Intelligenza Artificiale Tutto su AI e machine learning
L’intelligenza artificiale non è solo uno strumento nelle mani di chi difende i sistemi informatici, ma anche di chi li attacca. A ricordarlo è un nuovo report di Anthropic, l’azienda che sviluppa Claude, che ha analizzato un anno di attività informatiche malevole condotte con l’aiuto dell’AI. Il quadro che emerge è chiaro, gli attacchi diventano più autonomi, più diffusi e più difficili da classificare con gli strumenti tradizionali. Se ti occupi di sicurezza, o semplicemente vuoi capire come sta cambiando il rischio digitale, vale la pena leggere cosa hanno scoperto, perché riguarda il modo in cui dovremo difenderci nei prossimi anni.
Cosa dice il report di Anthropic
Il documento, pubblicato il 3 giugno 2026, parte da un lavoro concreto. Anthropic ha esaminato 832 account bloccati per attività informatiche malevole tra marzo 2025 e marzo 2026, mappandoli sul framework MITRE ATT&CK, una sorta di catalogo di riferimento delle tattiche e tecniche usate dagli attaccanti. Una parte dei risultati è confluita anche nel Data Breach Investigations Report 2026 di Verizon, uno dei rapporti più seguiti del settore. Si tratta solo di un sottoinsieme dei profili bloccati nel periodo, quelli con dettagli sufficienti per un’analisi accurata, ma è abbastanza ampio da delineare delle tendenze.
Da questa analisi emergono tre conclusioni principali. La prima, gli attori malevoli usano l’AI in modi che li rendono più pericolosi, applicandola soprattutto nelle fasi più avanzate e complesse delle loro operazioni. La seconda, gli attacchi stanno diventando più autonomi, e questo manda in crisi i vecchi metodi per distinguere i profili ad alto rischio da quelli minori. La terza, lo stesso framework MITRE ATT&CK non cattura ancora del tutto gli strumenti e i comportamenti che rendono così temibili gli attaccanti potenziati dall’AI.
Dalla preparazione all’azione dentro il sistema
Scendendo nel dettaglio, l’attività più diffusa è la preparazione dell’attacco. Ben 560 dei 832 account analizzati, pari al 67,3 per cento, hanno usato l’AI per scrivere malware. Una quota molto più piccola se ne è servita per compiti complessi, ad esempio 54 account, il 6,5 per cento, per il cosiddetto movimento laterale, cioè spostarsi in profondità dentro una rete già compromessa. Il dato interessante non è solo la fotografia statica, ma il movimento nel tempo, l’uso dell’AI si sta spostando dalle tecniche per ottenere il primo accesso a quelle che si svolgono una volta entrati nel sistema.
Perché gli attaccanti diventano più pericolosi
Il segnale più preoccupante riguarda l’innalzamento generale del livello di minaccia. Nel primo semestre analizzato, il 33 per cento degli attori era classificato dal sistema di valutazione di Anthropic come a rischio medio o superiore. Nel secondo semestre, quella quota è salita al 56 per cento, un aumento di circa 1,7 volte. In parallelo, l’uso dell’AI per individuare account validi all’interno di un ambiente compromesso è cresciuto dell’8,9 per cento, mentre il phishing assistito dall’AI, una tecnica tipica delle fasi iniziali, è calato dell’8,6 per cento.
La lettura di questi numeri è che l’AI permette di automatizzare attività un tempo riservate a chi possedeva competenze tecniche avanzate. Tecniche post compromissione che richiedevano esperienza diventano accessibili anche ad attori meno sofisticati, che possono delegare al modello operazioni complesse. È lo stesso fenomeno che osserviamo, in positivo, quando l’AI abbassa la barriera d’ingresso a tante attività professionali, applicato però a scopi dannosi. Per capire l’altra faccia della medaglia, cioè come le stesse tecnologie vengano usate per proteggere le aziende, è utile leggere il nostro approfondimento su AI e cybersecurity.
Perché è più difficile valutare il rischio di un attaccante
Tradizionalmente i team di sicurezza valutano la pericolosità di un attaccante guardando quante tecniche diverse impiega e quali strumenti usa. Il report mostra che questi segnali non bastano più. Quando l’AI può svolgere compiti molto tecnici al posto dell’attore, il numero di tecniche utilizzate smette di correlare con la sua reale abilità. Nei dati di Anthropic, gli attori meno esperti usavano in media circa 16 tecniche distinte, mentre i più abili ne usavano circa 20, una differenza sorprendentemente piccola. Allo stesso modo, la piattaforma utilizzata, che fosse un’interfaccia di chat, un’API o uno strumento da riga di comando, non diceva nulla sul livello di rischio.
