Home Fondamenti Storia dell'AI Reti Neurali Backpropagation Architetture Token Modelli AI Case Studies Tecniche RAG RAG Avanzato GraphRAG MCP Orchestrazione LangChain LangGraph Prompt Engineering Usare l'AI ChipsBot News
HomeNews › Gli attaccanti ampliano la frode con l'AI. I ...

Gli attaccanti ampliano la frode con l'AI. I difensori hanno bisogno di verità a velocità macchina

VentureBeat AI 15 giugno 2026

I cybersicurezza nel 2026 sono cambiati, grazie all'impatto dell'intelligenza artificiale sull'economia della frode. Gli attaccanti ora possono generare migliaia di phishing convincenti, identità fake e messaggi personalizzati prima che un difensore completi un ciclo completo di modifica del controllo. La nuova sfida per la cybersicurezza è che la frode si è fatta più veloce e conveniente, mentre la verifica no.

Gran parte del dibattito su AI per la difesa si concentra sui modelli di rilevamento. Rilevamento importa, ma non è l'unica botta di colloco. Il problema fondamentale si trova nella prova: dove si trova il dato, se è disponibile quando necessario, quanto velocemente può essere correlato, quanto tempo viene conservato e se gli analisti o gli agenti possono fidarsi di quel che recupera.

Nell'era dell'AI, la difesa si presenta prima di tutto come problema di dati, prima che di rilevamento.

Il vantaggio del difensore è la verità

Gli attaccanti hanno libertà economica nel mentire a scala aziendale. Possono testare infinite combinazioni di messaggi, identità, domini e percorsi di attacco, e la maggior parte di questi test fallisce a costo praticamente zero.

I difensori non hanno lo stesso vantaggio. Il loro elemento forte è la verità: riconoscere rapidamente che cosa è successo, dove, quando, che identità coinvolge, quali asset sono stati colpiti, che cosa è cambiato e che processo aziendale è a rischio.

Questa verità deve essere documentata, governata, verificabile e difendibile. I criminali cyber usano l'AI per espandere frode, impersonazione e ingegneria sociale con velocità. I difensori hanno bisogno di AI per espandere la verifica.

Dati frammentati compromettono la difesa moderna

Pensiamo a un login sospetto da un account di un contractor. Di per sé è solo un’anomalia di autenticazione. Per capire quanto sia rilevante, l’équipe di sicurezza potrebbe aver bisogno di storia dell’identità, attività endpoint, log di accesso al cloud, registrazioni delle ticket, proprietà degli asset, modifiche alla configurazione, telemetria di rete e contesto aziendale.

Se i registri si trovano in strumenti diversi, scadono a tempi diversi o richiedono diverse equipe per essere recuperati, i difensori non stanno effettivamente investigando un caso. Si stanno negoziando con la propria archiviazione dati.

Quando però i segnali sono accessibili e correlabili rapidamente, il problema non è più soltanto se il login risulti eccezionale, ma se l’azienda ha dati sufficienti, in sufficiente contesto, per agire in modo che possa essere difendibile.

Questa sfida si fa più pressante con i nuovi agenti AI. L’AI può operare solo sui dati che riesce a reperire in tempo per essere rilevanti. Se i dati sono incompleti, obsoleti, frammentati, non disponibili o privi di contesto, l’AI non genera verità. Accelererà solo l’incertezza.

Il sistema di controllo diventa piano di difesa

Per anni le organizzazioni hanno trattato piani di sicurezza, SIEM e data lake come depositi passivi: luoghi in cui archiviare i dati per successivo analisi. Quel modello non è più abbastanza.

Oggi, quello che si richiede è un piano di controllo difensivo: uno strato che connetta cos’è accaduto, che significato ha e che decisioni l’azienda può effettivamente prendere in risposta. Architettonicamente, collega dati macchina grezzi, contesto aziendale e regole. Non memorizza solo prove. Rende utili le prove per decisioni e azioni che devono essere spiegabili e fidate.

Nella pratica, questo implica concentrarsi su quattro aspetti: preservare la prova, raggiungere dati in ogni loro ubicazione, aggiungere contesto aziendale e governare l’azione.

Il vecchio sistema di record dava risposta a una domanda

“Qual è il record ufficiale?”.

Un piano di controllo difensivo risponde alle domande operative: Cos’è successo? Che significato ha? Che prova sta alla base della conclusione? E che azione possiamo fidarci di prendere?

L’aiuto dell’AI non riduce la necessità di registri verificabili. Al contrario, innalza lo standard di ciò che quei registri devono offrire.

Quattro azioni da compiere per il piano di controllo

    • Preservare la prova. Eventi, log, tracce, metriche, record di identità, modifiche alla configurazione, ticket e stato degli asset permettono di ricostruire fatti. Spesso il loro valore è chiaro solo dopo il verificarsi di un evento.
    • Raggiungere dati dove si trovano. I dati rilevanti per la cybersecurity sono già sparsi tra object store, piattaforme cloud, tool operativi e sistemi aziendali. Portare tutti i dati in un unico ambiente può essere troppo lento, costoso e difficile da governare. La strategia migliore introduce analytics là dove i dati sono.
    • Aggiungere contesto aziendale. Correlare dati macchina con informazione aziendale trasforma "anomalia su host X" in "sistema per servizi di pagamento dei top account che viene testato". Solo in questo modo le aziende possono priorizzare correttamente.
    • Governare l’azione. Nei tempi dell'integrazione agente, i sistemi faranno più di sommare eventi. Rafforzeranno allerte, apriranno casi, attiveranno workflow, isoleranno asset, regoleranno policy e passeranno decisioni in alto. Le aziende devono sapere che dati ha usato l'agente, che regola l'azione, se è rimasa entro i limiti e come la decisione sarà rivedibile in seguito.

Il problema di un SOC non è la scarsità di dati

i team di Security Operation Center (SOC) non soffrono di dati insufficienti. Soffrono di contesto insufficiente.

Secondo lo Studio Splunk sulla Sicurezza 2025, gli analisti SOCS continuano a lottare con numerosi allarmi (59%), allarmi con falsi positivi (55%) e allarmi che mancano contesto (46%). Il problema non è la quantità, ma la difficoltà di trasformare segnali frammentati in decisi fidati.

Oggi, i ricercatori devono ricomporre il contesto manualmente, spostando da strumenti isolati, e prendendo decisioni ad alto rischio senza un quadro completo a cui fare riferimento. Anche con l’AI che migliora, i risultati dipendono da un fattore fondamentale: che gli umani siano disposti a autorizzare modifiche in ambienti frammentati.

Creare una fiducia operativa

Questo genera una crisi giornaliera di contesto. I team sono costretti a prendere decisioni importanti sulla base di dati che non riescono a vedere facilmente, correlare né fidarsi. Il risultato? Ritardi, incoerenza, opportunità perse e rischi superflui.

Una struttura adatta a

Leggi l'articolo originale →
← Torna alle news