Rischio calcolato, errore imprevisto. Le nuove AI agiscono. E attaccano.
In questo numero:
- Agentic AI: l’intelligenza artificiale che decide da sola
- Errori, inganni e vulnerabilità online e offline
- La controffensiva AI: quando la difesa anticipa l’attacco
Agentic AI: il nuovo dilemma della cybersecurity
Immagina un’intelligenza artificiale che non aspetta ordini. Non segue istruzioni rigide, non attende che qualcuno prema un pulsante. Capisce il contesto, si pone obiettivi e agisce di propria iniziativa. Distopia hollywoodiana? No: è la realtà delle Agentic AI, una nuova generazione di sistemi capaci di prendere decisioni e iniziative in autonomia, senza bisogno di una supervisione umana costante.
Uno scenario inedito per la sicurezza informatica. Se un’intelligenza artificiale agisce da sola, chi può davvero dire di averne il controllo? E cosa accade se qualcuno riesce a manipolarla? È una situazione che non concede neutralità: le implicazioni non si fermano a chi decide di adottare queste tecnologie. Riguardano tutti. Anche chi pensa di poterne fare a meno. Perché strumenti così potenti possono essere usati per aggirare barriere, eludere controlli, infiltrarsi in infrastrutture critiche. E quando succede, le conseguenze possono essere disastrose.
Le AI che non chiedono il permesso
Ma esattamente, cosa intendiamo con Agentic AI? Si tratta di sistemi di intelligenza artificiale autonomi, progettati per percepire l’ambiente, ragionare sul contesto, pianificare azioni e raggiungere obiettivi in modo indipendente. A differenza degli assistenti virtuali tradizionali – come chatbot o servizi vocali – che seguono script rigidi o rispondono solo a comandi espliciti, l’Agentic AI può prendere decisioni senza supervisione umana diretta.
Il termine “agentic” deriva da agent, ovvero un’entità dotata di capacità di osservare, apprendere e agire per perseguire uno scopo. In pratica, mentre un normale software esegue le istruzioni che riceve, l’agentic AI decide da sola quali istruzioni seguire, adattandole al contesto.
Questa differenza introduce un livello di flessibilità e proattività mai visto prima. Un sistema agentico può ricalibrare le proprie azioni in base a nuove condizioni, imparare dall’esperienza e migliorare le performance nel tempo. Non si tratta più di un algoritmo specializzato in un solo compito, ma di un assistente polivalente, capace di gestire interi processi e agire in ambienti complessi e imprevedibili.
Nel campo della cybersecurity, questo salto di qualità è particolarmente rilevante. Un’Agentic AI può agire da guardiano indipendente: monitorare reti e sistemi, analizzare log e telemetria, riconoscere segnali d’allarme e attivare contromisure in tempo reale, senza attendere l’intervento umano.
Il cortocircuito della colpa
Se ora l’IA agisce in piena autonomia, come possiamo fidarci? Se un sistema autonomo commette un errore grave – poniamo, non rileva un’intrusione o, al contrario, blocca un servizio critico per un falso allarme – chi ne risponde? Un passo falso dell’IA può avere conseguenze persino catastrofali, ma individuare un responsabile non è banale. È colpa del fornitore dell’algoritmo? Di chi l’ha addestrato? Di chi lo ha messo in produzione senza una supervisione adeguata?
La catena decisionale distribuita tipica di questi sistemi rende la questione estremamente complessa e può includere comportamenti non intenzionali o imprevisti, introducendo nuove vulnerabilità. Soprattutto se gli input sono ambigui, il contesto viene frainteso o – peggio – manipolato intenzionalmente.
Chi ha causato l’incidente? Anatomia di un errore firmato IA
Dalla teoria alla pratica, immaginiamo alcuni scenari con conseguenze concrete legate a comportamenti anomali dell’Agentic AI.
Un’Agentic AI incaricata di monitorare il traffico di rete rileva un improvviso picco di connessioni verso un server interno. Si attiva automaticamente, interpretando il fenomeno come un attacco DDoS. In realtà, si trattava del rilascio previsto di un aggiornamento software aziendale, scaricato da centinaia di dispositivi contemporaneamente. Risultato: l’AI blocca l’accesso al server, impedisce agli utenti di lavorare e interrompe temporaneamente i servizi. Un semplice fraintendimento, ma con conseguenze operative rilevanti.
Oppure immaginiamo un’Agentic AI con il compito di neutralizzare potenziali minacce, che decide di giocare d’anticipo. Rileva comportamenti sospetti in un’applicazione di terze parti integrata con i sistemi aziendali. Senza attendere conferme, revoca le autorizzazioni e disattiva il connettore. Peccato che l’app servisse a gestire le notifiche di emergenza per il personale IT. La minaccia era solo apparente, ma l’interruzione del servizio ha impedito una reale comunicazione di crisi.
