L’intelligenza artificiale sta sparigliando le carte nella cybersecurity. Il white paper Empowering Defenders: AI for Cybersecurity, realizzato dal World Economic Forum in collaborazione con Kpmg, mette a fuoco le condizioni necessarie per usare l’intelligenza artificiale nella sicurezza informatica in modo efficace e controllato. Il documento analizza applicazioni già operative lungo l’intero ciclo della cybersecurity, dalla governance alla threat intelligence, dalla protezione dei sistemi alla risposta agli incidenti. L’obiettivo è fornire a executive e chief information security officer un percorso di adozione basato su priorità aziendali, qualità dei dati, competenze, progetti pilota e supervisione umana.
In questo contesto l’intelligenza artificiale può generare benefici nella sicurezza informatica, ma solo quando viene adottata con una strategia precisa. Non basta introdurre nuovi strumenti nei processi esistenti. Quello che serve sono priorità aziendali definite, dati affidabili, processi documentati, competenze adeguate, infrastrutture compatibili e regole di governance in grado di stabilire ruoli, responsabilità e limiti.
E gli executive e chief information security officer dovrebbero seguire un percorso progressivo: prima occorre collegare l’adozione dell’intelligenza artificiale agli obiettivi dell’organizzazione; poi bisogna valutare la maturità interna, avviare progetti pilota, misurarne i risultati e solo in seguito passare a una diffusione più ampia. Il valore dell’intelligenza artificiale nella cybersecurity dipende dalla capacità di inserirla in un modello di gestione del rischio già solido.
Indice degli argomenti
La pressione degli attacchi spinge verso nuovi strumenti
E l’AI cambia anche a velocità e complessità delle minacce. Gli attaccanti usano strumenti basati sull’intelligenza artificiale per accelerare la ricognizione, individuare vulnerabilità, generare codice malevolo, costruire campagne di phishing più credibili e aggirare alcuni controlli tradizionali. Si tratta di una “svolta” che aumenta la pressione sui team di sicurezza, che devono analizzare grandi quantità di segnali e intervenire in tempi sempre più brevi.
Una trasformazione che i dati raccontano bene. Il 94% degli intervistati nel Global Cybersecurity Outlook 2026, citato nel paper, considera l’intelligenza artificiale il principale fattore di cambiamento nella cybersecurity. Il 77% delle organizzazioni dichiara già di usarla in attività di sicurezza. L’adozione, però, non è uniforme. Le grandi imprese dispongono in genere di maggiori risorse economiche, dati più strutturati e competenze tecniche più sviluppate. Le organizzazioni più piccole, le amministrazioni pubbliche e le realtà non profit incontrano invece maggiori ostacoli legati a budget, personale e maturità dei processi.
Per quanto riguarda i benefici misurabili, l’88% dei team di sicurezza segnala risparmi di tempo e maggiori possibilità di dedicarsi ad attività preventive. Le organizzazioni che usano in modo esteso l’intelligenza artificiale nella sicurezza hanno ridotto di circa 80 giorni i tempi legati alle violazioni e di 1,9 milioni di dollari il costo medio degli incidenti. Numeri, questi, che spiegano perché la cybersecurity stia diventando uno degli ambiti più concreti di applicazione dell’intelligenza artificiale in azienda.
Dati interni e contesto aziendale fanno la differenza
Uno dei temi centrali riguarda la qualità del contesto disponibile ai difensori. Gli attaccanti osservano l’organizzazione dall’esterno e cercano punti deboli. I team di sicurezza, invece, possono usare dati interni su asset, utenti, configurazioni, vulnerabilità, log, processi e priorità di business. Se questi dati sono completi e accessibili, l’intelligenza artificiale può aiutare a distinguere i segnali rilevanti dal rumore operativo.
Questo aspetto è particolarmente importante nella gestione delle vulnerabilità. Un sistema intelligente può valutare non solo la gravità teorica di una falla, ma anche il ruolo dell’asset coinvolto, la probabilità di sfruttamento, la presenza di minacce attive e il possibile collegamento con altre debolezze. In questo modo i team possono concentrare gli interventi sulle situazioni più rischiose.
