Come gli autori delle minacce hanno trasformato l'IA in un'arma

Negli ultimi due anni ho percepito un cambiamento nella sicurezza, anche se mi ci è voluto del tempo per capirne il motivo. Non c'è stato un momento preciso da indicare. Nessun titolo che lo descrivesse. Solo una crescente sensazione che qualcosa di sottile fosse cambiato.

Quando l'IA generativa è diventata ampiamente accessibile alla fine del 2022, sembrava più una novità che una minaccia. Utile, a volte impressionante, occasionalmente preoccupante, ma non qualcosa che ha cambiato radicalmente il modo in cui funzionavano gli attacchi. I primi segnali nel 2023 hanno rafforzato questa percezione. Phishing è aumentato, la generazione di contenuti ha subito un'accelerazione e le campagne a basso sforzo si sono moltiplicate. Si trattava di modelli familiari, solo accelerati.

Con il passare del tempo, il modello è diventato sempre più difficile da ignorare.

Ho dedicato molto tempo a cercare di capire cosa stesse realmente accadendo sotto la superficie. Non ho letto tutti i rapporti dall'inizio alla fine, ma ho prestato particolare attenzione a quelli più importanti: resoconti di incidenti, comunicazioni dei fornitori, ricerche accademiche e, occasionalmente, discussioni sul dark web in cui i criminali erano molto più onesti su ciò che funzionava e ciò che non funzionava. Quando si mettono insieme un numero sufficiente di questi segnali, emerge una traiettoria chiara.

Questa analisi si basa su documenti di intelligence, incidenti documentati e circa 30-40 miliardi di dollari di perdite registrate nei paesi del G7. I dati non sono perfetti. Alcuni casi si sovrappongono. Alcune perdite sono stime. Tuttavia, quando gli stessi modelli ricorrono nei rapporti dei fornitori, negli studi accademici, nelle divulgazioni delle forze dell'ordine e nelle occasionali informazioni provenienti dal mercato del dark web, il segnale diventa difficile da ignorare.

L'intelligenza artificiale non è arrivata come un'arma già pronta. È stata adottata gradualmente, prima come ausilio, poi come moltiplicatore e infine come qualcosa di simile a un operatore. Capacità che un tempo richiedevano tempo, abilità e coordinamento sono state ridotte a un unico flusso di lavoro. Compiti che prima limitavano gli aggressori hanno smesso silenziosamente di farlo.

Due anni fa, campagne realistiche, adattive e su larga scala richiedevano uno sforzo significativo. Oggi, gran parte di quello sforzo è scomparso. Non perché gli aggressori siano improvvisamente diventati più capaci, ma perché l'intelligenza artificiale ha assorbito gran parte della complessità.

Perché questo periodo è importante

Nessuna di queste tecniche di attacco è nuova. Phishing, le frodi vocali, malware e il social engineering esistono da decenni.

Ciò che è cambiato è la rimozione simultanea di tre vincoli:

1. I costi sono crollati. Operazioni che richiedevano infrastrutture e competenze per un valore compreso tra 50.000 e 100.000 dollari ora costano circa 5.000 dollari, con una riduzione dell'80-90%. Gli abbonamenti all'IA criminale partono da 200 dollari al mese.
2. Il tempo è collassato. La preparazione della campagna, che prima richiedeva una settimana , ora si riduce a pochi minuti. I cicli di tentativi ed errori che prima richiedevano giorni ora si completano in pochi secondi.
3. Le competenze sono crollate. Capacità che richiedevano anni di esperienza sono diventate accessibili attraverso interfacce "punta e clicca" e comandi in linguaggio naturale.

Quando i vincoli di costo, tempo e competenze vengono meno contemporaneamente, il volume e la sofisticatezza degli attacchi aumentano in modo esponenziale. Questo è ciò che rende il periodo 2023-2025 strutturalmente diverso dalle precedenti ondate di automazione. Le tecniche non sono nuove. È l'assenza di fattori limitanti ad esserlo.