E cosa accadrebbe se un’Agentic AI venisse influenzata da dati falsificati? Un attore esterno invia all’IA una serie di richieste o dati strutturati in modo da farle credere che una certa attività (in realtà dannosa) sia legittima. O viceversa: la convince che un comportamento lecito sia malevolo.
Immaginiamo un agente AI che gestisce in autonomia il sistema di climatizzazione di un data center o regola la velocità di un nastro trasportatore in fabbrica. In condizioni normali, è efficiente. Ma cosa succede se l’IA riceve dati da sensori difettosi, o interpreta male una situazione di sovraccarico? Un errore di valutazione potrebbe causare danni immediati, come il blocco del raffreddamento o l’accelerazione eccessiva di un macchinario.
Un ulteriore problema riguarda la difficoltà di diagnostica e attribuzione delle responsabilità negli incidenti in ambienti automatizzati. Le decisioni possono essere il risultato di una catena complessa: sensori che raccolgono dati, un modulo di AI che li elabora, un altro che prende decisioni logiche, e infine attuatori che eseguono. Spesso questi elementi sono forniti o gestiti da attori diversi. Se avviene un’anomalia, risalire alla causa originaria diventa una sfida: è stato l’AI engine a dare un comando sbagliato? O il sensore a trasmettere un valore errato? C’è stato un bug nel codice di integrazione, oppure un errore umano di configurazione?
Deepfake, soldi veri: l’AI che inganna, ruba e sparisce
Le sfide poste dalle Agentic AI non riguardano solo chi le implementa internamente. Anche chi sceglie di non utilizzarle può ritrovarsi coinvolto — dal lato complicato della barricata. Perché gli stessi strumenti, se adottati da criminali informatici o attori ostili, diventano armi potentissime. L’avvento di AI autonome permette di semplificare gli attacchi, creando minacce prima impensabili.
Un esempio? All’inizio del 2024, Arup – grande gruppo di ingegneria con sede nel Regno Unito – ha subìto una frode da 25 milioni di dollari orchestrata tramite deepfake AI. Cybercriminali hanno creato video e audio falsi dei dirigenti aziendali, indistinguibili dagli originali, e li hanno usati per simulare una videocall con una dipendente. Convinsero la malcapitata a eseguire bonifici urgenti, credendo di parlare con il proprio CFO. La truffa è riuscita perché l’AI ha bypassato i meccanismi di fiducia umana e autenticazione visiva. Arup non aveva colpe tecniche: non era il loro sistema a essere vulnerabile, ma la sofisticazione degli strumenti adottati da attori malevoli. E non è un caso isolato. Il punto debole umano (la fiducia, la percezione) diventa un bersaglio ancora più facile quando l’AI può generare falsi così convincenti.
Dalla parte dei buoni: così l’Agentic AI cambia la cyber-difesa
Finora abbiamo parlato soprattutto dei rischi legati agli Agentic AI, ma sarebbe un errore considerarli solo una minaccia. Le stesse capacità che rendono questi sistemi potenzialmente pericolosi se usati male, possono diventare una risorsa strategica per rafforzare la sicurezza. In un contesto in cui anche i criminali stanno adottando AI avanzate, i difensori non possono restare indietro. Un’Agentic AI ben progettata può affiancare i team nei Security Operations Center (SOC), analizzando enormi volumi di log e alert a velocità e profondità impensabili per un essere umano.
Oggi molti SOC faticano a distinguere in tempo reale tra falsi positivi e minacce reali. Qui entra in gioco l’AI: può correlare eventi disparati e reagire in pochi secondi, attivando contromisure in autonomia. Alcuni co-piloti AI sono già in uso per alleggerire il carico operativo, lasciando agli analisti i casi più critici.
Ma il potenziale non si ferma all’analisi: gli agenti possono anche rispondere automaticamente agli attacchi, isolando dispositivi infetti, revocando credenziali o applicando misure di contenimento prima ancora che un operatore umano intervenga. Questo approccio machine-to-machine può fare la differenza, ad esempio, per fermare un ransomware prima che cifri dati sensibili.
Un altro fronte promettente è la threat hunting proattiva: agenti autonomi che cercano costantemente vulnerabilità e comportamenti sospetti, o che leggono bollettini di sicurezza e propongono patch prima che le falle vengano sfruttate.
Tuttavia, delegare troppo all’AI comporta dei rischi. Serve attenzione per evitare che una risposta automatica mal calibrata interrompa servizi critici. Per questo si stanno sviluppando limiti operativi e regole che impediscono alle AI difensive di oltrepassare determinati confini.