L’intelligenza artificiale ha trasformato radicalmente l’economia della deception informatica. Un aggressore può oggi generare migliaia di esche di phishing credibili, identità fittizie e pretesti personalizzati mentre un difensore completa un singolo ciclo di change control. Questa è la nuova sfida per la sicurezza digitale: la deception è diventata più veloce e più economica, mentre la verifica non ha tenuto il passo.
Gran parte del dibattito sull’AI per la difesa si concentra sui modelli di rilevamento. Rilevare è importante, ma non è l’unico collo di bottiglia. Il vincolo più profondo è l’evidenza: dove risiedono i dati, se sono disponibili quando servono, quanto rapidamente possono essere correlati, per quanto tempo vengono conservati e se analisti o agenti possono fidarsi di ciò che recuperano. La difesa nell’era dell’AI è un problema di dati prima che un problema di rilevamento.
Il vantaggio del difensore è la verità
Gli aggressori possono permettersi di mentire su scala enterprise. Possono testare infinite combinazioni di messaggi, identità, domini e percorsi di attacco, e la maggior parte può fallire a costo quasi zero. I difensori non hanno questo lusso. Il loro vantaggio è la verità: sapere rapidamente cosa è successo, dove, quando, quale identità è stata coinvolta, quali asset sono stati colpiti, cosa è cambiato e quale processo aziendale potrebbe essere a rischio. Questa verità deve essere documentata, governata, verificabile e difendibile.
Sponsored Protocol
Gli attaccanti usano l’AI per scalare deception, impersonificazione, ingegneria sociale e velocità. I difensori hanno bisogno dell’AI per scalare la verifica. L’obiettivo non è solo agire più velocemente dell’aggressore. È intraprendere azioni che persone e macchine possano fidarsi.
Dati frammentati rompono la difesa moderna
Consideriamo un login sospetto da un account di un contraente. Da solo, è solo un’altra anomalia di autenticazione. Per sapere se è rilevante, un team di sicurezza può aver bisogno di storia delle identità, attività degli endpoint, log cloud, record di ticketing, proprietà degli asset, modifiche di configurazione, telemetria di rete e contesto aziendale. Se questi record risiedono in strumenti diversi, scadono in momenti diversi o richiedono più team per essere recuperati, i difensori non stanno indagando sull’incidente. Stanno negoziando con il proprio patrimonio di dati.
Quando i segnali possono essere raggiunti sul posto e correlati rapidamente, il problema non è più solo se il login sembra insolito. Diventa se l’impresa ha abbastanza evidenza, in abbastanza contesto, per intraprendere un’azione che possa difendere. Questa sfida diventa più urgente con assistenti e agenti AI. L’AI può ragionare solo su ciò che può recuperare in tempo per essere rilevante. Se i dati sono parziali, obsoleti, frammentati, non disponibili o privi di contesto, l’AI non crea verità. Accelera l’incertezza.
Sponsored Protocol
Il sistema di record deve diventare un piano di controllo difensivo
Per anni, le imprese hanno trattato le piattaforme di sicurezza, i SIEM e i data lake come repository passivi: luoghi in cui archiviare dati per ricerche e analisi successive. Quel modello non è più sufficiente. Quello di cui le organizzazioni hanno bisogno oggi è un piano di controllo difensivo: un livello che collega cosa è successo, cosa significa e cosa l’impresa è autorizzata a fare al riguardo. In termini architetturali, lega insieme dati grezzi delle macchine, contesto aziendale e policy. Non si limita a memorizzare prove. Rende le prove utilizzabili per decisioni e azioni che devono essere spiegabili e fidate.
In pratica, ciò significa fare quattro cose bene: preservare le prove, raggiungere i dati ovunque risiedano, aggiungere contesto aziendale e governare le azioni. Il vecchio sistema di record rispondeva a una domanda: qual è il record ufficiale? Un piano di controllo difensivo risponde alle domande che contano operativamente: cosa è successo? Cosa significa? Quale prova supporta quella conclusione? E quale azione possiamo fidare?
Sponsored Protocol
L’AI non riduce la necessità di record autorevoli. Alza lo standard di ciò che quei record devono fare. Un piano di controllo difensivo deve preservare le prove, rendere i dati accessibili ovunque risiedano, aggiungere contesto aziendale e governare l’azione. Correlare dati macchina con informazioni aziendali trasforma “anomalia sull’host X” in “il sistema che supporta i servizi di pagamento per i conti principali è sotto esame”. Questo è ciò che permette alle organizzazioni di prioritizzare correttamente.
Nell’era agentica, i sistemi faranno più che riassumere incidenti. Arricchiranno alert, apriranno casi, attiveranno workflow, isoleranno asset, aggiorneranno policy e scaleranno decisioni. Le imprese devono sapere quale prova un agente ha usato, quale policy ha governato l’azione, se è rimasto entro i limiti e come la decisione può essere rivista successivamente. Il vero problema del SOC non è la mancanza di dati ma la mancanza di contesto utilizzabile.
Sponsored Protocol
Secondo il report Splunk State of Security 2025, gli analisti SOC continuano a lottare con troppi alert (59%), troppi falsi positivi (55%) e alert privi di contesto (46%). Il problema non è il volume dei dati. È la difficoltà di trasformare segnali frammentati in decisioni fidate. Oggi gli analisti sono costretti a cucire insieme il contesto manualmente, passando da strumenti disconnessi, e prendendo decisioni ad alto rischio senza il quadro completo in tempo. Anche con l’AI, i risultati dipendono ancora dalla volontà umana di approvare cambiamenti in ambienti frammentati.
Questo crea una crisi quotidiana di contesto. I team sono costretti a prendere decisioni consequenziali basate su dati che non possono facilmente vedere, correlare o fidare. Il risultato è latenza, incoerenza, opportunità perse e rischio inutile. Un’architettura di data fabric offre una via d’uscita creando un livello unificato e intelligente attraverso fonti dati che coprono SecOps, ITOps e NetOps. L’obiettivo non è la centralizzazione fine a se stessa. È rompere i silos e fornire insight ricchi di contesto alla velocità richiesta dalle operazioni guidate dall’AI.
Sponsored Protocol
Questa è una trasformazione del modello operativo prima di essere un prodotto. La difesa guidata dall’AI dipende da una fondazione che possa preservare prove, raggiungere dati dove risiedono, aggiungere contesto e mantenere un collegamento verificabile tra dati, decisione e azione. È il cambiamento architetturale alla base di Cisco Data Fabric alimentato dalla piattaforma Splunk, che unisce dati macchina, federazione, contesto aziendale, governance e provenienza per aiutare i team a passare dal segnale all’azione fidata.
Gli attaccanti continueranno a rendere la deception più economica, veloce e personalizzata. I difensori non vincono quella corsa generando più rumore. Vincono rendendo la verità più veloce e fondando ogni azione su prove che persone e macchine possano fidare. Per approfondire, leggi anche l’analisi sull’acquisizione di Salesforce che punta sugli agenti AI per il customer service, un esempio di come l’intelligenza artificiale stia ridefinendo i processi aziendali. Per una definizione autorevole, consulta Wikipedia: Phishing.
