Messaggi chiave

  • La digitalizzazione spinge la produttività, ma potenzia anche le minacce informatiche. L’IA generativa consente di compiere attacchi informatici più sofisticati, più veloci e più difficili da individuare.
  • Le crescenti tensioni geopolitiche, soprattutto quelle che coinvolgono Russia, Cina e Corea del Nord, intensificano la cyber guerra. Gruppi State-sponsored quali Volt Typhoon e APT44 prendono di mira infrastrutture critiche con malware avanzato.
  • Nel 2024 gli attacchi informatici settimanali per organizzazione sono aumentati del 44%, con costi medi per violazione arrivati alla cifra di 4,88 milioni di USD a livello globale (esclusi gli Stati Uniti) e 9,36 milioni di USD solo negli Stati Uniti.
  • Gli strumenti basati sull’IA si stanno rivelando la contromisura più efficace: consentono infatti di rilevare le minacce in tempo reale, individuare le anomalie e rispondere automaticamente agli incidenti.
  • Più le minacce informatiche diventano ampie e complesse, più è probabile che cresca la domanda di soluzioni di sicurezza con IA integrata.

La digitalizzazione in corso nella società civile è uno dei fattori trainanti della crescita strutturale alla base del nostro tema di investimento sulla sicurezza. Se da un lato questa tendenza ha reso accessibili molte informazioni, aumentato la produttività e migliorato l’efficienza operativa, dall’altro ha anche introdotto una nuova ondata di sfide per la sicurezza IT. I confini tra guerra convenzionale e cyber guerra sono sempre più sfumati, con attacchi informatici basati sull’IA che evolvono rapidamente, sia in termini di dimensioni che di sofisticazione.

In un contesto geopolitico instabile, gli attacchi informatici State-sponsored, ossia attacchi effettuati o sostenuti da Stati nazionali, diventano sempre più aggressivi e tecnicamente avanzati. Ad esempio, lo scorso anno alcuni funzionari statunitensi hanno accusato “Volt Typhoon”, un gruppo di hacker appoggiato dalla Cina, di aver tentato di infiltrarsi nelle reti informatiche statunitensi con l’intento di perturbare il funzionamento di infrastrutture critiche per le risorse idriche, l’elettricità o i trasporti in un futuro conflitto.1 Da allora l’FBI ha lanciato un appello pubblico per raccogliere informazioni e offre una ricompensa di 10 milioni di USD per contribuire a identificare i responsabili.2

La crescita delle minacce basate sull’IA

Da un recente sondaggio condotto su oltre 1.800 decisori IT negli Stati Uniti, in Europa e in Australia è emerso che per il 77% degli intervistati le tensioni geopolitiche hanno accentuato la minaccia di cyber guerra: nel 2024, lo pensava il 41% del campione. Inoltre, il 72% teme che le cyber capacità degli Stati nazionali possano crescere fino a trasformarsi in una cyber guerra su vasta scala.3 Operazioni di questo genere, spesso attuate con malware distruttivi,4 mirano a colpire infrastrutture critiche, interrompere servizi essenziali e seminare il caos. Eccone alcuni esempi:

  • Void Manticore, un gruppo di hacker iraniani legato al Ministero dell’Intelligence e della Sicurezza (MOIS), ha utilizzato il malware “No-Justice Wiper” per cancellare dati e interrompere servizi in Albania e Israele.5
  • APT44 (noto anche come “Sandworm”), un gruppo affiliato alla Russia, ha lanciato AcidPour per compromettere le infrastrutture ucraine e sottrarre dati militari sensibili.6
  • Volt Typhoon, un gruppo associato alla Cina, si concentra sull’infiltrazione a lungo termine in sistemi critici per raccogliere informazioni e introdurre capacità di interruzione latenti.7

Gli intervistati hanno identificato Russia, Cina e Corea del Nord quali principali cyberminacce State-sponsored suscettibili di utilizzare strumenti di IA per identificare le vulnerabilità e condurre attacchi informatici (Fig. 1). È interessante notare come oltre la metà (51%) degli intervistati consideri la Cina un rischio maggiore rispetto alla Russia. Oltre il 72% ritiene che questi attori abbiano il potenziale per innescare una cyberguerra su vasta scala con gravi conseguenze per le infrastrutture critiche.8

Grafico a barre che illustra le risposte a una domanda del sondaggio sulle principali minacce State-sponsored, con Russia, Cina e Corea del Nord in testa alla classifica.

