Articolo · Sintesi di terzi
CLUSIT 2024 — AI e cybersecurity: minacce e difese per l'Italia
Fonte originale: CLUSIT — Rapporto sulla Sicurezza ICT in Italia 2024 (Marzo 2024) — sintesi e rielaborazione in parole proprie. Per il testo integrale leggi la fonte originale.
Chi è: CLUSIT (Associazione Italiana per la Sicurezza Informatica) pubblica annualmente il Rapporto sulla Sicurezza ICT in Italia — il riferimento principale per il settore cybersecurity italiano. Il rapporto 2024 è stato presentato al Security Summit di Milano in marzo 2024. Analizza incidenti, trend, settori colpiti, e per la prima volta dedica un capitolo esteso all'AI come vettore di attacco e strumento difensivo.
I numeri del 2023 in Italia
Il rapporto documenta: gli attacchi cyber in Italia sono aumentati del 65% dal 2019 al 2023. L'Italia è tra i paesi europei più colpiti — 7.6% degli attacchi globali, sproporzionato rispetto alla dimensione economica. Settori più colpiti nel 2023: manifattura (settore più attaccato in Italia per la prima volta), PA centrale, sanità, finance. La severità media degli attacchi è in crescita: meno rumore, più danno.
Il dato sulla manifattura è particolarmente significativo: segnala che il ransomware si è spostato verso obiettivi con alta capacità produttiva e alta dipendenza dall'operatività continua. Una fabbrica ferma perde denaro ogni ora — la pressione a pagare il riscatto è maggiore che in altri settori. L'AI offensiva rende questi attacchi più economici da eseguire e più difficili da rilevare.
Come l'AI amplifica le minacce
Il capitolo AI del rapporto 2024 identifica quattro vettori principali: (1) Phishing generativo — email di phishing generate da LLM sono grammaticalmente perfette, personalizzate, indistinguibili da comunicazioni legittime. I filtri tradizionali basati su pattern lessicali falliscono. (2) Deepfake vocali e video — usati in frodi BEC (Business Email Compromise), impersonando CEO o CFO per autorizzare bonifici. (3) Automazione degli attacchi — AI che scansiona automaticamente vulnerabilità, genera exploit, adatta payloads. (4) Disinformazione — campagne di influence operation amplificate da generazione automatica di contenuti.
Il phishing generativo merita attenzione specifica: fino al 2022, un'email di phishing in italiano era spesso riconoscibile per errori grammaticali o frasi innaturali — traccia di una traduzione automatica rudimentale. Con LLM come GPT-4, questo indicatore è sparito. Il phishing moderno è idiomaticamente perfetto, contestualmente plausibile, personalizzato con dettagli ricavati da LinkedIn e siti aziendali. Il fattore umano — l'unico rimasto dopo che i filtri tecnici falliscono — è sotto pressione crescente.
L'AI come strumento difensivo
Il rapporto documenta anche l'uso difensivo: SIEM (Security Information and Event Management) potenziati da ML per rilevamento anomalie. LLM per analisi di log e sintesi di alert. Threat intelligence automatizzata. Vulnerability assessment più rapido. Il pattern: l'AI difensiva è più lenta ad adottarsi dell'AI offensiva — gli attaccanti non hanno vincoli di compliance, procurement, o test prima del deploy. Il gap difesa/attacco si sta allargando.
La ragione del gap non è tecnologica ma organizzativa. Un gruppo criminale che vuole usare AI offensiva può farlo domani: abbonamento a un LLM, script Python, via. Un'azienda che vuole integrare AI nel suo SOC deve fare assessment, gara d'appalto, test di integrazione, formazione del personale, approvazione del DPO. I tempi sono incomparabili. Il vantaggio dell'attaccante — che già esisteva — si è amplificato.
Il problema specifico delle PMI italiane
Il tessuto produttivo italiano è fatto di PMI con budget IT limitati e spesso zero figure specializzate in security. Il rapporto CLUSIT documenta: le PMI sono bersagli preferenziali perché hanno dati preziosi (subfornitori di grandi aziende) ma difese minime. L'AI offensiva abbassa ulteriormente il costo degli attacchi — un gruppo criminale può scalare attacchi di phishing personalizzati su migliaia di PMI con poche risorse. La raccomandazione: MFA obbligatoria, backup testati, awareness training.
Il problema della supply chain è sottovalutato: una grande azienda può avere difese eccellenti, ma se i suoi 200 subfornitori non hanno MFA, l'attaccante entra dalla porta laterale. Gli attacchi SolarWinds e Kaseya del 2020-2021 hanno dimostrato questo pattern a livello globale. In Italia, con un tessuto di subfornitura polverizzato, il rischio è strutturalmente elevato.
Le priorità operative per il 2024-2025
Il rapporto indica: (1) Formazione AI-aware per tutti i dipendenti, non solo IT — riconoscere deepfake e phishing AI-generated. (2) Revisione delle procedure di autorizzazione finanziaria — le frodi BEC deepfake richiedono verifica out-of-band. (3) Adozione di SOAR (Security Orchestration, Automation, Response) con componente ML. (4) Partecipazione a CERT-AGID e condivisione di indicatori di compromissione. La sicurezza non si improvvisa — ma nell'AI era nemmeno si può più ignorare.
La verifica out-of-band merita una nota pratica: se arriva un'email dal CFO che chiede un bonifico urgente, la procedura corretta è chiamare il CFO su un numero conosciuto — non rispondere all'email, non chiamare il numero in firma. I deepfake vocali rendono anche la telefonata ambigua, ma abbattono comunque il tasso di successo delle frodi rispetto alla sola verifica testuale.
Link alla fonte originale
clusit.it — Rapporto CLUSIT 2024 →
Rapporto scaricabile su clusit.it (versione pubblica gratuita). IT.