L’IA ha cambiato la natura degli attacchi informatici, seppur non nel modo più temuto (almeno per ora). Il vero mutamento non riguarda tanto la comparsa di agenti AI autonomi capaci di orchestrare interi attacchi senza intervento umano, bensì un incremento profondo di scala, velocità e sofisticazione nelle fasi operative già consolidate come ricognizione, phishing, sviluppo di malware e social engineering multilingue. È questa la lettura che emerge dal report Cyber threats In Motion pubblicato da PwC, che posiziona l’identità digitale al centro della conversazione sulla sicurezza come punto di ingresso privilegiato per qualsiasi attaccante e come leva su cui costruire una difesa efficace.

La supply chain dell’accesso compromesso

Uno dei contributi analitici più lucidi del report riguarda la trasformazione del mercato underground. Gli infostealer, software malevoli progettati per estrarre credenziali, cookie di sessione e dati di autenticazione, alimentano in modo sistematico gli initial access broker, operatori specializzati nella vendita di accessi già compromessi ad altri gruppi criminali. Il risultato è una vera e propria supply chain dell’identità rubata, in cui la violazione di un account rappresenta il punto di partenza di una catena economica strutturata.

A questo meccanismo si sovrappone ora la capacità dell’AI di generare campagne di phishing altamente credibili e impersonazioni convincenti (incluse quelle basate su deepfake), che abbassano ulteriormente la barriera tecnica per condurre attacchi di social engineering su larga scala. Come sottolinea Allison Wikoff, global threat intelligence leader Americas di PwC, ciò che è cambiato è l’efficienza operativa delle minacce, con la conseguenza che oggi gli attaccanti combinano l’acquisto di accessi già pronti con la generazione autonoma di nuovi vettori, scegliendo di volta in volta l’approccio più conveniente in funzione del target.

Autonomia agentica: emergente, non ancora dominante

Il timore di sequenze d’attacco interamente automatizzate, condotte da agenti AI senza supervisione umana, è legittimo ma prematuro. I primi proof-of-concept esistono e alcune campagne mostrano già una porzione significativa di attività AI-driven, ma questi casi restano nella fase sperimentale e non offrono ancora l’affidabilità necessaria per operazioni su larga scala. Nella pratica attuale, l’AI viene usata per accelerare fasi specifiche (ricognizione, sviluppo di codice malevolo), piuttosto che per sostituire integralmente l’operatore umano.

Ai-generated,Deepfake,Identity,Concept,Showing,Human,Face,Replication,And,Digital

Vale la pena notare che molti gruppi di threat actor monitorati da PwC non hanno modificato in modo significativo le loro tecniche, tattiche e procedure negli ultimi dieci anni. Il phishing e il furto di credenziali restano straordinariamente efficaci e la maggior parte delle organizzazioni è ancora alle prese con le basi della sicurezza informatica. Finché queste lacune non vengono colmate, gli attaccanti continueranno a puntare agli obiettivi più accessibili.

Infrastrutture interconnesse e punti ciechi

L’interconnessione crescente tra aziende, piattaforme cloud e infrastrutture distribuite su più continenti ha creato superfici d’attacco che i difensori faticano a mappare nella loro interezza. I threat actor, siano essi gruppi sponsorizzati da stati nazionali, organizzazioni criminali o ibridi dei due, hanno già imparato a sfruttare i “punti ciechi” della catena rappresentati da dispositivi edge, dipendenze di supply chain software ed ecosistemi cloud condivisi. Questi vettori trasformano componenti fidati in percorsi d’attacco ad alta velocità con effetti a cascata difficili da contenere.

In questo contesto, la comprensione dei propri asset più importanti e preziosi (sistemi, dati, identità) diventa un’assoluta priorità strategica. Secondo PwC, Allineare le difese alle minacce effettivamente rilevanti per il proprio profilo, anziché cercare di proteggere tutto in egual misura, è il presupposto di una difesa realmente efficiente.

PwC integra infine nel proprio framework analitico una lettura geopolitica che non può essere trascurata. I threat actor russi continueranno con ogni probabilità a combinare operazioni cyber e di influenza contro le democrazie europee e transatlantiche. Quelli cinesi manterranno invece accessi persistenti nelle infrastrutture critiche, in particolare nelle telecomunicazioni. Sul fronte regolatorio, una maggiore precisione nell’attribuzione degli attacchi e una regolamentazione più severa alzeranno il costo degli errori di valutazione del rischio in operazioni di M&A, espansione in nuovi mercati e selezione di fornitori terzi.

La conclusione di PwC non lascia spazio a equivoci e sottolinea che, in un panorama guidato dall’identità e accelerato dall’AI, la resilienza appartiene alle organizzazioni capaci di governare l’identità digitale con velocità, validare la fiducia in modo continuo e trattare il rischio cyber come parte inseparabile della strategia di business e geopolitica complessiva.

(Immagine in apertura: Shutterstock)