Per anni il dibattito pubblico sull’intelligenza artificiale è oscillato tra due caricature opposte: da una parte il maggiordomo digitale che scrive email mediocremente educate, dall’altra il profeta apocalittico che annuncia la sostituzione dell’umanità entro martedì prossimo. Nel frattempo, come spesso accade mentre i commentatori litigano, la realtà ha continuato a lavorare in silenzio. Il punto non è se l’AI scriva poesie o slide migliori di un middle manager insonne. Il punto è che sta iniziando a operare come agente autonomo su problemi complessi, e il settore più esposto è quello che vive di errori umani, superfici d’attacco dimenticate e sistemi legacy rattoppati con la fede: la cybersecurity.
L’ultimo segnale arriva dal Regno Unito. L’AI Security Institute britannico, organismo governativo nato per valutare rischi e capacità dei modelli avanzati, ha pubblicato una valutazione su Claude Mythos Preview, il modello più recente di Anthropic. Il dato che ha attirato l’attenzione non è cosmetico. Secondo il report, Mythos sarebbe il primo modello a completare con successo “The Last Ones”, una simulazione articolata di attacco a una rete aziendale composta da 32 passaggi consecutivi. Tradotto in linguaggio manageriale: non stiamo parlando di generare codice in sandbox, ma di concatenare ricognizione, privilege escalation, movimento laterale, decisioni intermedie e adattamento tattico fino al raggiungimento dell’obiettivo.
Chi ha gestito infrastrutture reali conosce il peso di questa notizia. La difficoltà non è quasi mai il singolo exploit brillante da film hollywoodiano. La vera complessità è la sequenza. Serve capire dove entrare, leggere segnali sporchi, scegliere il prossimo passo, correggere errori, riprovare, documentare variabili, mantenere contesto operativo. È il lavoro che distingue l’automazione banale da un operatore competente. Se un modello inizia a superare quella soglia, cambia il profilo della minaccia.
Il report indica anche performance elevate su task cyber di livello esperto, con un tasso di successo riportato intorno al 73% in determinati benchmark interni. I numeri, come sempre, vanno letti con prudenza. Benchmark e ambienti simulati hanno il difetto di somigliare al mondo reale quanto un plastico ferroviario somiglia alle ferrovie italiane in agosto. Mancano difensori attivi, incident response dinamica, rumore di rete, utenti imprevedibili, procedure d’emergenza scritte male e applicate peggio. Tuttavia, liquidare il dato sarebbe un errore tipico di chi confonde scetticismo con lucidità.
La storia tecnologica insegna che i sistemi inizialmente “solo dimostrativi” diventano rapidamente industriali. I droni erano giocattoli costosi, poi strumenti militari. Il phishing era artigianato rozzo, poi industria scalabile. I modelli linguistici erano generatori di testo curioso, poi motori di produzione, supporto, coding e ricerca. Ora entrano nella fase agentica: meno conversazione, più esecuzione.
Per molte aziende europee, specialmente PMI e grandi gruppi cresciuti per acquisizioni, il problema è strutturale. Le reti corporate sono spesso musei viventi: Active Directory stratificati, credenziali condivise, server dimenticati, VPN che resistono per tradizione orale, applicazioni non aggiornabili perché “se tocchi quello si ferma la fatturazione”. In questo ecosistema, un attaccante umano ha limiti biologici: sonno, costo, attenzione, turnover. Un agente AI no. Può iterare senza stanchezza, testare ipotesi, rileggere output, cambiare strategia e ricominciare.
Il management tende ancora a pensare la sicurezza come polizza assicurativa o voce di compliance. Si compra un tool, si compila un questionario, si nomina un referente e si spera nel meglio. È una liturgia elegante ma inefficiente. L’arrivo di agenti autonomi cambia l’economia dell’attacco: abbassa il costo marginale dell’offensiva e aumenta la velocità di esplorazione delle vulnerabilità. Se ieri un criminale doveva scegliere dieci bersagli, domani può provarne diecimila con assistenza automatizzata.
Qui emerge il paradosso preferito della Silicon Valley: la stessa tecnologia venduta come acceleratore di produttività diventa acceleratore del rischio. Il copilota che aiuta i developer a scrivere codice può aiutare anche a individuare pattern insicuri. Il sistema che automatizza analisi documentale può automatizzare anche ricognizione informativa. L’AI non ha morale incorporata; ha capacità. La morale resta una voce opzionale del cliente.
Anthropic, come altri player, insiste su safety, controlli, policy d’uso e red teaming. È giusto. Ma la storia del software mostra una regola costante: se una capacità esiste, si diffonde. Magari filtrata, ritardata, replicata da open source, ricostruita altrove, adattata da attori meno scrupolosi. Pensare che la sicurezza dipenda esclusivamente dall’autodisciplina dei vendor è una strategia romantica, e il romanticismo in cyber ha statistiche pessime.
Che cosa dovrebbero fare le imprese serie, quindi? Prima di tutto smettere di parlare di AI come progetto laterale del marketing. Il tema è infrastrutturale. Identità, segmentazione di rete, gestione privilegi, patching reale, logging leggibile, backup testati, MFA ovunque, riduzione delle superfici esposte. Sono fondamentali da anni, ma ora diventano urgenti. Il consiglio “tornare alle basi” non è banale; è ciò che separa chi subirà incidenti continui da chi potrà assorbirli.
Secondo punto: introdurre difesa aumentata da AI prima che l’attacco la monopolizzi. Detection comportamentale, correlazione eventi, triage assistito, automazione risposta, continuous validation. Se l’avversario scala con modelli, il difensore non può rispondere con fogli Excel e riunioni settimanali.
Terzo punto, più scomodo: la governance. I board adorano discutere di trasformazione digitale finché non compare il budget per modernizzare sistemi critici. Poi improvvisamente nasce un culto della prudenza finanziaria. È comprensibile, ma miope. Rinviare oggi costa meno nel trimestre e molto di più nell’incidente successivo. Ogni CFO lo sa; pochi lo ammettono prima della crisi.
Vale anche una riflessione geopolitica. Il fatto che il Regno Unito investa in un istituto pubblico dedicato alla sicurezza dei modelli segnala che il tema non è più solo industriale, ma strategico. Capacità offensive automatizzate, dipendenza da vendor stranieri, asimmetrie tra stati e imprese, protezione di infrastrutture critiche: tutto converge. L’AI entra nella sicurezza nazionale non con fanfara, ma con PDF tecnici che pochi leggono.
La frase più pericolosa che sento ancora nei consigli di amministrazione è: “Da noi non interesserebbe a nessuno attaccare”. È una frase tenera, quasi poetica. Gli attaccanti moderni non cercano fama; cercano opportunità. Se un agente autonomo può testare migliaia di obiettivi a costo ridotto, anche l’azienda noiosa diventa statisticamente interessante.
In sintesi brutale: non siamo davanti alla fine del mondo, ma alla fine dell’ingenuità. I modelli non sono maghi né mostri mitologici. Sono moltiplicatori di capacità. Quando quella capacità viene applicata alla sicurezza offensiva, il tempo di reazione delle organizzazioni si accorcia drasticamente. Chi continua a gestire la cyber come burocrazia scoprirà presto che l’avversario la gestisce come ingegneria.
Il paper citato merita lettura diretta, non il riassunto indignato su LinkedIn di turno. Spesso il rischio non sta nel documento tecnico, ma nel fatto che nessuno in azienda lo apra.
A. Dina
Fonte: https://www.aisi.gov.uk/