La priorità non è automatizzare ogni attività, ma migliorare la qualità delle decisioni. Molte organizzazioni rischiano di adottare strumenti avanzati senza aver prima chiarito quali problemi intendano risolvere: certamente l’intelligenza artificiale può ridurre i tempi di analisi, suggerire azioni e supportare il lavoro degli analisti, ma non sostituisce la necessità di una valutazione umana nei casi ad alto impatto.
Governance, audit e controllo delle policy
Il white paper organizza i casi d’uso lungo le sei funzioni del Cybersecurity Framework 2.0 del National Institute of Standards and Technology: governare, identificare, proteggere, rilevare, rispondere e recuperare. La prima funzione, quella della governance, riguarda il controllo dei rischi, la conformità alle norme, la coerenza delle policy e l’allineamento tra sicurezza e requisiti di business.
In questo ambito l’intelligenza artificiale può verificare configurazioni, audit trail e implementazione dei controlli. Può anche aiutare a confrontare requisiti regolatori diversi, riducendo la complessità per le organizzazioni che operano in più Paesi. Un altro campo di applicazione riguarda la validazione delle policy interne, ad esempio per controllare se standard di password, autenticazione multifattore o impostazioni cloud siano applicati correttamente.
Il caso Rubrik citato dal report mostra un uso avanzato dell’intelligenza artificiale nella revisione della sicurezza dei prodotti. L’azienda ha sviluppato una piattaforma con più agenti per analizzare documenti di design, diagrammi architetturali e codice sorgente. Il sistema genera valutazioni di rischio, mappa le minacce, verifica le correzioni implementate e produce report di certificazione. Secondo il white paper, questo approccio ha aumentato di tre volte la copertura delle revisioni, ridotto del 50% i tempi e migliorato l’accuratezza dei risultati.
Threat intelligence e individuazione dei rischi
La funzione di identificazione riguarda la mappatura dell’ambiente digitale, l’inventario degli asset e la valutazione dei rischi. È uno degli ambiti in cui il report registra un numero elevato di casi d’uso. L’intelligenza artificiale può trasformare grandi quantità di dati grezzi in informazioni utilizzabili dagli analisti, collegare indicatori di compromissione, individuare relazioni tra campagne malevole e supportare attività di threat intelligence.
Kpmg, ad esempio, ha addestrato un modello personalizzato sul proprio archivio di intelligence. Gli analisti possono interrogarlo in linguaggio naturale e ricevere contesto, collegamenti tra attacchi, risultati di sandboxing e indicazioni sui possibili gruppi responsabili. Il risultato indicato è un aumento del 25% dell’efficienza operativa, con minore lavoro manuale e maggiore capacità di seguire più attori malevoli in parallelo.
Microsoft, attraverso la Digital Crimes Unit, ha sviluppato Haystack, uno strumento che usa l’intelligenza artificiale per individuare rapidamente indicatori di minaccia all’interno di grandi volumi di documenti e risposte legali. L’obiettivo è ridurre i tempi delle indagini forensi e rendere più semplice la comunicazione delle informazioni ai team difensivi e ai clienti. Il report segnala che attività prima misurate in ore possono essere completate in pochi minuti.
Un altro caso riguarda Accenture, che ha applicato l’intelligenza artificiale alla gestione della propria superficie d’attacco esterna. Agent Oliver analizza siti esposti su Internet, controlla la presenza di problemi comuni e testa applicazioni web tramite agenti specializzati. L’azienda lo ha distribuito su oltre 100mila siti, riducendo il tempo di analisi per ciascun sito da circa 15 minuti a meno di un minuto.
Protezione del software, cloud e identità
La funzione di protezione riguarda le misure che limitano la probabilità o l’impatto degli attacchi. Il report cita applicazioni nella sicurezza del software, nella gestione delle configurazioni, nella protezione dei domini, nella classificazione dei dati, nell’identity management e nella formazione del personale.
Google rappresenta uno dei casi più rilevanti. Big Sleep, agente basato sull’intelligenza artificiale, cerca vulnerabilità sconosciute nel software. CodeMender, sviluppato da Google DeepMind, genera patch per correggere problemi di sicurezza. Le correzioni vengono comunque sottoposte alla revisione di ricercatori umani prima di essere proposte upstream. Secondo il documento, CodeMender ha già corretto più di 100 problemi critici, inclusi casi in codebase complesse come il motore JavaScript V8.