Ciò che è cambiato non è stato solo phishing.

La clonazione vocale ha aggirato i sistemi di autenticazione. I video deepfake hanno ingannato i team finanziari durante le teleconferenze. Malware generare e adattare dinamicamente tecniche di evasione in tempo reale. Gli attacchi multimodali combinavano testo, voce e video per superare contemporaneamente ogni livello di verifica. Nel settembre 2025, Anthropic ha valutato che un'operazione di uno Stato-nazione aveva raggiunto un alto grado di autonomia ( stimato all'80-90% delle fasi del ciclo di vita eseguite senza l'intervento diretto dell'uomo), mentre gli esseri umani mantenevano i controlli di approvazione e gestivano la sicurezza operativa.

Questo blog è la prima parte di una serie in tre parti. L'obiettivo è quello di stabilire una cronologia: chi ha adottato per primo l'IA, come si è evoluto il suo utilizzo in diversi ambiti di attacco e dove è avvenuto il passaggio dalla sperimentazione alla sua effettiva militarizzazione. La seconda parte esaminerà le vulnerabilità tecniche che hanno reso possibile questa evoluzione. La terza parte si concentrerà su ciò che i difensori possono realisticamente fare ora che molte delle vecchie ipotesi non sono più valide.

Termini chiave utilizzati nella presente analisi

Autonomia

La percentuale delle fasi del ciclo di vita dell'attacco eseguite dall'IA senza input diretto da parte dell'uomo per ogni decisione. Gli esseri umani possono comunque fornire indicazioni strategiche, approvazioni e supervisione della sicurezza operativa.

Esempio: Anthropic ha valutato che GTG-1002 funziona con un'autonomia stimata dell'80-90% circa, il che significa che la maggior parte delle fasi di ricognizione, scansione delle vulnerabilità e sfruttamento sono avvenute senza richiedere decisioni umane tra un'azione e l'altra, sebbene gli esseri umani abbiano mantenuto l'autorità di supervisione e approvazione nei punti decisionali chiave.

Messa in arma

L'IA è integrata nei flussi di lavoro operativi in tempo reale, non solo nella generazione di contenuti o nella ricerca. L'IA utilizzata come arma esegue azioni direttamente (scansione delle reti, distribuzione malware, esfiltrazione di dati) anziché generare report su cui gli esseri umani devono agire.

Esempio: PROMPTSTEAL interroga gli LLM in tempo reale durante le infezioni attive per generare tecniche di evasione.

Attacco multimodale

Operazioni che combinano più tipi di media generati dall'intelligenza artificiale ( testo, voce, video) in un unico sforzo coordinato.

Esempio: UNC1069 ha utilizzato testi in spagnolo generati dall'intelligenza artificiale per l'ingegneria sociale, video deepfake per impersonare dirigenti e sintesi vocale per la verifica telefonica, superando contemporaneamente le barriere linguistiche e i segnali visivi di fiducia.

Operatore vs Moltiplicatore

Un moltiplicatore accelera le attività svolte dall'uomo (2023: l'IA ha aiutato gli aggressori a lavorare più velocemente). Un operatore esegue le attività in modo autonomo (2025: l'IA conduce ricognizioni e sfruttamenti mentre gli esseri umani forniscono una supervisione strategica).

Il passaggio da moltiplicatore a operatore è la tesi centrale della Parte 1.

1. Gli albori: quando l'IA era solo rumore

Il cambiamento non è stato annunciato.

Non c'è stato alcun allarme, nessun punto di svolta evidente, nessun momento in cui qualcuno addetto alla sicurezza potesse affermare con certezza che tutto era cambiato. Al contrario, si sono verificate piccole incongruenze. Phishing sembravano leggermente più pulite del solito. Malware in modo leggermente anomalo. Gli incidenti sembravano familiari, ma si sono verificati più rapidamente del previsto.

