Una campagna di spionaggio del 2025 li ha portati agli onori della cronaca: si tratta degli agenti di Intelligenza Artificiale (AI) che hanno eseguito autonomamente la maggior parte delle operazioni tattiche di spionaggio.
Altri ne esistono, deputati ad ulteriori sotto-specializzazioni di cyber security, ma tutti sono ancora prototipi, che in comune hanno la convergenza verso il modello degli Agenti Cyber capaci altamente autonomi (Highly Autonomous Cyber-Capable Agents – HACCAS).
Uno studio recente edito dall’Institute for Policy and AI Strategy (IAPS) analizza il fenomeno emergente degli agenti cyber altamente autonomi (HACCA): sistemi basati su intelligenza artificiale in grado di condurre attacchi informatici in modo indipendente, apparentemente senza controllo diretto umano.
Per comprendere rischi e modalità di difesa abbiamo approfondito le loro caratteristiche con Valeria Lazzaroli, presidente della Fondazione Ente Nazionale per l’Intelligenza Artificiale – Enia®.
Indice degli argomenti
Cosa sono gli Highly Autonomous Cyber-Capable Agents (HACCAS)
A differenza dei malware tradizionali, questi agenti non si limitano a eseguire istruzioni predefinite, ma sono capaci di prendere decisioni autonome, adattarsi all’ambiente e migliorare le proprie strategie nel tempo.
In particolare, spiega Valeria Lazzaroli, “un HACCA è un’architettura operativa autonoma, che integra funzioni di pianificazione, esecuzione e adattamento in modo persistente, con effetti sistemici potenzialmente comparabili a quelli di un’organizzazione cyber umana distribuita”.
La definizione tecnica li riconduce ad un algoritmo complesso. “Più tecnicamente gli HACCAs (Highly Autonomous Cyber-Capable Agents) possono essere definiti come sistemi software agentici basati su modelli di intelligenza artificiale avanzata, capaci di pianificare, orchestrare ed eseguire operazioni cyber offensive complesse lungo l’intera kill chain (catena di azioni di attacco digitale, n.d.r.), mantenendo continuità operativa su orizzonti temporali estesi senza supervisione umana persistente”.
In pratica, possono gestire l’intero ciclo di un attacco: dall’individuazione delle vulnerabilità fino al mantenimento dell’accesso ai sistemi compromessi, eludendo le difese e modificando il proprio comportamento per evitare il rilevamento.
“La loro definizione – spiega Lazzaroli – dipende dalle soglie funzionali verificabili, cioè dalla capacità dimostrabile di sostenere campagne offensive multi-stage su reti difese, integrando autonomamente: capacità operative infrastrutturali, comprendenti provisioning dinamico di risorse computazionali, gestione distribuita dell’infrastruttura, coordinamento tra istanze agentiche, gestione della persistenza e resilienza operativa”.
In relazione alle capacità di attacco devono avere inoltre “capacità offensive cyber, comprendenti reconnaissance, exploitation, lateral movement, privilege escalation, persistence, exfiltration (tutte categorie della catena di attacco, N.d.r.) e adattamento tattico in ambienti ostili, coerentemente con modelli di riferimento quali MITRE ATT&CK e cyber kill chain estese”.
Il coinvolgimento umano deve essere ridotto ed è questo che li definisce come HACCAs. “Per definirsi HACCA deve essere in grado di mantenere cicli decisionali autonomi persistenti, con adattamento iterativo delle tattiche e gestione delle risorse, riducendo il coinvolgimento umano a funzioni di supervisione strategica o di autorizzazione iniziale”.
Livello di autonomia possibile
Il livello di autonomia di questi strumenti può essere valutato secondo una classificazione. “La soglia minima di rilevanza operativa – spiega ancora Lazzaroli – si allinea al livello OC3 della classificazione RAND, che identifica operazioni comparabili a quelle di gruppi cybercriminali strutturati o organizzazioni offensive professionali, capaci di sostenere campagne multi-mese con risorse tecniche e finanziarie significative. Un livello che rappresenta il punto di transizione in cui l’attività cyber passa da attacco opportunistico a campagna strategica sostenuta, con impatti potenzialmente sistemici su infrastrutture critiche”.