Il costo dell’inazione

La proliferazione dell’IA, e in particolare dell’IA generativa (GenAI) con la sua interfaccia in linguaggio naturale e le sue capacità di codifica, è un’arma a doppio taglio. Se da un lato offre strumenti potenti per innovare, dall’altro consente agli aggressori di creare campagne di phishing più convincenti e automatizzare lo sviluppo di malware, rendendo gli attacchi informatici più rapidi e difficili da individuare.

Secondo Gartner, entro il 2027 oltre il 40% dei data breach correlati all’IA deriverà da un uso improprio della GenAI, dovuto in particolare a trasferimenti di dati transfrontalieri involontari e controlli insufficienti. Ad esempio, prompt sensibili inviati a strumenti di IA ospitati in giurisdizioni ignote potrebbero esporre inavvertitamente dati critici.9 Alcuni parametri chiave evidenziano l’urgenza della situazione:

  • Il numero medio di attacchi informatici settimanali per organizzazione è arrivato a 1.624 nel 2024, con un aumento del 44% rispetto al 2023.10
  • Il costo medio globale (esclusi gli Stati Uniti) di un data breach è salito a 4,88 milioni di USD, con un aumento del 10% rispetto all’anno precedente, mentre negli Stati Uniti il costo medio è quasi raddoppiato arrivando a 9,36 milioni di USD.11
  • Il tempo medio di breakout, ossia il tempo necessario a un aggressore per spostarsi lateralmente all’interno di una rete, è di soli 48 minuti. In alcuni casi, sono bastati appena 51 secondi.12 Quasi il 20% delle esfiltrazioni di dati avviene entro la prima ora dalla compromissione della rete,13 il che lascia poco tempo per l’intervento umano e sottolinea la necessità di avere capacità di rilevamento in tempo reale e capacità di risposta basate sull’IA.

Una simulazione condotta da Unit 42 (divisione di Palo Alto Networks Inc.) ha dimostrato che gli attacchi ransomware assistiti da GenAI hanno ridotto il tempo necessario per l’esfiltrazione di dati da due giorni ad appena 25 minuti (Fig. 2). Benché ottenuti in laboratorio, i risultati della simulazione evidenziano come l’IA possa ridurre velocemente il tempo che intercorre tra la ricognizione e lo sfruttamento (il cosiddetto “time-to-impact”), comprimendo la finestra a disposizione per una risposta efficace.14

Grafico 2: velocità di un attacco ransomware simulato, con e senza l’utilizzo di tecniche assistite da IA

un attacco ransomware assistito da IA richiede 25 minuti, mentre senza IA può richiedere fino a 2 giorni.
Fonte: Palo Alto Networks (2025): Global Incident Response Report 2025, p. 17.

Rappresentazione visiva di un attacco ransomware: con l’uso dell’IA l’attacco richiede 25 minuti, mentre senza l’uso dell’IA può richiedere anche 2 giorni

L’IA come scudo

Nonostante i suoi rischi, l’IA offre anche le soluzioni più promettenti alle sfide odierne in materia di cyber sicurezza. Diverse tecnologie basate sull’IA stanno già ridefinendo il panorama della difesa:

  • Risposta agli incidenti: l’IA può rilevare e mitigare le minacce, consentendo un riconoscimento più rapido, risposte autonome, un apprendimento dinamico e una gestione efficiente degli avvisi. Secondo IBM, l’adozione dell’IA può ridurre significativamente il tempo necessario per contenere una violazione della sicurezza.15
  • Rilevamento delle anomalie e difesa zero-day: analizzando continuamente il traffico di rete e i comportamenti utilizzati, l’IA è in grado di identificare le deviazioni dai modelli storici e rilevare le minacce emergenti prima che diventino problemi.16
  • Rilevamento delle intrusioni in tempo reale: i sistemi basati sull’IA sono in grado di adeguare dinamicamente i metodi di rilevamento,17 rendendo più difficile per le minacce passare inosservate.
  • Orchestrazione, automazione e risposta della sicurezza (SOAR) basate sull’IA: queste piattaforme semplificano la gestione degli incidenti isolando i sistemi compromessi e avvisando immediatamente i team di sicurezza IT, riducendo così al minimo i danni e impedendo infiltrazioni più profonde.18

Dal rischio alla resilienza

Il panorama della cyber sicurezza sta diventando una gara ad alta velocità tra aggressori e difensori, entrambi sempre più dipendenti dall’IA. Se da una lato i malintenzionati sfruttano la GenAI per potenziare le loro capacità, dall’altro i professionisti della sicurezza implementano gli stessi strumenti per restare al passo. La corsa agli armamenti nel cyberspazio si sta intensificando.

