Nel 2025, l’intelligenza artificiale trasforma il panorama della cybersecurity, dando vita a malware autonomi, adattivi e difficili da rilevare
La collaborazione tra LLM e criminalità informatica moltiplica la portata e la precisione degli attacchi. Quali scenari si aprono per la cybersecurity? Ne parliamo, in questa intervista, con Antonino Caffo (giornalista esperto di AI).
Quali sono le caratteristiche operative che distinguono i nuovi malware basati su intelligenza artificiale rispetto alle minacce tradizionali?
I malware tradizionali sono statici: si basano su firme digitali o comportamenti predefiniti che i sistemi di sicurezza imparano a riconoscere. I nuovi malware potenziati dall’IA sono invece dinamici e autonomi. La loro principale caratteristica operativa è l’adattamento in tempo reale. Utilizzano il polimorfismo avanzato per riscrivere costantemente il proprio codice, rendendo inutile il rilevamento basato su firme. Possiedono inoltre una consapevolezza contestuale: sono in grado di rilevare se si trovano in un ambiente di analisi (una sandbox) e, in tal caso, rimangono dormienti per evitare di essere scoperti. Infine, eccellono nel mimetismo comportamentale, imitando il traffico di rete legittimo e le normali attività degli utenti per nascondere le loro comunicazioni e operazioni dannose.
In che modo la collaborazione tra modelli linguistici e criminalità informatica sta cambiando il panorama della cybersecurity nel 2025?
La collaborazione tra i modelli linguistici (LLM) e il cybercrime sta agendo come un potente acceleratore e democratizzatore delle minacce. L’impatto più evidente è nel social engineering: gli LLM permettono di generare su larga scala email di phishing e messaggi truffa verosimili, scritti in un linguaggio impeccabile e perfettamente contestualizzati, eliminando i classici errori grammaticali che fungevano da campanello d’allarme.
Questa tecnologia abbassa anche la barriera tecnica, consentendo a criminali con scarse competenze di programmazione di generare codice malevolo funzionale semplicemente descrivendo l’obiettivo in linguaggio naturale.
Il risultato è un aumento esponenziale di attacchi più sofisticati, personalizzati e difficili da intercettare per le difese tradizionali.
Quali strategie di difesa risultano ancora efficaci contro questi attacchi adattivi e quali invece rischiano di diventare obsolete?
Le strategie di difesa che rischiano l’obsolescenza sono quelle reattive e statiche. Gli antivirus tradizionali basati su firme sono ormai inefficaci, poiché non possono rilevare un malware che cambia codice a ogni infezione. Allo stesso modo, i firewall basati su semplici liste di blocco IP non riescono a fermare minacce che mimetizzano il loro traffico. Le strategie che rimangono efficaci sono quelle proattive e comportamentali.
L’analisi comportamentale (UEBA), che monitora le azioni anomale dei processi e degli utenti anziché i file noti, è fondamentale. A questa si affianca l’architettura Zero Trust (Fiducia Zero), che elimina la fiducia implicita nella rete e verifica rigorosamente ogni richiesta di accesso, e una formazione umana costante per riconoscere le nuove esche.