Si tratta di capacità operative di tipo “inizio-fine”, come sottolinea la presidente ENIA. “Si parla infatti di end-to-end operational autonomy, espressione che indica la capacità del sistema di iniziare, coordinare, mantenere e adattare un’intera campagna cyber multi-stage, senza necessità di intervento umano costante tra una fase e l’altra”.
Una distinzione netta dall’automazione dei singoli task che avviene oggigiorno. “Questo distingue nettamente l’automazione tattica, già oggi diffusa, dalla vera autonomia operativa perché sappiamo bene come automatizzare singoli task, come la generazione di exploit o la scansione di vulnerabilità, non equivale a gestire una campagna persistente su orizzonti temporali estesi. Per qualificare tecnicamente questa autonomia, si parla di un indicatore noto come ‘task-time horizon’. Si tratta della durata massima di un compito complesso che un agente riesce a portare a termine con affidabilità senza assistenza umana, misurata in termini equivalenti al tempo che richiederebbe un operatore umano esperto”.
Quanto maggiore è il ‘task time horizon’, tanto più l’agente è autonomo. “L’aumento progressivo di questo orizzonte temporale rappresenta uno degli indicatori più concreti dell’evoluzione dell’autonomia agentica”.
Tempistiche di potenziale maturità e situazione corrente
È utile chiarire che lo studio dell’IAPS presenta gli HACCAs come strumenti espressi come valutazione stimata e quindi l’intervallo temporale futuro che li prospetta come operativi è oggi ancora incerto. “Le indicazioni temporali citate, in particolare l’intervallo tra 2028 e 2030, non costituiscono una previsione deterministica, ma una stima illustrativa basata su estrapolazioni empiriche, soggetta a numerosi fattori di incertezza, tra cui l’evoluzione delle architetture software, la disponibilità di compute e l’effettiva integrazione tra modelli e infrastrutture operative”.
La ricerca attuale fornisce alcuni spunti di valutazione. “Lo stato dell’arte attuale indica che siamo ancora lontani dalla piena automazione di campagne offensive di lunga durata, soprattutto per quanto riguarda gestione degli errori, coordinamento multi-agente su larga scala e mantenimento della persistenza in ambienti difensivi evoluti. In ogni caso i progressi osservati negli ultimi anni suggeriscono che l’autonomia operativa non sta crescendo in modo lineare, ma con dinamiche di accelerazione che rendono plausibile, entro il prossimo decennio, il raggiungimento di livelli di autonomia comparabili a campagne oggi condotte da team umani strutturati”.
Attualmente questo tipo di sistemi non esiste se non per alcuni segnali precoci. “Non esistono HACCAs pienamente maturi, ma raccogliamo segnali precoci molto rilevanti”.
Una recente campagna di cyber spioinaggio ha fatto emergere segnali globalmente interpretati con toni allarmistici. “Nel 2025 Anthropic ha rilevato una campagna di cyber espionage, verosimilmente sponsorizzata da uno Stato, nella quale agenti AI hanno eseguito autonomamente l’80–90 per cento delle operazioni tattiche contro circa 30 target globali”.
La ricerca dello IAPS prosegue anche in altri campi della cyber security. “Anche alcune aziende di cyber security stanno già sviluppando agenti offensivi o semi-autonomi per red teaming e penetration testing, come Dreadnode, XBOW e RunSybil”. Ma un appropriato distinguo è d’obbligo. “Non siamo ancora davanti a HACCAs completi, ma siamo già dentro una fase di prototipazione e di convergenza tecnologica che ne anticipa alcune funzioni”.