All'epoca, questi segnali erano facili da ignorare. I team di sicurezza riscontrano anomalie ogni giorno e la maggior parte di esse non ha alcun significato.

Guardando indietro, questo è stato il primo segnale, ma al momento non è stato percepito come tale.

Novembre 2022: Quando la porta si aprì silenziosamente

Quando ChatGPT è stato rilasciato alla fine del 2022, non è stato presentato come un evento legato alla sicurezza. Era il lancio di un prodotto. Una novità. Un assaggio di come potrebbe essere l'intelligenza artificiale conversazionale in futuro. Per i difensori, non c'era motivo immediato di preoccuparsi. Il modello aveva delle barriere di protezione. Rifiutava le richieste dannose. Aveva allucinazioni. Commetteva errori evidenti.

Gli aggressori hanno notato qualcos'altro.

Ciò che contava non era che il modello fosse perfetto. Non lo era. Ciò che contava era che fosse accessibile, veloce e gratuito. Nel giro di poche settimane, phishing aumentò drasticamente. Non perché i messaggi fossero sofisticati, ma perché erano facili da produrre. Le barriere linguistiche scomparvero dall'oggi al domani. La grammatica smise di essere un fattore limitante. Il tempo smise di essere un vincolo.

Non si trattava ancora di militarizzazione.

Era l'accelerazione.

E in questa fase, i difensori avevano ancora il sopravvento.

2023: l'intelligenza artificiale come supporto, non come minaccia

Per tutto il 2023, l'IA è rimasta saldamente nella categoria "utile ma imperfetta". I criminali l'hanno utilizzata allo stesso modo di molti utenti legittimi: per redigere e-mail, tradurre contenuti, riassumere dati, velocizzare le ricerche.

Gli studi condotti in quel periodo hanno dimostrato che phishing generato dall'intelligenza artificiale phishing ancora significativamente meno efficace dei messaggi creati dall'uomo. Più veloce, sì. Convincente, no.

Dal punto di vista difensivo, ciò ha rafforzato gli istinti giusti. I modelli di rilevamento si sono adattati. La formazione sulla consapevolezza della sicurezza si è evoluta. I segnali familiari erano ancora presenti: contesto superficiale, formulazioni generiche, sottile imbarazzo. L'IA non aveva ancora imparato le sfumature.

Ma soprattutto, gli esseri umani avevano ancora chiaramente il controllo.

L'intelligenza artificiale ha aiutato gli aggressori ad agire più rapidamente, ma non li ha sostituiti. Questa distinzione era importante. La minaccia sembrava gestibile.

Ciò che abbiamo sottovalutato è stata l'importanza della velocità quando tutto il resto rimane costante. Abbiamo dato per scontato che la qualità sarebbe rimasta il fattore decisivo. Non avevamo ancora capito quanto rapidamente la scala avrebbe riscritto le regole.

2. Il cambiamento: quando la scala ha iniziato a contare

All'inizio del 2024, qualcosa era cambiato in modo impercettibile.

L'intelligenza artificiale non era più limitata all'accelerazione superficiale. Cominciò ad apparire in parti delle operazioni in cui la ripetizione era più importante della creatività. Questo cambiamento non era evidente in nessun singolo episodio. Emergeva lentamente, attraverso rapporti di intelligence, divulgazioni dei fornitori e modelli che diventavano visibili solo quando ci si allontanava abbastanza.

È allora che sono comparsi i primi segnali preoccupanti.

Inizio 2024: l'intelligenza artificiale diventa operativa

Nel febbraio 2024, Microsoft e OpenAI hanno pubblicato la prima attribuzione pubblica di attori statali che utilizzavano l'IA in operazioni reali. Sono stati nominati cinque gruppi. All'epoca, i risultati erano volutamente cauti. L'IA era descritta come un assistente, non come un operatore, utilizzato per la ricerca, l'aiuto alla codifica e l'accelerazione OSINT, non per l'implementazione autonoma.

