Nel 2025, l’intelligenza artificiale trasforma il panorama della cybersecurity, dando vita a malware autonomi, adattivi e difficili da rilevare. La collaborazione tra LLM e criminalità informatica moltiplica la portata e la precisione degli attacchi. Quali scenari si aprono per la cybersecurity? Ne parliamo, in questa intervista, con Antonino Caffo (giornalista esperto di AI).
Quali sono le caratteristiche operative che distinguono i nuovi malware basati su intelligenza artificiale rispetto alle minacce tradizionali?
I malware tradizionali sono statici: si basano su firme digitali o comportamenti predefiniti che i sistemi di sicurezza imparano a riconoscere. I nuovi malware potenziati dall’IA sono invece dinamici e autonomi. La loro principale caratteristica operativa è l’adattamento in tempo reale. Utilizzano il polimorfismo avanzato per riscrivere costantemente il proprio codice, rendendo inutile il rilevamento basato su firme. Possiedono inoltre una consapevolezza contestuale: sono in grado di rilevare se si trovano in un ambiente di analisi (una sandbox) e, in tal caso, rimangono dormienti per evitare di essere scoperti. Infine, eccellono nel mimetismo comportamentale, imitando il traffico di rete legittimo e le normali attività degli utenti per nascondere le loro comunicazioni e operazioni dannose.
In che modo la collaborazione tra modelli linguistici e criminalità informatica sta cambiando il panorama della cybersecurity nel 2025?
La collaborazione tra i modelli linguistici (LLM) e il cybercrime sta agendo come un potente acceleratore e democratizzatore delle minacce. L’impatto più evidente è nel social engineering: gli LLM permettono di generare su larga scala email di phishing e messaggi truffa verosimili, scritti in un linguaggio impeccabile e perfettamente contestualizzati, eliminando i classici errori grammaticali che fungevano da campanello d’allarme. Questa tecnologia abbassa anche la barriera tecnica, consentendo a criminali con scarse competenze di programmazione di generare codice malevolo funzionale semplicemente descrivendo l’obiettivo in linguaggio naturale. Il risultato è un aumento esponenziale di attacchi più sofisticati, personalizzati e difficili da intercettare per le difese tradizionali.
Quali strategie di difesa risultano ancora efficaci contro questi attacchi adattivi e quali invece rischiano di diventare obsolete?
Le strategie di difesa che rischiano l’obsolescenza sono quelle reattive e statiche. Gli antivirus tradizionali basati su firme sono ormai inefficaci, poiché non possono rilevare un malware che cambia codice a ogni infezione. Allo stesso modo, i firewall basati su semplici liste di blocco IP non riescono a fermare minacce che mimetizzano il loro traffico. Le strategie che rimangono efficaci sono quelle proattive e comportamentali. L’analisi comportamentale (UEBA), che monitora le azioni anomale dei processi e degli utenti anziché i file noti, è fondamentale. A questa si affianca l’architettura Zero Trust (Fiducia Zero), che elimina la fiducia implicita nella rete e verifica rigorosamente ogni richiesta di accesso, e una formazione umana costante per riconoscere le nuove esche.
Che ruolo gioca l’etica nello sviluppo di IA in ambito sicurezza, considerando che la stessa tecnologia può essere usata sia per proteggere che per colpire?
L’etica gioca un ruolo centrale e complesso a causa del “dual-use” (duplice uso). Qualsiasi strumento di IA sviluppato per la difesa informatica può essere immediatamente riconvertito in un’arma offensiva. Ad esempio, un’IA addestrata a trovare le vulnerabilità di una rete per proteggerla (penetration testing) può essere usata da un criminale per violarla. Il ruolo dell’etica non è quindi quello di frenare l’innovazione, ma di imporre una governance rigorosa e dei controlli sull’accesso. È eticamente imperativo sviluppare quadri normativi che regolino la distribuzione di questi modelli avanzati e garantire sempre la supervisione umana, evitando di delegare decisioni di sicurezza critiche a “scatole nere” autonome e incontrollabili.
Secondo le ultime analisi, quali rischi futuri sono ipotizzabili se la simbiosi fra AI e cybercrime dovesse evolvere ulteriormente?
Se la simbiosi tra IA e cybercrime dovesse avanzare, il rischio principale è l’emergere di agenti malevoli completamente autonomi. Non più hacker che usano l’IA, ma IA che agiscono come hacker, capaci di condurre intere campagne di attacco in pochi minuti: dall’identificazione dell’obiettivo alla scoperta di vulnerabilità sconosciute (zero-day), fino all’esfiltrazione dei dati e alla cancellazione delle tracce. Un altro rischio catastrofico riguarda gli attacchi automatizzati alle infrastrutture critiche (reti elettriche, idriche), progettati non per rubare dati ma per massimizzare il danno fisico. Infine, si assisterebbe all’industrializzazione della disinformazione tramite deepfake indistinguibili dalla realtà, capaci di destabilizzare mercati e governi in tempo reale.
