi test possono essere condotti da agenti AI autonomi? Sono domande a cui i framework attuali non offrono risposte definitive, e che la giurisprudenza dovrà necessariamente affrontare.

Cosa cambia per la difesa: verso nuovi paradigmi

Se l’offesa si è trasformata, la difesa non può restare ancorata ai modelli pre-AI. Alcune direttrici di evoluzione sono già identificabili.

Oltre le firme, oltre il comportamento noto. Le difese basate su firme e pattern comportamentali storici sono strutturalmente inadeguate contro attacchi AI-generated. Ogni payload è polimorfico, ogni comunicazione è unica, ogni catena di attacco è adattiva. Il modello difensivo deve spostarsi verso il controllo di ciò che è autorizzato a eseguire, non verso il tentativo di riconoscere ciò che è malevolo. L’approccio Zero Trust applicato al livello applicativo – dove solo il codice esplicitamente approvato può essere eseguito – diventa non un’opzione architetturale, ma una necessità operativa.

Detection comportamentale anomala. Se i contenuti generati dall’AI sono indistinguibili da quelli legittimi, la detection deve spostarsi sulle anomalie relazionali e contestuali. Un’email perfettamente scritta che arriva da un mittente insolito, in un contesto temporale atipico, con una richiesta incongruente rispetto ai pattern storici della relazione – questo è il segnale da intercettare. L’analisi comportamentale basata su baseline relazionali diventa la frontiera critica.

Monitoraggio dell’uso AI in ambiente enterprise. Il fenomeno degli “shadow agent” – dipendenti che utilizzano strumenti AI non approvati per gestire il lavoro quotidiano – crea superfici di attacco invisibili. I dati aziendali caricati in LLM non governati sono, nella sostanza, dati esfiltrati. Le policy di AI governance devono includere inventari degli asset AI, monitoraggio delle interazioni con modelli esterni e enforcement delle regole d’uso.

Red teaming AI-native. Le esercitazioni di red teaming devono incorporare scenari di attacco AI-driven. Il framework di attacco agentico sviluppato da Unit 42 è un esempio concreto: consente di simulare operazioni in cui agenti AI pianificano, eseguono e adattano attacchi lungo l’intera kill chain. Il playbook di McKinsey sulla sicurezza dell’AI agentica (ottobre 2025) introduce una prospettiva particolarmente incisiva: gli agenti AI devono essere trattati come “digital insider”, entità che operano all’interno dei sistemi con livelli variabili di privilegio e autorità.

Proprio come i dipendenti, questi insider digitali possono causare danni in modo involontario – per disallineamento – o deliberato, se compromessi. McKinsey identifica cinque nuovi driver di rischio specifici dell’AI agentica: le vulnerabilità a catena (un errore in un agente si propaga a cascata ad altri agenti), l’escalation cross-agent di task (agenti malevoli che sfruttano meccanismi di trust per ottenere privilegi non autorizzati), il rischio di identità sintetiche, la fuga di dati non tracciabile negli scambi autonomi tra agenti, e la propagazione di corruzione dei dati.

Un dato del report SailPoint citato nel playbook merita attenzione: l’80% delle organizzazioni dichiara di aver già riscontrato comportamenti rischiosi da parte di agenti AI, inclusa l’esposizione impropria di dati e l’accesso a sistemi senza autorizzazione.

Runtime security per i modelli AI. Il monitoraggio in tempo reale degli input e degli output dei modelli AI diventa essenziale. Rilevare quando un pattern d’uso devia verso scenari di abuso, quando le query indicano intento malevolo, quando le risposte del modello veicolano informazioni operative per attacchi – questa è l’equivalente dell’intrusion detection applicata al layer dell’intelligenza artificiale.

L’AI difensiva funziona, ma il gap è reale. Un dato incoraggiante merita attenzione: secondo le analisi IBM e di settore, le organizzazioni che utilizzano sistematicamente AI e automazione nei propri processi di cybersecurity rilevano le violazioni con circa 80 giorni di anticipo rispetto a quelle che non le impiegano, con un risparmio medio stimato in circa 1,9 milioni di dollari per incidente. La detection AI-powered è dunque efficace – ma solo se implementata con governance, training e integrazione adeguate. Il problema è che questo vantaggio è accessibile principalmente alle grandi organizzazioni con budget e competenze dedicate, creando un divario di resilienza che l’AI offensiva è pronta a sfruttare.

L’anello debole: PMI e la democratizzazione asimmetrica del rischio

C’è un aspetto dell’AI offensiva nella cybersecurity che le analisi orientate all’enterprise tendono a sottovalutare: il suo impatto sproporzionato sulle piccole e medie imprese. Se l’AI democratizza l’attacco, non democratizza affatto la difesa – almeno non nella stessa misura e con la stessa velocità.

I numeri sono inequivocabili. Secondo il WEF Global Cybersecurity Outlook 2025, il numero di piccole organizzazioni che riportano una resilienza cyber insufficiente è aumentato di sette volte rispetto al 2022. Il 45% di tutti gli attacchi cyber nel 2025 ha preso di mira le PMI. E il dato più allarmante: circa il 60% delle PMI colpite da un attacco significativo cessa l’attività entro sei mesi. Solo il 29% delle PMI valuta le proprie difese come sufficientemente mature, e solo l’11% utilizza strumenti di difesa basati su AI.