‍

Quella definizione era accurata, ma incompleta.

Ciò che contava non era ancora ciò che facevano i modelli, ma dove venivano introdotti.
Pipeline di ricognizione. Ricerca delle vulnerabilità. Flussi di lavoro Malware . In quegli ambienti, l'IA non doveva essere eccezionale, ma instancabile.

I gruppi degli Stati nazionali trattavano l'IA come un tirocinante capace. Gli esseri umani continuavano a prendere le decisioni. Gli esseri umani continuavano a eseguire gli attacchi. Ma il lavoro preparatorio, lento e ripetitivo, si ridusse drasticamente.

Questo è stato il momento in cui la bilancia è entrata silenziosamente nell'equazione.

Gli ecosistemi criminali recuperano terreno

Il crimine informatico organizzato si è mosso ancora più rapidamente.

Mentre gli Stati nazionali procedevano con cautela, i mercati criminali si espandevano in modo aggressivo. Gli strumenti del dark web sono maturati.

Le tecniche di jailbreak sono diventate affidabili.
Un'analisi indipendente di GitHub ha identificato 285 repository di jailbreak documentati (novembre 2024-novembre 2025). Test separati condotti da Cisco Talos hanno rilevato che gli attacchi di jailbreak multi-turn hanno raggiunto tassi di successo compresi tra il 25,86% e il 92,78% su diversi modelli open-weight, con Mistral Large-2 e Alibaba Qwen3-32B che hanno raggiunto la vulnerabilità più elevata con il 92,78% (novembre 2025). I tassi di successo variano a seconda del modello, della messa a punto della sicurezza e dei criteri di valutazione (single-shot vs multi-turn, politica di target e test harness), quindi queste cifre descrivono lo stato degli strumenti pubblici e i risultati dei test, non una garanzia di bypass universale.

Allo stesso tempo, i modelli senza restrizioni hanno eliminato completamente la necessità di aggirare le protezioni. WormGPT, FraudGPT, DarkBERT. Creati appositamente per commettere reati, senza bisogno di jailbreak. I repository open source si sono moltiplicati. Strumenti che un tempo richiedevano competenze approfondite sono diventati utilizzabili tramite interfacce point-and-click. Nessuna di queste novità ha fatto notizia di per sé, ma insieme hanno abbassato la barriera all'ingresso a un ritmo allarmante.

Ciò che è cambiato non è stata la raffinatezza.

Era la produttività.

I singoli operatori potevano ora gestire più campagne in parallelo. Ricerche che prima richiedevano ore venivano completate in pochi minuti. I cicli di tentativi ed errori si ridussero. I fallimenti smisero di essere costosi.

In questa fase, gli esseri umani avevano ancora il controllo dell'esecuzione. L'IA accelerava la preparazione e l'iterazione, ma il processo decisionale rimaneva guidato dall'uomo.

L'economia è cambiata più rapidamente di quanto la maggior parte delle persone abbia notato. Operazioni che un tempo richiedevano 50.000-100.000 dollari in infrastrutture e competenze per sei mesi ora costano circa 5.000 dollari. Gli abbonamenti all'IA criminale partivano da 200 dollari al mese. La barriera all'ingresso è crollata di circa l'80-90%.

Segnali che abbiamo sottovalutato

Guardando indietro, i segnali di allarme c'erano.

I tassi di successo dei jailbreak sono migliorati rapidamente. I modelli a peso aperto si sono deteriorati a causa di un'interazione multi-turno prolungata. Le finestre contestuali si sono ampliate ben oltre quanto previsto dalla maggior parte delle valutazioni di sicurezza. Allo stesso tempo, il volume degli attacchi assistiti dall'intelligenza artificiale è aumentato senza un corrispondente picco negli indicatori evidenti.

