AI e minaccia cyber, l’allarme dei Five Eyes: il tempo non si misura più in anni, ma in mesi

L’intelligenza artificiale non rappresenta più soltanto una leva di innovazione e produttività. Sta diventando, con una velocità che fino a pochi mesi fa sembrava difficilmente immaginabile, un acceleratore della minaccia cyber globale.

A dirlo non è un singolo vendor, né un centro di ricerca universitario: a lanciare l’allarme sono le agenzie di cyber sicurezza dei Paesi appartenenti all’alleanza Five Eyes (Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda) che, in una rara dichiarazione congiunta, hanno invitato governi, imprese e vertici aziendali a prepararsi a uno scenario in cui l’AI sarà in grado di trasformare radicalmente le capacità offensive nel cyberspazio nel giro di pochi mesi.

Il passaggio più significativo del documento è probabilmente quello in cui le agenzie affermano che la timeline non deve più essere misurata in anni, ma in mesi. Una presa di posizione che evidenzia come la cyber security stia entrando in una nuova fase evolutiva, caratterizzata da una crescente compressione dei tempi tra la scoperta di una vulnerabilità e il suo sfruttamento da parte degli attaccanti.

La vera novità: l’AI comprime il ciclo dell’attacco

Da anni il settore della sicurezza informatica osserva una progressiva industrializzazione del cybercrime. Automazione, servizi ransomware-as-a-service e marketplace criminali hanno già ridotto le barriere di ingresso per gli attaccanti.

Secondo i Five Eyes, però, l’intelligenza artificiale rappresenta un salto qualitativo ulteriore.

I modelli AI di nuova generazione stanno, infatti, dimostrando capacità sempre più avanzate nell’analisi del codice, nell’identificazione di vulnerabilità software, nella generazione di exploit e nell’automazione delle attività di ricognizione e compromissione.

Ciò che cambia non è soltanto la sofisticazione tecnica degli attacchi, ma soprattutto la velocità con cui possono essere condotti.

Dalla vulnerabilità all’exploit in tempi sempre più ridotti

Tradizionalmente, tra la pubblicazione di una vulnerabilità e la sua effettiva weaponization trascorrevano settimane o mesi. Oggi questo intervallo si sta rapidamente riducendo.

Le agenzie Five Eyes sottolineano che l’AI è già in grado di accelerare attività come:

• individuazione automatizzata delle vulnerabilità;
• sviluppo di proof of concept;
• adattamento degli exploit a diversi ambienti;
• analisi delle configurazioni di sicurezza;
• ricerca di percorsi di compromissione all’interno delle reti.

In altre parole, l’intelligenza artificiale sta riducendo il vantaggio temporale di cui le organizzazioni disponevano per applicare patch, mitigazioni e contromisure.

Per molte aziende questo significa che i processi di vulnerability management progettati solo pochi anni fa rischiano di non essere più adeguati rispetto alla velocità dell’attuale scenario di minaccia.

Cyber security: da problema IT a responsabilità del board

Uno degli aspetti più interessanti della dichiarazione riguarda il cambio di prospettiva richiesto alle organizzazioni: il documento, infatti, afferma in modo esplicito che il rischio cyber non può più essere considerato una questione esclusivamente tecnica.

Al contrario, deve essere trattato come un rischio aziendale strategico, di competenza del top management e degli organi di governance.

È un messaggio che richiama molti dei principi già presenti nelle più recenti normative europee, dalla direttiva NIS2 al Digital Operational Resilience Act (DORA), che attribuiscono precise responsabilità agli organi amministrativi nella gestione del rischio cyber.

Perché i CEO sono direttamente coinvolti

Infatti, l’avvento dell’AI rende sempre più difficile separare la sicurezza informatica dalla continuità operativa.

Un attacco cyber particolarmente efficace può oggi tradursi rapidamente in:

• interruzione dei servizi;
• blocco delle attività produttive;
• perdita di dati strategici;
• danni reputazionali;
• impatti finanziari rilevanti.

La capacità di un’organizzazione di resistere a tali eventi non dipende soltanto dalle tecnologie implementate, ma dalla maturità complessiva della governance della sicurezza.

Per questo motivo, i responsabili della cyber sicurezza dei Five Eyes invitano esplicitamente i vertici aziendali a comprendere il rischio cyber, sostenere i responsabili della sicurezza e integrare la resilienza digitale nelle strategie di business.