AXIS Capital usa l’intelligenza artificiale per integrare controlli di sicurezza nei processi di sviluppo applicativo e nelle architetture cloud. Il sistema analizza codice e configurazioni, valuta il rischio in base a sfruttabilità e impatto sul business, suggerisce rimedi e monitora in tempo reale le configurazioni cloud. L’obiettivo è ridurre il carico sugli sviluppatori e prevenire errori prima che arrivino in produzione.
Nel caso del Dubai Electronic Security Center, l’intelligenza artificiale è applicata alla protezione della navigazione. RZAM, estensione browser e app mobile, analizza in tempo reale le pagine web per bloccare contenuti malevoli. Il sistema è stato addestrato su oltre un milione di Url e, secondo il report, raggiunge un’accuratezza superiore al 95% nell’identificazione dei siti malevoli.
Rilevamento delle minacce e riduzione del rumore operativo
Il rilevamento è oggi uno degli ambiti più maturi. I team di sicurezza devono controllare endpoint, rete, identità, e-mail, applicazioni e ambienti cloud. Il volume degli alert rende difficile distinguere rapidamente gli eventi realmente critici. L’intelligenza artificiale può contribuire alla prioritizzazione, alla correlazione e all’analisi dei comportamenti anomali.
Allianz ha sviluppato un sistema di analisi basato su ipotesi per evitare la raccolta centralizzata di quantità ingestibili di dati dagli endpoint. Invece di trasferire tutti i dati, il sistema genera ipotesi quando si attiva un alert, individua quali informazioni servono per verificarle e le recupera on demand tramite interfacce forensi. Questo consente di svolgere analisi su larga scala senza sovraccaricare l’infrastruttura.
Il Canadian Centre for Cyber Security ha integrato funzionalità di sintesi basate sull’intelligenza artificiale in Assemblyline, sistema open source di analisi e triage del malware. La piattaforma usa oltre 50 servizi analitici e può gestire milioni di file al giorno. Le nuove funzioni aiutano a ridurre il carico cognitivo degli analisti e a trasformare risultati tecnici in informazioni operative.
Santander ha usato l’intelligenza artificiale per migliorare il rilevamento del phishing. La soluzione combina analisi del dominio, ispezione visiva, controllo del brand e analisi semantica. Un modello linguistico multilingue, addestrato internamente, riconosce anche le tecniche psicologiche tipiche dei messaggi fraudolenti, come urgenza, autorità o scarsità. Il report indica un miglioramento di almeno il 10% nell’efficacia del rilevamento.
IBM, con ATOM, automatizza indagini e triage nei servizi gestiti di sicurezza. Il sistema gestisce circa il 95% delle investigazioni quotidiane, mentre gli analisti si concentrano sulla supervisione e sulle escalation. I risultati indicati includono oltre 850 ore di lavoro automatizzate al mese e una riduzione del 37% dei tempi di indagine.
Incident response: tempi più brevi e processi più coerenti
La risposta agli incidenti richiede raccolta di informazioni, classificazione, contenimento, comunicazione e decisioni rapide. Il report mostra che l’intelligenza artificiale può supportare ogni fase, dalla ricostruzione della timeline alla raccomandazione di contromisure, fino alla produzione di report per pubblici diversi.
Petronas ha integrato funzioni intelligenti nei flussi di lavoro del proprio Security operation center. Gli analisti ricevono sintesi in tempo reale degli incidenti, indicazioni sui passaggi successivi, traduzione dal linguaggio naturale alle query e supporto nella raccolta del contesto. Dopo un pilot di sei mesi, l’organizzazione ha ottenuto in tre mesi una riduzione del 30-40% nei tempi di risposta e risoluzione. Anche il tempo di preparazione dei nuovi analisti è migliorato del 50%.
Standard Chartered ha adottato una strategia di iper-automazione per SOC e case management. La piattaforma assegna punteggi dinamici di rischio, prioritizza alert e casi, arricchisce le segnalazioni con contesto e aiuta gli analisti a produrre sintesi e comunicazioni. L’approccio è stato introdotto gradualmente con guardrail, osservabilità e controlli di disattivazione. Il report segnala una riduzione del 25-35% dello sforzo manuale di triage e un miglioramento del 20-30% nel tempo necessario alla classificazione.