I difensori hanno notato che gli attacchi sono diventati più rapidi, ma la velocità da sola raramente fa scattare l'allarme. Siamo addestrati a cercare le novità, non l'accelerazione. Ci concentriamo sulle nuove tecniche, non sulla silenziosa rimozione dei vincoli.

Alla fine del 2024, l'intelligenza artificiale non aveva ancora sostituito gli hacker umani, ma aveva già rivoluzionato l'economia degli attacchi informatici. La preparazione era diventata economica, l'iterazione era diventata semplice e la portata non era più limitata dal numero di persone coinvolte.

Il sistema era sotto pressione già da molto tempo prima che si verificasse il guasto visibile.

3. Marzo 2025: quando l'intelligenza artificiale ha superato gli esseri umani

A posteriori, è facile trascurare il marzo 2025. Non ci sono state violazioni eclatanti. Nessuna campagna particolare ha dominato i titoli dei giornali. Ma dal punto di vista della sicurezza, questo è stato il momento in cui una delle nostre ultime convinzioni ha smesso di essere vera. Per la prima volta, phishing uno studio controllato su larga scala, phishing generato dall'intelligenza artificiale phishing phishing creato dall'uomo. E non di poco: del 24%.

‍

Due anni prima era vero il contrario. Nel 2023, phishing basato sull'intelligenza artificiale phishing circa il 31% meno efficace rispetto a quello umano. Il cambiamento tra questi due punti è la parte importante. In circa 24 mesi, il divario non si è ridotto, ma si è invertito. Si è verificato un cambiamento di 55 punti senza alcun corrispondente cambiamento nella progettazione della maggior parte delle difese.

Questa è stata la prima volta che un sistema di intelligenza artificiale ha superato gli esseri umani in un compito che consideravamo intrinsecamente umano.

Oltre Phishing: il quadro più ampio

phishing del marzo 2025 non è stata un caso isolato.

Era il segnale di qualcosa di più grande. L'intelligenza artificiale stava superando le soglie di efficacia in diversi ambiti più o meno contemporaneamente. Phishing semplicemente il primo caso in cui la misurazione era semplice.

Clonazione vocale e frodi deepfake

Entro il 2025, la clonazione vocale era passata dall'essere una minaccia teorica a una minaccia operativa. Più di 3.500 incidenti documentati. Oltre 1 miliardo di dollari di perdite confermate secondo i rapporti congiunti dell'FBI e dell'Europol. I requisiti di formazione sono passati da ore di audio a meno di un minuto. La qualità è diventata indistinguibile dal parlato umano nei test controllati.

Il caso più significativo si è verificato nel febbraio 2024. Il team finanziario di una multinazionale ha partecipato a quella che riteneva essere una videoconferenza di routine con il proprio direttore finanziario e altri quattro dirigenti. Hanno verificato visivamente le identità. Hanno sentito voci familiari. Hanno seguito le procedure di approvazione standard.

Tutti e cinque i partecipanti alla chiamata erano deepfake. Gli aggressori sono riusciti a portare via 25,6 milioni di dollari.

Entro novembre 2025, la superficie di attacco si era estesa oltre le frodi finanziarie. Il primo caso documentato di compromissione tramite clonazione vocale di un helpdesk IT si è verificato in Spagna. Un aggressore ha utilizzato la voce clonata di un dipendente per richiedere l'accesso al sistema. La minaccia non era più limitata ai bonifici bancari.

Malware

Gli attori statali hanno iniziato a implementare operativamente malware basati sull'intelligenza artificiale .

L'APT28 russa ha trasformato in arma un sistema chiamato PROMPTSTEAL, che interroga in tempo reale modelli linguistici open source per adattare il comportamento di evasione. Il Threat Intelligence Group di Google ha documentato cinque famiglie simili alla fine del 2025: PROMPTFLUX, PROMPTSTEAL, FRUITSHELL, PROMPTLOCK, QUIETVAULT. Questi sistemi non si basano su una logica di evasione preprogrammata. La generano dinamicamente, rendendo sempre meno affidabile il rilevamento basato sulle firme.

