L’intelligenza artificiale sta trasformando la sicurezza informatica, ma in modo più profondo rispetto alla narrazione a cui siamo abituati. Più che generare nuove minacce, amplifica velocità e scala di quelle che già conosciamo. Antonio Madoglio (Fortinet) e Luca Balzola (Exclusive Networks) analizzano i rischi e le opportunità dell’AI, fornendo gli strumenti concreti per integrare l’automazione intelligente nelle strategie di difesa senza cedere né all’hype né alla paura

L’AI non è più solo una tecnologia emergente: è già al centro delle strategie di attacco e difesa nel mondo cyber. Per i responsabili IT e della sicurezza, il tema non è se adottarla, ma come integrarla in modo efficace. Il pericolo, infatti, è lasciarsi guidare da due estremi: il catastrofismo che annuncia scenari incontrollabili e l’ottimismo ingenuo di chi vede nell’AI una bacchetta magica.

Come sottolinea Fortinet nel report Separating Fact from Fiction: How AI is Transforming Cybercrime, la verità è più complessa: l’AI non inventa nuove forme di attacco, ma rende quelle esistenti più rapide, efficaci e difficili da rilevare, chi difende i dati e le aziende deve rispondere con la stessa arma, senza dimenticare che il fattore umano resta insostituibile per proteggere quanto di più prezioso hanno le imprese.

L’AI come moltiplicatore del cybercrime

Antonio Madoglio, Senior Director Systems Engineering Italy & Malta di Fortinet chiarisce subito il punto: “Il cybercrime si è sempre distinto per la capacità di adattarsi rapidamente al contesto tecnologico. Oggi, con l’introduzione dell’AI generativa le barriere d’ingresso si abbassano ulteriormente: con i modelli generativi, per esempio, un gruppo criminale può produrre migliaia di messaggi linguisticamente perfetti e contestualizzati per ruolo, settore e lingua: precisione da artigiano, volumi da industria. Vediamo quattro fronti concreti che si sono aperti: phishing industrializzato e spear-phishing iper-personalizzato; automazione della ricognizione con weaponization rapidissima delle CVE; deepfake/voice-cloning per social engineering e bypass identitario; e gli attacchi alla pipeline AI/ML – data poisoning, model theft, manomissione delle fonti”

Secondo il l’analisi di Fortinet (Separating Fact from Fiction: How AI is Transforming Cybercrime), l’AI viene già sfruttata per automatizzare la creazione di malware polimorfico, capace di mutare in tempo reale per eludere i sistemi di rilevamento basati su signature. “schemi di azione consolidati diventano più sofisticati e difficili da contrastare – ha aggiunto Madoglio – inoltre il voice-cloning e i deepfake non sono più un esperimento di laboratorio: abilitano frodi a catena su approvazioni vocali, processi HR e helpdesk e supply chain. Per contrastare queste nuove minacce non bastano le firme: serve una detection semantica che capisca intento e contesto nei canali testo/voce/video. I nostri modelli correlano chi parla, di cosa parla e quando: è l’anomalia contestuale a rivelare la minaccia, non l’errore di ortografia: è così che si riduce il rumore e si tutela l’utente esperto che oggi riceve messaggi perfetti”

AI per la difesa: detection, SOC automation e intelligence

“L’AI non deve essere un add-on confinato a un singolo prodotto o a un modulo opzionale – ha detto Antonio Madoglio – Per essere realmente efficace deve diventare un layer pervasivo che attraversa tutta l’architettura: dal perimetro tradizionale alle reti interne, dal cloud agli endpoint e fino all’IoT. È questo il principio su cui si fonda il nostro Fortinet Security Fabric: un’infrastruttura integrata che sfrutta algoritmi di machine learning distribuiti per correlare eventi di natura diversa e ridurre i tempi di detection da settimane a minuti. Significa poter gestire miliardi di eventi al giorno senza perdere il focus sugli incidenti che hanno davvero impatto sul business”.

L’integrazione pervasiva consente tre benefici cruciali:

Detection & Response: i modelli di machine learning correlano miliardi di eventi, rilevando anomalie comportamentali invisibili alle regole statiche. Questo riduce drasticamente il dwell time, ovvero il tempo medio che intercorre tra l’intrusione e la sua scoperta. SOC Automation: l’AI filtra falsi positivi e automatizza le azioni di triage, permettendo ai Security Operation Center di concentrare risorse sugli incidenti critici. Threat Intelligence globale: grazie a milioni di sensori distribuiti, Fortinet aggiorna costantemente i propri modelli predittivi. Significa avere la capacità di anticipare minacce che emergono in altre geografie o in altri settori, prima che colpiscano l’azienda. È un vantaggio competitivo enorme per chi deve garantire continuità operativa e resilienza del business.

Come sottolineato nella pubblicazione Fortinet The Power and Limitations of AI in Cybersecurity, l’AI ha limiti precisi: è eccellente nell’elaborazione di grandi volumi di dati, ma non può sostituire il giudizio umano.