Dream Group ha sviluppato una capacità interna di analisi malware assistita dall’intelligenza artificiale. Il sistema esamina il codice malevolo, individua tecniche di persistenza, escalation, movimento laterale e comunicazione con gli attaccanti. Produce output strutturati, spiegabili e verificati dagli analisti. Secondo il documento, il tempo per generare indicazioni di remediation si è ridotto fino al 95%.
Ripristino e continuità operativa restano meno sviluppati
Il recupero dopo un incidente è l’area in cui l’adozione appare più limitata. Il white paper osserva che le applicazioni dell’intelligenza artificiale in questa fase sono spesso concettuali o ancora in esplorazione. Eppure il potenziale è rilevante, perché il ripristino riguarda la continuità delle operazioni, l’aggiornamento dei piani di recovery, la verifica delle dipendenze e il rafforzamento della resilienza.
L’intelligenza artificiale può supportare la creazione e la gestione dei piani di recupero analizzando dipendenze tra sistemi, scenari di rischio e dati storici sugli incidenti. Può anche aiutare a testare i piani attraverso simulazioni di guasti estesi, individuando lacune e proponendo miglioramenti.
Per le organizzazioni che dipendono da infrastrutture digitali complesse, questo tema è centrale. La sicurezza non riguarda soltanto il blocco degli attacchi, ma anche la capacità di ripristinare servizi, limitare l’impatto operativo e aggiornare i processi dopo un evento. La resilienza richiede prevenzione, risposta e recupero integrati.
La governance riduce il rischio di dipendenza dagli automatismi
Il report dedica attenzione al rischio di eccessiva fiducia nei sistemi intelligenti. L’uso esteso dell’intelligenza artificiale può ridurre la fatica operativa, ma può anche indebolire le competenze se gli analisti smettono di svolgere attività critiche in prima persona. Quando un sistema automatico sbaglia, si interrompe o produce risultati non attendibili, l’organizzazione deve conservare la capacità di intervenire.
Per questo il documento raccomanda di mantenere un equilibrio tra automazione e giudizio umano. I team dovrebbero simulare anche scenari di fallimento dei sistemi intelligenti e predisporre meccanismi di continuità operativa. I processi devono restare comprensibili, verificabili e modificabili.
Il tema riguarda anche la formazione. Il 54% delle organizzazioni considera la carenza di talenti qualificati il principale ostacolo all’adozione dell’intelligenza artificiale nella cybersecurity. Le competenze richieste cambiano: non basta conoscere un singolo strumento. Servono capacità tecniche, pensiero critico, problem solving e abilità di comunicare risultati complessi a interlocutori non tecnici.
L’intelligenza artificiale può ridurre alcune attività manuali, ma aumenta la necessità di professionisti capaci di interpretare, validare e governare i risultati.
Soluzioni interne, fornitori e modelli ibridi
Una decisione rilevante riguarda la scelta tra sviluppare soluzioni interne o acquistare prodotti da vendor. Il report evidenzia che entrambe le opzioni presentano vantaggi e limiti. Le soluzioni costruite internamente offrono maggiore controllo su dati, architettura e modelli, oltre a una personalizzazione più elevata. Richiedono però investimenti consistenti, competenze specialistiche e capacità di manutenzione.
Le soluzioni commerciali consentono tempi di adozione più rapidi e riducono la domanda iniziale di competenze interne. Possono però generare dipendenza dal fornitore, minore flessibilità, costi crescenti nel tempo e rischi legati a portabilità dei dati, compliance e stabilità del vendor.
Molte organizzazioni adotteranno un modello ibrido. Le funzioni più standardizzate potranno essere coperte da strumenti commerciali. Le capacità considerate strategiche o legate a dati particolarmente sensibili potranno essere sviluppate internamente. La scelta dovrebbe dipendere dal ruolo che la cybersecurity ha nel modello di business, dal livello di controllo necessario e dalla disponibilità di competenze.