Operazioni multimodali

Il gruppo nordcoreano UNC1069 ha condotto quello che sembra essere il primo attacco AI completamente multimodale. Generazione di testo per l'ingegneria sociale. Video deepfake per la verifica visiva. Sintesi vocale per la conferma audio. L'operazione ha preso di mira i dirigenti delle criptovalute e ha superato sia le barriere linguistiche che i segnali di fiducia visivi in un unico sforzo coordinato.

Il punto phishing era importante perché era misurabile.

Ma non era un caso isolato. L'intelligenza artificiale stava superando l'efficacia umana nell'intero ciclo di vita degli attacchi. Marzo 2025 è stato semplicemente il momento in cui non abbiamo più potuto ignorare questo andamento.

Phishing è sempre stato considerato un problema umano. Lingua, tono, tempistica, contesto. I difensori hanno creato controlli basati sull'idea che gli aggressori alla fine avrebbero commesso degli errori. Frasi innaturali. Incompatibilità culturali. Personalizzazione approssimativa.

Tali ipotesi sono state silenziosamente invalidate.

Allo stesso tempo, la tecnologia sottostante è cambiata in modi che hanno aggravato l'impatto. Sono arrivati i modelli a contesto lungo. Le finestre di contesto si sono espanse da migliaia di token a centinaia di migliaia e, in alcuni casi, oltre un milione. Questo non solo ha phishing , ma lo ha reso scalabile.

Un modello di intelligenza artificiale potrebbe acquisire caselle di posta elettronica, profili pubblici e documenti in un unico passaggio. Potrebbe mappare le relazioni. Tracciare le conversazioni. Generare messaggi unici e altamente personalizzati per grandi gruppi di destinatari contemporaneamente. Quello che prima era un attento lavoro manuale di ingegneria sociale è diventato un processo in batch.

Qualità e dimensioni hanno superato insieme la soglia.

Il silenzioso crollo di un vantaggio difensivo

È qui che il vantaggio dei difensori ha iniziato a erodersi strutturalmente.

Non perché gli attacchi fossero diventati più creativi, ma perché erano diventati indistinguibili dalla comunicazione legittima su larga scala. I segnali linguistici avevano perso affidabilità. La fatica era scomparsa. L'errore umano non era più un fattore limitante.

All'epoca, questo cambiamento non sembrava catastrofico. Phishing già un problema. Le perdite erano già elevate. Dall'esterno, marzo 2025 sembrava solo un altro dato in una tendenza di lunga data.

Dall'interno, è stato il momento in cui il sistema ha ceduto.

Tutto ciò che seguì, l'autonomia, l'economia, gli attacchi industrializzati, fu una conseguenza di questa rottura.

4. Dall'assistenza all'autonomia

Una volta che l'intelligenza artificiale ha superato la soglia dell'efficacia umana, il resto si è svolto in modo silenzioso e rapido. Non perché gli aggressori siano diventati improvvisamente più ambiziosi, ma perché la moderazione ha smesso di avere senso dal punto di vista economico.

A metà del 2025, l'ecosistema criminale dell'IA era maturato fino a diventare un mercato funzionante dell'IA nel dark web, con un fatturato stimato tra i 20 e i 40 milioni di dollari all'anno. Per poche centinaia di dollari al mese, gli aggressori potevano accedere a strumenti che automatizzavano la ricerca, generavano malware , personalizzavano phishing larga scala e si adattavano in tempo reale. I costi di ingresso sono diminuiti drasticamente. Le competenze hanno smesso di essere il fattore limitante.

A quel punto, gli esseri umani non erano più la parte più efficiente dell'operazione.

L'autonomia non è stata un salto di qualità. È stata un'ottimizzazione.

Cosa ha reso possibile l'autonomia

I modelli a lungo termine fornivano una visione d'insieme, ma non erano sufficienti per garantire una vera autonomia operativa.