Quello che fa davvero la differenza, spiega il report, è dove nella catena dell’attacco viene applicata l’AI e soprattutto quanto è sofisticata l’architettura costruita intorno al modello. Gli attori più pericolosi progettano dei sistemi, definiti scaffolding, che permettono al modello di concatenare in sequenza le diverse fasi di un attacco e di portarle avanti con un intervento umano minimo. È questa capacità di orchestrazione autonoma, più che il numero di tecniche, a segnare il vero salto di pericolosità. Non a caso si tratta dello stesso principio che sta dietro agli agenti AI, applicato però in chiave offensiva.
Perché i framework di sicurezza devono cambiare
Molti dei comportamenti che distinguono gli attaccanti più pericolosi, come usare l’AI per orchestrare i passaggi dell’attacco, prendere decisioni in tempo reale e agire senza intervento umano, non sono ancora previsti come tecniche all’interno del framework MITRE ATT&CK. Anthropic porta un esempio concreto, un’operazione di spionaggio informatico di matrice statale che l’azienda dichiara di aver interrotto a novembre 2025, in cui un attore aveva manipolato Claude Code per tentare di infiltrare bersagli in tutto il mondo con pochissimo intervento umano. Mappato sul framework, quell’attacco risultava aver usato 30 tecniche su 13 tattiche, un valore paragonabile a quello di molti attori a rischio medio. Eppure, applicando la metodologia di scoring di Anthropic, lo stesso attacco otteneva il punteggio di rischio massimo, pari a 100.
La discrepanza è il cuore del problema. Concentrarsi sul numero di tecniche fa sottovalutare attacchi in cui il modello agisce come un agente autonomo, eseguendo comandi, sfruttando vulnerabilità e rubando credenziali, e chiedendo all’essere umano solo poche decisioni chiave. Per questo Anthropic dichiara di essere in dialogo con MITRE per far evolvere il framework e includere questi comportamenti emergenti. Nel frattempo, l’azienda spiega di aver usato proprio questi dati per rafforzare le protezioni dei propri modelli, bloccando attività come lo sviluppo di malware o l’esfiltrazione massiva di dati.
Cosa significa per te e per chi difende i sistemi
Il messaggio pratico è duplice. Da un lato, conviene smettere di pensare alla pericolosità di un attacco solo in termini di quante tecniche o strumenti vengono usati, e iniziare a guardare al grado di automazione e alla capacità di concatenare le fasi. Dall’altro, la difesa deve correre alla stessa velocità, adottando a sua volta strumenti basati sull’AI per individuare comportamenti anomali e reagire in tempo reale. Anthropic insiste su un principio che condivide con buona parte del settore, mettere le capacità più avanzate prima nelle mani di chi difende, attraverso programmi come Project Glasswing dedicati ai professionisti della sicurezza.
Se gestisci un’attività, anche piccola, la lezione è che le minacce automatizzate non riguardano più solo le grandi organizzazioni, perché abbassando le competenze necessarie l’AI allarga la platea di potenziali attaccanti. Igiene digitale di base, aggiornamenti tempestivi, autenticazione a più fattori e formazione del personale restano le prime difese. A queste si aggiunge l’attenzione alla gestione dei dati, un tema che abbiamo trattato nella guida su AI e privacy, perché la protezione delle informazioni personali è parte integrante della sicurezza complessiva.
Conclusioni
Il report di Anthropic non descrive uno scenario apocalittico, ma offre una fotografia onesta e basata sui dati di come l’intelligenza artificiale stia cambiando il volto degli attacchi informatici. La tendenza alla maggiore autonomia degli attacchi è il filo conduttore, e impone di aggiornare sia gli strumenti di analisi sia le strategie di difesa. La buona notizia è che le stesse capacità che potenziano gli attaccanti sono a disposizione di chi difende, a patto di usarle con metodo e per tempo. Continua a seguire i nostri approfondimenti sulla sicurezza informatica e sull’AI, e se lavori nel settore raccontaci nei commenti come stai adattando le tue difese a questa nuova generazione di minacce.
