Le previsioni tecnologiche per il 2026 delineano un’evoluzione dell’AI verso una forma di “intelligenza fisica”, capace di analizzare ed elaborare dati e attività direttamente vicino alla loro fonte di origine. A ciò si affianca l’impiego di modelli di ragionamento in grado di apprendere in modo dinamico da situazioni nuove, anche quando esposti a un numero limitato di casi inediti.
La cybersecurity potrà trarre particolare beneficio da questa ulteriore evoluzione dell’AI, grazie alla sinergia tra la capacità di giudizio ed esperienza umana e la potenza di calcolo e la velocità di analisi delle macchine. Questa combinazione aiuterà i Security Operations Center (SOC) a fronteggiare un cybercrime sempre più industrializzato. Le minacce informatiche, infatti, non sono più un fenomeno di piccola scala: gli attaccanti utilizzano piattaforme di Ransomware-as-a-Service e sono spesso i primi a sfruttare l’AI per condurre campagne di phishing su larga scala e altamente personalizzate, operando all’interno di ecosistemi strutturati. Gli obiettivi principali restano gli anelli tradizionalmente più deboli della sicurezza aziendale, come le identità digitali, le configurazioni cloud esposte e le supply chain complesse e frammentate.
Questo potenziamento e sofisticazione delle capacità sul fronte dell’attacco cyber impone un supplemento di capacità anche nella linea di difesa da parte degli analisti SOC. Una difesa basata solamente sull’uomo non è più difatti sostenibile. Di contro, questo non significa assolutamente che l’uomo possa essere sostituito dalle macchine, e nella fattispecie dalla AI nella difesa dalle minacce informatiche. L’AI deve infatti interagire con l’expertise degli analisti ed esperti di sicurezza informatica, dando luogo a una collaborazione non solo necessaria, ma urgente.
Fungendo da moltiplicatore di forza, l’AI diventa parte integrante dei flussi di lavoro dei moderni SOC. Modelli di machine learning e di User Entity Behaviour Analytics (UEBA) sono infatti in grado di analizzare miliardi di punti dati, al fine di rilevare schemi di attacco complessi e ‘low and slow’. Questi ultimi sono una tipologia di attacco ad attività bassa e lenta in ampia diffusione, che consistono nel bloccare le attività di un server mediante l’impiego di piccoli pacchetti di traffico. Questi attacchi inviano in pratica richieste incomplete al server, che deve così mantenere aperte sessioni multiple, bloccando il sistema una volta raggiunto il limite massimo di richieste che possono essere gestite. Utilizzando pertanto pochissima banda, a differenza dei tradizionali attacchi DDoS che mirano a esaurire le risorse del server con un elevatissimo numero di richieste simultanee. Generando molto poco traffico, gli attacchi low and slow sono dunque difficili da rilevare con i tradizionali sistemi di difesa, confondendosi con il normale traffico di rete.
In tale contesto, la potenza e la velocità di analisi sistematica della AI permette di rilevare attività invisibili all’occhio umano anche più addestrato, facendosi quindi carico dell’enorme volume di allarmi e avvisi che il team di esperti nei SOC da solo non può umanamente elaborare. L’automazione e l’orchestrazione (SOAR, Security Orchestration, Automation and Response) possono pertanto gestire gli avvisi di routine, riducendo il rumore di fondo per snellire il lavoro degli analisti e focalizzare meglio le risorse di cybersecurity in azienda.
A un livello ancora più avanzato, l’utilizzo di Large Language Models (LLM) addestrati su dati specifici di cybersecurity può supportare i team nell’accelerare le attività di analisi e investigazione sugli eventi più rilevanti, senza esporre dati sensibili. In questo scenario, l’AI individua e segnala le anomalie, filtrando l’elevato volume di eventi, mentre l’intervento umano resta indispensabile per interpretare correttamente il contesto. La comprensione del contesto operativo e la conduzione di un’investigazione completa richiedono infatti il ragionamento, l’intuizione e l’esperienza degli analisti SOC. Solo gli esperti di sicurezza sono in grado di contestualizzare adeguatamente i segnali e di prendere decisioni critiche di remediation, facendo leva su competenze maturate nell’analisi di incidenti complessi. Pensiero critico, empatia e curiosità (capacità tipicamente umane) rimangono quindi fondamentali per andare oltre ciò che è già noto e affrontare minacce nuove e sfide inedite.
La proattività è infine un’altra fondamentale dimensione su cui l’adozione della AI amplifica il ruolo del SOC nella postura di sicurezza informatica in azienda. Sfruttando gli insight della AI e gli input della Cyber Threat Intelligence (CTI), una tecnica che sfrutta raccolte di dati relativi ad attaccanti, metodologie e motivazioni, la AI permette di anticipare le minacce, simulare scenari di attacco e affinare la logica di rilevamento. Grazie all’integrazione dei dati CTI con le analisi AI-based, il SOC acquisisce così una comprensione dinamica delle minacce, portando l’attività di difesa dall’essere un mero scudo reattivo alle minacce al divenire un radar e uno strumento predittivo e intelligence-driven. Grazie a una collaborazione responsabile e matura tra AI e fattore umano, nel 2026 i SOC saranno in grado di comprendere sempre meglio minacce ed eventi di sicurezza, assegnando le priorità in base a rilevanza e impatto. Si realizzerà così una partnership virtuosa che valorizza i punti di forza di entrambi: da un lato la scalabilità, la velocità e la capacità di elaborare enormi volumi di dati di sicurezza, indispensabili per fronteggiare un panorama delle minacce sempre più industrializzato; dall’altro la supervisione strategica, l’intuizione e la comprensione del contesto, caratteristiche proprie degli analisti umani.