In risposta all’evoluzione delle minacce digitali—deepfake, phishing personalizzati, malware automatizzato—le aziende stanno integrando agenti AI autonomi per rafforzare rilevamento, risposta e resilienza nei loro SOC (Security Operations Center).

La risposta necessaria all’evoluzione delle minacce AI-driven

L’adozione diffusa di tecnologie di generative AI e modelli linguistici di nuova generazione ha abbassato drasticamente la soglia tecnica necessaria per condurre attacchi digitali sofisticati. Quello che un tempo richiedeva competenze avanzate di programmazione, ingegneria sociale e hacking, oggi può essere realizzato in pochi minuti grazie a strumenti in grado di generare phishing iper-personalizzato, deepfake audio e video quasi indistinguibili dalla realtà e codice malevolo su misura. Questo ha moltiplicato il numero di attori potenzialmente pericolosi, estendendo il rischio anche a soggetti con capacità tecniche minime ma intenzioni malevole.

Cambia il paradigma della difesa informatica

In questo contesto, il paradigma della difesa informatica sta cambiando radicalmente: l’intelligenza artificiale, la stessa tecnologia utilizzata dagli aggressori, viene ora schierata sul fronte opposto. Gli agenti AI autonomi, progettati per lavorare in sinergia con gli analisti umani, stanno diventando strumenti centrali nei Security Operations Center (SOC). Questi sistemi sono in grado di filtrare enormi volumi di dati, identificare comportamenti anomali, correlare segnali deboli provenienti da fonti diverse e generare avvisi in tempo reale.

L’obiettivo non è solo reagire più rapidamente agli incidenti, ma anche anticipare le minacce grazie a modelli predittivi e automazione proattiva. In un’epoca in cui la velocità dell’attacco può essere questione di secondi, passare da una difesa reattiva a una difesa autonoma e preventiva rappresenta un cambio di passo essenziale per la sopravvivenza digitale delle imprese.

Esempi concreti: ReliaQuest e Project Ire

ReliaQuest

ReliaQuest, azienda statunitense specializzata in soluzioni di sicurezza gestita, ha introdotto i “GreyMatter Agentic Teammates”, agenti AI autonomi progettati per operare all’interno dei Security Operations Center (SOC) come veri e propri “colleghi digitali” degli analisti umani. Questi agenti sono in grado di svolgere compiti tipicamente affidati a detection engineer o ricercatori di threat intelligence: dall’analisi dei log e degli alert fino alla correlazione di eventi sospetti e alla generazione di report pronti per l’azione. L’obiettivo è ridurre drasticamente il carico di attività ripetitive a basso valore aggiunto, liberando risorse umane per compiti più complessi come la caccia proattiva alle minacce e l’analisi forense avanzata. ReliaQuest afferma che questa automazione mirata non solo aumenta l’efficienza operativa, ma riduce anche il “time to detect” e il “time to respond”, due metriche critiche in un contesto di minacce che si evolvono in minuti, se non secondi.

Project Ire

Parallelamente, Microsoft ha svelato Project Ire, un prototipo sperimentale sviluppato per classificare autonomamente file sospetti e potenzialmente malevoli. Il sistema utilizza un approccio di machine learning combinato con tecniche euristiche per identificare comportamenti anomali e segnali di compromissione. Nelle prime prove, Project Ire ha dimostrato la capacità di rilevare circa il 25% del malware totale con una precisione del 90% sui casi individuati — un risultato ancora lontano dalla copertura completa, ma indicativo del potenziale di crescita di questi strumenti. L’iniziativa rappresenta un passo importante verso l’automazione end-to-end dei processi SOC, in cui l’AI non solo segnala una minaccia, ma è anche in grado di eseguire azioni di contenimento in tempo reale, come isolare un endpoint compromesso o bloccare automaticamente un indirizzo IP sospetto.

Questi due esempi evidenziano come il settore stia entrando in una fase di “augmented security operations”, dove il connubio tra intelligenza artificiale e supervisione umana diventa la chiave per reggere il ritmo dell’evoluzione delle minacce e garantire resilienza digitale in ambienti enterprise sempre più complessi e distribuiti.

Verso un SOC co-teaming: umani e agenti AI in sinergia

Il modello emergente nei Security Operations Center non punta alla sostituzione degli analisti umani, ma alla loro amplificazione operativa. In questa visione di “co-teaming”, gli agenti AI assumono il ruolo di collaboratori digitali capaci di automatizzare compiti ripetitivi, aggregare e analizzare grandi volumi di dati, e fornire insight in tempo reale, lasciando agli specialisti la gestione delle decisioni critiche e delle strategie di risposta più complesse.