Agentic AI, autonomia da gestire con cautela
La parte finale del white paper guarda all’evoluzione verso l’agentic AI. Con questa espressione si indicano sistemi in grado di pianificare, coordinare ed eseguire attività con livelli crescenti di autonomia. Nel campo della sicurezza, agenti specializzati potrebbero collaborare su threat intelligence, gestione delle vulnerabilità, rilevamento, risposta e mitigazione.
Il report descrive quattro livelli di autonomia. Nel primo, l’intelligenza artificiale assiste l’analista organizzando dati e producendo sintesi. Nel secondo, raccomanda azioni che devono essere approvate da un essere umano. Nel terzo, esegue azioni reversibili, mentre gli operatori monitorano e possono intervenire. Nel quarto, agisce in modo indipendente, con controlli affidati ad audit o ad altri agenti supervisori.
La scelta del livello corretto dipende dal rischio e dalla reversibilità dell’azione. Bloccare temporaneamente un indirizzo IP sospetto è diverso dall’isolare un sistema critico o revocare credenziali con impatto su servizi essenziali. Le azioni a basso rischio e facilmente annullabili possono essere automatizzate con maggiore libertà. Le decisioni ad alto impatto richiedono supervisione umana più forte.
L’agentic AI introduce anche nuovi problemi. Gli agenti possono ampliare la superficie d’attacco, essere manipolati, ricevere obiettivi configurati male o produrre comportamenti inattesi. In ambienti multi-agente, un errore può propagarsi rapidamente. Per questo servono guardrail tecnici, controlli di governance, tracciabilità delle decisioni e responsabilità definite.
Per le imprese conta la capacità di misurare i risultati
Il percorso suggerito dal white paper parte da una domanda semplice: quale risultato deve produrre l’intelligenza artificiale nella cybersecurity? Le risposte possono riguardare la riduzione del rischio, tempi più brevi di indagine, minore carico sugli analisti, migliore qualità del triage, maggiore copertura dei controlli, riduzione dei costi o migliore conformità normativa.
Senza metriche, i progetti rischiano di restare sperimentazioni isolate. Il documento raccomanda di selezionare piloti con benefici rapidi e misurabili, definire criteri di successo, prevedere punti di uscita e coinvolgere cybersecurity, It e business. Questo approccio riduce il rischio di investire in strumenti che non producono valore reale.
Per le piccole e medie imprese il report suggerisce di partire da uno o due casi d’uso collegati ai rischi più critici. Spesso è possibile usare funzioni già integrate negli strumenti esistenti, senza sviluppare piattaforme complesse. Per le grandi organizzazioni, invece, la priorità è evitare frammentazione. I progetti devono essere coordinati, governati e monitorati nel tempo.
Una volta superata la fase pilota, l’intelligenza artificiale deve essere scalata con attenzione. I modelli possono degradare, i dati possono cambiare, i costi infrastrutturali possono crescere e le minacce possono evolvere. Servono quindi monitoraggio continuo, aggiornamento delle pipeline dati, revisione periodica dei guardrail e report trasparenti verso il management.
La difesa digitale dipenderà da equilibrio e controllo
Il white paper di World Economic Forum e Kpmg mostra che l’intelligenza artificiale è già usata in molti ambiti della cybersecurity: threat intelligence, gestione delle vulnerabilità, protezione del software, rilevamento del phishing, analisi malware, triage degli incidenti e risposta operativa. I casi raccolti indicano benefici concreti in termini di velocità, precisione e capacità di scala.
Il documento chiarisce però che la tecnologia non elimina le responsabilità organizzative. Le imprese devono definire obiettivi, dati, processi, competenze, governance e meccanismi di controllo. Devono anche evitare una dipendenza eccessiva dagli automatismi, conservando competenze interne e capacità di intervento umano.
L’adozione efficace dell’intelligenza artificiale nella cybersecurity richiede un equilibrio tra automazione, supervisione e responsabilità. Le organizzazioni che riusciranno a mantenere questo equilibrio potranno migliorare le proprie difese senza aumentare la fragilità dei processi. Quelle che adotteranno strumenti avanzati senza una strategia rischieranno invece di aggiungere complessità a sistemi già difficili da governare.