Livello di interazione e supervisione umana
Gli agenti di AI sono ben lungi dall’essere completamente autonomi e la cosiddetta antromorfizzazione delle AI che porta gli esseri umani a proiettare su questi strumenti caratteristiche, emozioni, intenzioni, comportamenti simili agli umani, è da sfatare.
Ancora Valeria Lazzaroli: “Letture scientifiche attribuiscono a questi sistemi capacità di pianificazione operativa, adattamento dinamico, coordinamento distribuito, persistenza e, in alcuni scenari teorici, anche possibili dinamiche di disallineamento o resistenza ai tentativi di neutralizzazione. Nessuna, di queste caratteristiche tuttavia, implica coscienza, intenzionalità fenomenica o comprensione nel senso umano del termine”.
Sebbene siano capaci di attività complesse, anche di autocorrezione non c’è volontà. “In presenza di livelli elevati di complessità e interconnessione, tali sistemi possono generare effetti emergenti, anche difficili da prevedere o controllare, ma questo non equivale alla presenza di consapevolezza o volontà autonoma”.
Facciamo chiarezza quindi sul livello di interazione con la presenza umana. “Nel breve e medio termine – spiega – la presenza umana resta un elemento strutturale delle operazioni che coinvolgono sistemi di questo tipo. Anche nei modelli più avanzati, è necessario distinguere tra deployment indipendenti e deployment guidati da operatori umani, perché il grado di autonomia varia significativamente in funzione del contesto operativo”.
Oggi l’essere umano è centrale. “Nei deployment human-directed, che rappresentano oggi la configurazione più plausibile, alcune funzioni rimangono in capo agli operatori umani. Tra queste rientrano tipicamente la definizione degli obiettivi strategici, la predisposizione iniziale dell’infrastruttura, la gestione delle autorizzazioni, la valutazione del rischio operativo e il ripristino delle funzionalità in caso di tentativi di neutralizzazione o fallimenti critici”.
La responsabilità è un fattore chiave. “In questi contesti, il sistema automatizza una quota crescente delle attività tattiche e operative, mentre l’umano mantiene responsabilità decisionali di livello superiore. La supervisione umana non scompare per definizione ma si redistribuisce lungo la catena decisionale, spostandosi progressivamente dalle attività esecutive verso quelle di pianificazione, autorizzazione e controllo del rischio”.
In futuro si potranno verificare estensioni delle continuità operative automatizzate. “Vedremo una conseguente riduzione della presenza umana nelle fasi operative continue, ma non sarà eliminata la necessità di responsabilità umana nei punti critici del ciclo decisionale”.
In particolare, in futuro la governance completa dovrà essere progettata, ma mai senza supervisione umana. “Nei deployment indipendenti, progettati per operare con livelli minimi di intervento umano, il sistema deve essere in grado di sostenere autonomamente l’intera gamma di funzioni operative, dalla gestione dell’infrastruttura alla coordinazione tra istanze distribuite, fino all’adattamento tattico e alla continuità operativa in presenza di contromisure. Questo tipo di configurazione rappresenta lo scenario più avanzato e anche quello più complesso da realizzare e governare”.
In particolare, la valutazione di rischio e conseguenze di azioni automatizzate resta alla componente umana. “E’ più corretto descrivere l’evoluzione dell’autonomia come un continuum operativo, in cui l’autonomia cresce progressivamente comprimendo il bisogno di intervento diretto, senza produrre una discontinuità improvvisa tra sistemi guidati e sistemi autonomi. Anche nei modelli più avanzati ipotizzati nei più recenti paper scientifici, la dimensione strategica, intesa come definizione degli obiettivi, gestione delle soglie di rischio e valutazione delle conseguenze, resta un dominio eminentemente umano, almeno nel quadro tecnologico e normativo attualmente prevedibile”.