“Il rischio è credere che l’AI possa sostituire le competenze umane. In realtà deve liberare i team dalle attività ripetitive, aumentando la loro produttività e potenziando la capacità di analisi strategica. Le decisioni critiche richiedono ancora la capacità di contestualizzare e di interpretare l’impatto di un attacco sul business, e questo resta prerogativa umana” ha aggiungo Antonio Madoglio.

Il rischio dell’AI washing e la sfida PMI

Dal lato della distribuzione a valore, Luca Balzola, Technical Director, CTO di Exclusive Networks Italia, individua un altro nodo cruciale:

“Stiamo assistendo a un fenomeno che definirei senza esitazioni come AI washing: sul mercato proliferano soluzioni che si presentano come AI-powered senza offrire veri benefici misurabili in termini di detection o di riduzione del rischio. Questo genera disorientamento e rischia di compromettere la fiducia delle aziende e dei rivenditori verso la tecnologia. Il nostro compito, come distributore a valore, è proprio quello di fare da filtro e da garante: testare, validare e selezionare le soluzioni che hanno un reale impatto operativo, come quelle sviluppate da Fortinet, e accompagnare partner e clienti in un percorso di adozione consapevole. Non si tratta solo di installare un nuovo tool, ma di integrarlo in architetture ibride e multicloud, di formare i team e di misurare il ritorno sull’investimento in termini di tempi di risposta e riduzione degli incidenti. Non chiamiamoli ‘agenti’ quando sono solo automazioni con un po’ di ML. Prima dell’etichetta vogliamo trasparenza architetturale: quale modello gira, con quali policy, quali limiti di autonomia e quali meccanismi di escalation umana.”

Per il canale IT italiano un tema rilevante è l’estensione dell’AI anche alle PMI, che costituiscono gran parte del tessuto produttivo nazionale e dei clienti dei rivenditori.

“La sfida è proporre l’AI in maniera graduale, modulare. Il canale ha la grande opportunità di portare strumenti di sicurezza basati sull’intelligenza artificiale dove servono di più anche rendendo la sicurezza un fattore di competitività e non un ulteriore peso”.

La sfida del cloud e del multi-cloud

La migrazione verso ambienti cloud e multi-cloud introduce nuovi livelli di complessità nella gestione della sicurezza. Non si tratta solo di proteggere i dati, ma di garantire coerenza e governance in architetture distribuite tra diversi provider.

Antonio Madoglio ha evidenziato la necessità di un approccio unificato: “Il cloud non è sicuro in modo assoluto, e il multi-cloud amplifica la superficie d’attacco. Ogni provider ha policy e strumenti propri, ma per un’azienda la priorità è avere una visibilità end-to-end, indipendentemente da dove risiedano i workload. La Security Fabric di Fortinet nasce per questo: creare una policy coerente che copra data center, cloud pubblici, privati e ambienti ibridi, riducendo i silos semplificando la gestione. Solo con un controllo unificato si può evitare che il cloud diventi un punto vulnerabile”.

Luca Balzola ha sottolineato invece l’impatto per i partner: “Molte aziende italiane adottano più provider cloud senza avere le competenze interne per gestire i rischi che ne derivano. È qui che l’ecosistema dei partner deve fare la differenza: aiutare le imprese a non subire il multi-cloud, ma a governarlo. La sicurezza non può essere un freno all’innovazione: deve essere progettata in modo nativo e integrato. Il nostro ruolo è guidare i partner nel proporre soluzioni validate che garantiscano coerenza e rapidità di risposta anche in ambienti altamente distribuiti, per questo offriamo percorsi di formazione completi sulle soluzioni cloud e Ai”.

Uomo e AI: la chiave per la resilienza

Su un punto Madoglio e Balzola concordano senza esitazione: l’AI non sostituirà mai i professionisti della sicurezza.

“Gli algoritmi faranno sempre meglio quello per cui sono progettati correlare eventi, individuare anomalie, automatizzare risposte – ha detto Antonio Madoglio – ma non possono sostituire la competenza delle persone nel valutare l’impatto di un attacco sulla supply chain, sul brand o sulla continuità operativa. Queste decisioni restano nelle mani dei responsabili, interni o esterni. Il futuro è un modello collaborativo, dove la tecnologia accelera i processi ma la visione strategica resta umana”.

“I SOC sono inondati di playbook – ha chiarito Luca Balzola – il nostro lavoro come distributori a valore è aiutarli a passare dalla quantità alla qualità: playbook AI-assistiti che riducono il rumore e portano l’analista a concentrarsi sul 5% davvero critico. Per questo formiamo partner e operatori per costruire playbook con prioritizzazione basata sul rischio, sulle soglie di confidenza e sempre con l’idea di human-in-the-loop. Bisogna poi ricordare che la sicurezza non è solo tecnologia: è anche contrattualizzazione. Nei progetti dei nostri partner suggeriamo sempre SoW che fissino data residency, logging di tutto, procedure di audit e regole chiare su training e dati.”