L’AI non è soltanto una minaccia: è anche una difesa

È importante sottolineare che la dichiarazione dei Five Eyes evita accuratamente ogni forma di tecnofobia. Le agenzie riconoscono, infatti, che l’intelligenza artificiale rappresenta anche una straordinaria opportunità per migliorare le capacità difensive delle organizzazioni.

Strumenti basati su AI stanno già consentendo di:

• identificare anomalie in tempo reale;
• accelerare le attività di threat hunting;
• supportare il Security Operations Center;
• migliorare la prioritizzazione delle vulnerabilità;
• ridurre i tempi di risposta agli incidenti.

Il problema, tuttavia, è che attaccanti e difensori stanno correndo la stessa gara e spesso gli attaccanti possono beneficiare di minori vincoli normativi, organizzativi ed etici.

Da qui la necessità, evidenziata dal documento, di adottare un approccio proattivo e non attendista.

Nuove vulnerabilità e nuovi rischi emergenti

Un altro elemento centrale della dichiarazione congiunta pubblicata dai responsabili cyber dei Five Eyes riguarda la sicurezza degli stessi sistemi AI.

Secondo le agenzie, con l’evoluzione dei modelli emergeranno inevitabilmente nuove categorie di vulnerabilità, comprese vulnerabilità zero-day oggi ancora sconosciute.

Si tratta di una considerazione particolarmente rilevante per le aziende che stanno accelerando l’adozione di strumenti di AI generativa e agentica.

Negli ultimi mesi gli stessi Five Eyes avevano già pubblicato specifiche linee guida sull’adozione sicura dei sistemi agentici, evidenziando rischi legati a privilegi eccessivi, comportamenti inattesi, attacchi di prompt injection e ampliamento della superficie d’attacco.

L’attuale avvertimento sembra rappresentare il naturale completamento di quel percorso: da un lato la necessità di governare in sicurezza l’AI, dall’altro la consapevolezza che l’AI sta rapidamente modificando il panorama delle minacce.

Cosa dovrebbero fare oggi le aziende

Dal punto di vista operativo, il messaggio dei Five Eyes appare sorprendentemente pragmatico: le agenzie non indicano soluzioni miracolose né tecnologie salvifiche.

Al contrario, insistono su alcuni principi fondamentali che il settore della cyber security ripete da anni ma che continuano a rappresentare il principale punto debole di molte organizzazioni.

Accelerare il patch management

Se il tempo tra vulnerabilità ed exploit si riduce, la velocità di applicazione delle patch diventa un fattore competitivo.

Le aziende devono ridurre drasticamente il tempo medio necessario per identificare, valutare e correggere le vulnerabilità critiche.

Eliminare i sistemi legacy non supportati

Molte organizzazioni continuano a mantenere infrastrutture obsolete per ragioni operative o economiche.

In uno scenario dominato dall’AI, questi sistemi rischiano di trasformarsi in bersagli privilegiati per attaccanti sempre più automatizzati.

Rafforzare identità e accessi

Le agenzie richiamano l’importanza del controllo degli accessi e della riduzione dei privilegi.

Principi come Zero Trust, least privilege e autenticazione multifattore restano tra le misure con il miglior rapporto costo-beneficio.

Prepararsi all’inevitabilità dell’incidente

Uno dei passaggi più maturi della dichiarazione riguarda il concetto di preparedness.

Le violazioni continueranno a verificarsi. La differenza sarà determinata dalla capacità dell’organizzazione di rilevarle rapidamente, contenerle e ripristinare le proprie attività prima che degenerino in crisi operative o finanziarie.

Una finestra di opportunità che si sta chiudendo

Dunque, la dichiarazione dei Five Eyes non va interpretata come una previsione catastrofista. Piuttosto, rappresenta il riconoscimento istituzionale di una trasformazione già in atto.

Per anni il dibattito sull’intelligenza artificiale si è concentrato prevalentemente sugli impatti economici, sociali e occupazionali. Oggi emerge con forza una dimensione ulteriore: quella della sicurezza.

Il punto centrale non è stabilire se l’AI cambierà il panorama cyber. Lo sta già facendo.

La vera domanda per le organizzazioni è se riusciranno ad adattare abbastanza rapidamente processi, governance e capacità difensive da tenere il passo con una minaccia che evolve a velocità crescente.

Perché, come evidenziano le stesse agenzie Five Eyes, il problema non è più capire cosa accadrà tra cinque anni: è capire cosa potrebbe accadere nei prossimi mesi.