Secondo una recente ricerca di Gartner, il 24% delle aziende ha già implementato almeno un agente AI in processi interni, soprattutto in ambiti come IT, contabilità e risorse umane, mentre l’adozione nei SOC è in crescita costante. Un articolo dedicato al concetto di human-machine co-teaming evidenzia come i Large Language Model (LLM) possano apprendere progressivamente dalle competenze tacite degli analisti di sicurezza, affinando la capacità di correlare eventi, riconoscere pattern anomali e anticipare potenziali scenari di attacco. Questo apprendimento continuo permette di trasformare l’esperienza accumulata dai professionisti in un patrimonio digitale condiviso e sempre disponibile.

L’importanza del ciclo di supervisione umana

Anche Elastic, con le sue soluzioni di threat detection, sottolinea l’importanza di mantenere un ciclo di supervisione umana: gli agenti AI possono velocizzare il rilevamento e ridurre i falsi positivi, ma devono operare all’interno di un perimetro di governance chiaro, che garantisca trasparenza delle decisioni e tracciabilità delle azioni intraprese. Questo approccio mitigativo riduce il rischio di comportamenti imprevisti dell’AI e mantiene il controllo operativo nelle mani di personale qualificato.

Il futuro del SOC, quindi, sembra orientarsi verso una collaborazione simbiotica tra intelligenza umana e artificiale: la prima fornisce giudizio, contesto e responsabilità; la seconda offre velocità, scalabilità e capacità di elaborazione massiva. In un panorama di minacce in rapida evoluzione, questa alleanza diventa il cardine per garantire resilienza e capacità di risposta immediata.

Opportunità e rischi della cybersecurity autonoma

La crescita degli agenti AI introduce enormi vantaggi operativi, ma anche nuovi pericoli. Sistemi come Big Sleep di Google hanno già arrestato un attacco in tempo reale, segnando un’importante svolta nella difesa predittiva. Tuttavia, l’autonomia espone le organizzazioni a nuove vulnerabilità: come un recente bug in Microsoft NLWeb che ha permesso l’accesso non autorizzato a file sensibili.

Sul piano teorico, la sicurezza di ambienti multi‑agente è un tema critico: agenti interconnessi potrebbero generare attacchi a cascata o collusioni silenziose, richiedendo nuovi modelli di protezione e governance dedicati.

Organizzazioni come Anthropic stanno già sfruttando agenti AI offensivi, come “Claude”, che hanno superato competizioni di hacking (es. PicoCTF) con efficacia sorprendente, evidenziando il vantaggio competitivo della generazione automatica di software offensivi.

Contemporaneamente, Google amplia le difese: l’agente Big Sleep ha identificato una vulnerabilità critica (CVE-2025-6965) in SQLite e potenzia strumenti come Timesketch con AI per migliorare la rilevazione di minacce.

Un nuovo asset difensivo tra opportunità e responsabilità

L’introduzione di agenti AI autonomi nei processi di cybersecurity segna un cambio di paradigma paragonabile all’avvento dei primi firewall o dei sistemi di rilevamento intrusioni: non si tratta di un semplice potenziamento tecnologico, ma di un nuovo modo di concepire la difesa digitale. Per la prima volta, le aziende hanno la possibilità concreta di fronteggiare minacce complesse — come attacchi zero-day, campagne di phishing personalizzate o deepfake mirati — con una velocità di analisi, un livello di precisione e una capacità di adattamento fino a oggi inaccessibili.

Fondamenta solide di governance e fiducia

Tuttavia, questa transizione verso un ecosistema difensivo più autonomo richiede fondamenta solide di governance e fiducia. L’automazione in ambito sicurezza non può essere cieca: deve essere accompagnata da criteri chiari di supervisione umana, da logiche di trasparenza decisionale e da sistemi di auditing che permettano di comprendere non solo cosa un agente AI ha fatto, ma anche perché lo ha fatto. In assenza di questi meccanismi, il rischio è trasformare un potente strumento difensivo in un “black box” difficile da controllare e potenzialmente vulnerabile a manipolazioni.

Per professionisti del settore, policy maker e stakeholder industriali, la sfida non è semplicemente implementare agenti AI più performanti, ma definire un framework di controllo, regolazione e responsabilità condivisa. Ciò significa armonizzare standard tecnici con normative nazionali e internazionali, bilanciando innovazione e sicurezza, velocità e accuratezza, automazione e intervento umano.

In questo senso, la vera partita si gioca su un doppio livello: tecnologico, per garantire che gli agenti AI evolvano di pari passo con le minacce; e strategico, per stabilire chi avrà l’autorità, la competenza e gli strumenti per guidare la difesa digitale globale nei prossimi anni.

L'articolo AI agentic e difesa cibernetica aziendale: un balzo verso la sicurezza autonoma proviene da Italia nel futuro.