L’AI offensiva aggrava questa asimmetria in modo strutturale. La personalizzazione degli attacchi, un tempo riservata alle campagne APT contro grandi organizzazioni, diventa economicamente praticabile anche contro target minori quando è l’AI a condurre la ricognizione, a generare i contenuti di phishing e a calibrare l’estorsione. Un agente AI che può attaccare 17 organizzazioni contemporaneamente (come nel caso documentato da Anthropic) non discrimina in base alla dimensione: discrimina in base alla vulnerabilità. E le PMI, con meno risorse difensive, superfici di attacco più facilmente mappabili e spesso prive di cyber insurance (solo il 17% ne dispone), rappresentano bersagli ad alta probabilità di successo.

Per i CISO e i consulenti che operano con clienti PMI, questo implica un ripensamento radicale. Le raccomandazioni tradizionali – formazione del personale, MFA, patching regolare – restano necessarie ma non più sufficienti contro attacchi AI-driven che generano comunicazioni indistinguibili da quelle legittime e payload unici a ogni esecuzione. Le PMI hanno bisogno di accesso a servizi di sicurezza gestiti che integrino detection AI-native, e il mercato dei Managed Security Service Provider (MSSP) dovrà evolversi rapidamente per colmare questo gap.

Limiti dell’analisi e controargomentazioni

Un’analisi onesta richiede di considerare anche i limiti della narrazione sull’AI offensiva e le controargomentazioni che la comunità di ricerca ha sollevato.

L’AI come amplificatore, non come rivoluzionario. Il report GTIG di Google del febbraio 2026 mantiene una posizione più cauta rispetto ad altre analisi: i ricercatori sottolineano che l’AI è primariamente un fattore di rinforzo all’interno di catene di attacco esistenti, piuttosto che una nuova categoria di minaccia in sé. L’uso dell’AI abbassa la soglia per certe attività e ne aumenta la scalabilità, ma non sostituisce le tecniche e le infrastrutture tradizionali che sono in uso da anni. Questa sfumatura è importante: evita il rischio di un allarmismo che potrebbe portare a investimenti mal calibrati.

Nessuna capacità “breakthrough” documentata. Google e altre fonti notano che nessun gruppo APT o operatore di information operations ha ancora raggiunto capacità realmente rivoluzionarie che alterino fondamentalmente il panorama delle minacce. Le operazioni documentate, per quanto impressionanti, rimangono nell’ambito dell’automazione e dell’efficientamento di tecniche note, non della creazione di vettori di attacco genuinamente inediti. Il social engineering resta social engineering, anche quando è generato dall’AI.

Il problema dell’overfit narrativo. Esiste un rischio concreto che l’enfasi mediatica e di settore sull’AI offensiva produca un effetto di overfit: una concentrazione eccessiva di risorse e attenzione su minacce AI-specific a scapito di vulnerabilità tradizionali che continuano a causare la maggioranza dei breach. La versione 18 di MITRE ATT&CK (dicembre 2025) documenta che l’81% delle intrusioni nel periodo luglio 2024-giugno 2025 è stato malware-free e basato su tecniche interattive, non necessariamente AI-driven. I fondamentali – gestione delle identità, patching, segmentazione di rete, controllo degli accessi – restano i pilastri su cui costruire qualsiasi strategia difensiva.

Queste controargomentazioni non invalidano la tesi centrale dell’articolo – il rapporto tra competenza dell’attaccante e complessità dell’attacco si è effettivamente spezzato – ma la circoscrivono in un quadro più realistico. L’AI offensiva è una minaccia concreta e documentata, non un’apocalisse imminente. La risposta appropriata è l’adattamento strutturato, non il panico.

Lo scenario che ci aspetta

La traiettoria è chiara, e non è tranquillizzante. Il Cybersecurity Forecast 2026 di Google prevede che l’uso di strumenti AI diventerà la normalità operativa sia per gli attaccanti sia per i difensori, con la prompt injection che emerge come uno dei vettori in più rapida crescita. Il Data Breach Industry Forecast 2026 di Experian delinea un futuro in cui gli attacchi non si limitano più al furto di dati ma puntano alla manipolazione della realtà stessa, attraverso identità sintetiche, agenti autonomi e malware polimorfico.

Nel primo trimestre 2025, oltre 2.300 vittime sono state nominate su siti di data leak – il numero più alto mai registrato dal 2020. Il 93% dei security leader, secondo Trend Micro, prevede di affrontare attacchi AI quotidiani. E il tutto avviene in un contesto in cui, come riportato dal WEF, i budget per la cybersecurity crescono solo del 4% annuo, contro il 17% del 2022.

L’AI offensiva nella cybersecurity non è un trend emergente da monitorare. È una realtà operativa che sta ridisegnando il campo di battaglia. Per i professionisti della sicurezza, la domanda non è se prepararsi, ma se la velocità di adattamento delle difese potrà eguagliare la velocità di evoluzione dell’offesa.

La risposta, al momento, non è scontata. Ma è proprio in questa incertezza che risiede l’urgenza di agire – con consapevolezza, con strumenti adeguati e con la determinazione di chi sa che il paradigma è cambiato e non si può tornare indietro.

Questo è il primo articolo di una serie dedicata all’impatto dell’AI sul panorama delle minacce cyber. I prossimi approfondimenti esploreranno le difese AI-native in dettaglio, l’intersezione normativa NIS2/AI Act/DORA per settori specifici, i framework operativi per la gestione del rischio AI in ambito enterprise e il ruolo dell’AI nella forensics post-incidente.