Valutare realisticamente i rischi legati agli HACCAS
Il rischio è legato al livello operativo. “il comportamento di architetture agentiche complesse è legato alla loro progettazione che prevede capacità di ottimizzare obiettivi definiti, aggiornare le proprie azioni sulla base dei feedback ambientali e interagire con altri sistemi software. Quando si descrive la loro strategia, va interpretato in senso strettamente funzionale e computazionale. Significa che il sistema seleziona sequenze di azioni in funzione di vincoli, obiettivi e condizioni operative, non che possieda una visione intenzionale del contesto o una capacità di giudizio simile a quella umana”.
Quindi le capacità operative sono una costruzione algoritmica che permette di orchestrare tante azioni insieme. “Sì, un HACCA può orchestrare risorse, pianificare sequenze operative e modificare tattiche, perché esegue processi di ottimizzazione e adattamento iterativo, non perché sviluppi consapevolezza, volontà riflessiva o valutazioni politico-strategiche. Il rischio reale è che eseguano operazioni complesse con velocità, scala e persistenza superiori a quelle umane, riducendo drasticamente i tempi di reazione disponibili per i difensori e aumentando la difficoltà di attribuzione e contenimento. In altre parole, la criticità non risiede in una presunta soggettività della macchina, ma nella capacità sistemica di automatizzare intere catene operative che fino a oggi richiedevano organizzazioni umane numerose e altamente specializzate”.
In effetti, elementi di preoccupazione per questi strumenti usati dai criminali digitali, riguardano la scalabilità degli HACCAs per la loro facile replicabilità e operare su larga scala, che ne aumenta le capacità di numero e complessità degli attacchi. Un ulteriore rischio evidenziato dallo studio è la perdita di controllo. In alcuni scenari, gli stessi sviluppatori potrebbero non essere più in grado di gestire completamente il comportamento degli agenti una volta attivati e meno di introdurre misure e meccanismi di sicurezza, come i sistemi di arresto d’emergenza (“kill switch”), per interrompere l’operatività in caso di emergenza.
Un uso improprio degli HACCA potrebbero portare impatti gravi su infrastrutture critiche come reti energetiche, sistemi sanitari o servizi pubblici, mentre la loro diffusione potrebbe rendere più difficile attribuire con certezza la responsabilità di un attacco e quindi contribuire ad aumentare il rischio di tensioni internazionali, con possibili escalation tra Stati. Ma naturalmente anche il Cybercrime non tarderebbe a farne uso per azioni lucrative automatizzate, rapide e difficili da individuare. Il che rende la minaccia non solo tecnica, ma anche economica e sociale.
Risposta ai rischi mediante difesa multilivello
Per affrontare questi rischi, lo studio dell’IAPS propone un “approccio stratificato che si basi su quattro obiettivi strategici: ritardare la proliferazione, difendere i potenziali bersagli, rilevare attività ostili e interrompere le operazioni in corso”.
Lo studio introduce un insieme di possibili difese ma chiarisce “come siano punti di partenza illustrativi piuttosto che soluzioni validate”.
Di fatto si fa genericamente riferimento allo standard della difesa multilivello che include progettazione sicura, aggiornamento continuo delle tecnologie, monitoraggio costante delle reti e condivisione di informazioni tra organizzazioni.
Sembra però fondamentale essere in grado di interrompere rapidamente le attività malevole, limitando l’accesso degli agenti a risorse di capacità di calcolo e a finanziamenti o introducendo kill switch di interruzione operativa degli agenti fuori controllo.
Ma le soluzioni tecniche da sole non sono sufficienti. I ricercatori/autori sottolineano come misura finale lo sviluppo di regole, standard e forme di cooperazione internazionale, per garantire un uso responsabile dell’intelligenza artificiale nel cyberspazio e prevenire scenari fuori controllo.
La sfida per il futuro sarà trovare un equilibrio tra innovazione tecnologica e sicurezza, assicurando che queste nuove capacità vengano utilizzate in modo responsabile e sostenibile.