L’IA contribuisce senza dubbio a inasprire il panorama delle minacce, ma è anche il perno di ogni possibile soluzione. L’intelligence delle minacce basate sull’IA sta trasformando la cybersicurezza, consentendo di rilevare e mitigare in modo proattivo i rischi, nonché permettendo alle organizzazioni di contrastare gli attacchi basati sull’IA con difese altrettanto avanzate. Questo crea una dinamica machine-to-machine ad alta velocità in cui i sistemi di IA sono continuamente impegnati sia in attacco che in difesa. Funzionalità avanzate quali il monitoraggio della superfice di attacco e della darknet, gli honeypot19 appositamente configurati e l’intelligence umana offrono un vantaggio competitivo fondamentale, aiutando imprese e governi a stare al passo con le minacce emergenti.

Con l’accelerazione della digitalizzazione, migliorare la resilienza delle infrastrutture critiche per la sicurezza IT è ormai una priorità urgente. Di conseguenza, è probabile che emergano interessanti opportunità di investimento, in particolare tra le imprese leader nel settore della cybersicurezza che stanno integrando funzionalità GenAI nella loro offerta di servizi.

1. CISA (2024): PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure, 7.2.2024, comunicato stampa, Collegamento
2. FBI (2025): FBI Seeking Tips about PRC-Targeting of US Telecommunications, comunicato stampa, Collegamento
3. Armis Labs (2025): The state of cyberwarfare – Warfare without borders, p. 6, Collegamento
4. Un wiper è un malware che impedisce in modo permanente l’accesso di un’organizzazione a file e dati o li elimina. Questo tipo di malware è utilizzato comunemente come strumento di distruzione e interruzione, poiché la perdita di informazioni critiche potrebbe rendere impossibile per un’organizzazione continuare a operare o svolgere determinate azioni (Checkpoint Software, Collegamento
5. Checkpoint Software (2024): Bad Karma, No-Justice: Void Manticore destructive activities in Israel, comunicato stampa, Collegamento
6. SentinelOne (2024): AcidPour: New embedded Wiper variant of AcidRain appears in Ukraine, comunicato stampa, Collegamento
7. Microsoft (2023): Volt Typhoon targets US critical infrastructure with living-off-the-land techniques, 24.5.2023, comunicato stampa, Collegamento
8. Armis Labs (2025): The state of cyberwarfare – warfare without borders, p. 7, Collegamento
9. Gartner (2025): Lack of Consistent Global AI Standards Forces Enterprises to Develop Region-Specific Strategies, Limiting AI Scalability and Benefits, 17.2.2025, Collegamento., 28.4.2025.
10. Checkpoint Software (2025): The state of cyber security 2025, p. 34, Collegamento
11. IBM (2024): Cost of a Data Breach Report 2024, luglio 2024, p. 9, Collegamento
12. CrowdStrike (2025): CrowdStrike 2025 Global Threat Report, p. 9, Collegamento
13. Palo Alto Networks (2025) : Global Incident Response Report 2025, p. 14, Collegamento
14. Palo Alto Networks (2025): Global Incident Response Report 2025, p. 17, Collegamento
15. IBM (2024): Cybersecurity in the era of generative AI, aprile 2024, p. 10, Collegamento
16. Fonte: Fortinet (2025): Artificial Intelligence (AI) in cybersecurity, Collegamento
17. DataGuard (2025): How intrusion detection systems help identify cyber threats in real-time, Collegamento
18.Palo Alto Networks (2025): blog What is SOAR?, Collegamento
19. Un honeypot è un sistema esca creato per attirare e intrappolare gli autori di attacchi informatici, consentendo ai team di sicurezza di studiarne il comportamento e migliorare la difesa (Fortinet 2025): What Are Honeypots (Computing)?, Collegamento

S-06/25 M-001418

Sull’autore
  • Patrick Kolb

    Dr. Patrick Kolb

    Senior portfolio manager, Thematic Equities

    Patrick Kolb (PhD), Managing Director, è stato Senior Portfolio Manager per la strategia Security Equity dal 2007. Nel 2005, è entrato a far parte di Credit Suisse Asset Management, ora parte del gruppo UBS, dove inizialmente si è concentrato sui settori industriali e tecnologici. Patrick si è laureato presso University of Zurich con una specializzazione in Finance e ha poi lavorato come research assistant presso l'Institute of Banking and Finance di University of Zurich prima di conseguire il PhD in Financial Economics.

Potrebbe interessarti anche