Ciò richiedeva infrastrutture.

L'operazione GTG-1002 si basava sul cosiddetto Model Context Protocol, un sistema che consente all'IA di accedere a strumenti esterni. Non solo analizzare il testo, ma richiamare direttamente scanner di rete, web scraper e framework di sfruttamento. L'IA non si limitava a raccomandare azioni. Le eseguiva.

La generazione potenziata dal recupero ha svolto un ruolo simile. Anziché affidarsi interamente alle finestre contestuali, questi sistemi interrogano in tempo reale banche dati esterne. Database di exploit. Repository CVE. Documentazione sulle tecniche di attacco. La base di conoscenze effettiva diventa illimitata.

I framework di orchestrazione degli agenti come LangChain e AutoGPT mettono insieme tutti questi elementi. La ricognizione porta alla scoperta delle vulnerabilità. La scoperta delle vulnerabilità genera exploit. Gli exploit distribuiscono payload. I payload consentono il movimento laterale. Ogni fase alimenta quella successiva senza alcun coordinamento umano.

Contesto lungo più accesso agli strumenti più orchestrazione.

È stata proprio questa combinazione a consentire il raggiungimento della soglia di autonomia.

La parte 2 esaminerà perché questi sistemi si sono rivelati molto meno sicuri di quanto previsto dai loro progettisti.

Settembre 2025: superare una soglia visibile

Tale ottimizzazione ha superato una soglia visibile nel settembre 2025.

Anthropic ha valutato un'operazione sponsorizzata dallo Stato cinese (GTG-1002) come un'operazione informatica con un'autonomia stimata dell'80-90% circa, il che significa che la maggior parte delle attività di ricognizione, mappatura della rete, individuazione delle risorse, scansione delle vulnerabilità, selezione degli exploit e implementazione sono state eseguite senza alcun intervento umano diretto tra le azioni, mentre gli esseri umani hanno mantenuto l'autorità di approvazione e gestito la sicurezza operativa in circa 30 organizzazioni target.

L'operazione è stata eseguita alla velocità della macchina. Migliaia di richieste. Più di una al secondo. Un'esecuzione che sarebbe stata fisicamente impossibile da coordinare manualmente per gli operatori umani.

Gli esseri umani mantenevano l'autorità di approvazione finale e gestivano la sicurezza operativa. Ma il lavoro stesso, l'esecuzione effettiva, era diventato guidato dalle macchine.

Diversi ricercatori hanno successivamente messo in dubbio che ciò costituisse una vera autonomia operativa, citando la limitata divulgazione delle informazioni e la continua presenza di punti decisionali umani.

Questa critica è valida.

Il significato non è che le operazioni informatiche completamente autonome siano ormai routine. Non lo sono. Il significato è che le condizioni tecniche ed economiche necessarie per l'autonomia sono in gran parte già presenti. Le lacune rimanenti sono meno ampie di quanto molti difensori suppongano.

Una volta che l'esecuzione diventa autonoma, la scala diventa illimitata. Le singole operazioni si frammentano in decine di incidenti apparentemente non correlati. I controlli costruiti intorno alle minacce a ritmo umano iniziano a fallire, non perché siano mal progettati, ma perché le loro ipotesi non sono più valide.

Perché è importante per i team di sicurezza

Se lavori in un SOC, la cosa più importante da tenere a mente è questa: non sei più in competizione con aggressori umani. Sei in competizione con pipeline di orchestrazione che funzionano alla velocità delle macchine, non si stancano mai e non ripetono mai due volte lo stesso errore.

E non abbiamo ancora raggiunto il picco.

Dove andremo dopo

La seconda parte approfondirà gli aspetti tecnici alla base di tutto questo. La crisi del jailbreak. I fallimenti nell'isolamento del contesto dei modelli. Le prime malware autonomi senza C2. Tutti i meccanismi che hanno permesso agli aggressori di fare un balzo in avanti mentre i difensori stavano ancora aggiornando i playbook del 2021.

La parte 3 sarà quella più difficile. Parleremo di ciò che i difensori possono effettivamente fare oggi, in un mondo in cui la velocità degli attacchi si misura in secondi, non in ore.

Per ora, la conclusione è semplice: l'intelligenza artificiale non ha solo accelerato il crimine informatico, ma ne ha cambiato la natura. Ha trasformato gli strumenti in armi e gli aggressori in operatori di sistemi sempre più autonomi.

Non stiamo più combattendo solo contro gli esseri umani.

Ci troviamo di fronte a sistemi che già funzionano alla velocità delle macchine e, con ogni nuova generazione di modelli, è necessario un intervento umano sempre minore per mantenerli in funzione.

Per essere chiari, anche i difensori utilizzano l'IA. Rilevamento delle minacce. Risposta agli incidenti. Gestione delle vulnerabilità. Gli strumenti sono disponibili per entrambe le parti.

L'asimmetria non riguarda le capacità, ma l'economia.

Un singolo aggressore dotato di intelligenza artificiale può prendere di mira migliaia di organizzazioni contemporaneamente, agendo in parallelo e adattandosi in tempo reale. La difesa non è in grado di reagire allo stesso modo. Questo squilibrio è ciò che rende questo cambiamento strutturale, non temporaneo.

---

Limiti dei dati

Riconosciamo diverse limitazioni:

• I dati relativi alle perdite finanziarie si basano sulle segnalazioni delle vittime (probabile sottostima).
• L'attribuzione della responsabilità di alcuni incidenti (in particolare quelli causati da attori ibridi) rimane incerta.
• Le dichiarazioni di autonomia del GTG-1002 non sono state verificate da organismi indipendenti.
• Il numero di utenti del dark web è una stima basata sull'analisi dei mercati.

Riferimento

1. Anthropic. (13 novembre 2025). Anthropic interrompe un'operazione informatica sponsorizzata dallo Stato. Blog sulla sicurezza di Anthropic.
2. Hoxhunt. (2023, 2025). Studi Phishing basato sull'intelligenza artificiale. Rapporti multipli.
3. SPRF India. (Luglio 2025). Analisi delle minacce digitali. Rapporto di ricerca.
4. SlashNext. (2023). Generative AI & Cybersecurity e relativa copertura mediatica sui phishing post-ChatGPT (ad esempio, Decrypt).
5. Microsoft Threat Intelligence & OpenAI. (14 febbraio 2024). Anticipare le minacce nell'era dell'intelligenza artificiale. Blog sulla sicurezza Microsoft.
6. Google Threat Intelligence Group. (Novembre 2025). Progressi nell'uso degli strumenti di intelligenza artificiale da parte degli autori delle minacce. Rapporto GTIG, 18 pagine.
7. Zscaler ThreatLabz. (2024). Rapporto sulla sicurezza AI di ThreatLabz 2024. 536,5 miliardi di transazioni AI/ML analizzate (febbraio-dicembre 2024).
8. ENISA. (2024). Rapporto sul panorama delle minacce 2024. Agenzia dell'Unione europea per la sicurezza informatica.
9. Cisco Talos. (Novembre 2024). Death by a Thousand Prompts: Multi-Turn Jailbreak Success Rates(Morte per mille prompt: percentuali di successo del jailbreak multi-turn). Documento di ricerca.
10. Analisi dell'autore. (2025). Informazioni sul mercato dell'intelligenza artificiale nel dark web. Basato sui dati di Group-IB, Recorded Future e Trend Micro.
11. Informazioni sui prezzi nel dark web. (2025, giugno-novembre). Analisi del mercato WormGPT.
12. Analisi dell'autore. (24 novembre 2025). Modelli con finestra contestuale lunga – Analisi delle implicazioni per la sicurezza.