Chi continua a sprecare fiato parlando di “apocalisse AGI” dovrebbe fare un bagno di realtà. Il problema immediato non è l’ipotetico cervello digitale che un giorno deciderà di schiacciarci. Il problema, adesso, è che l’intelligenza artificiale sta rendendo i cyberattacchi economici, scalabili e automatizzati. Sta ribaltando le regole del gioco non con colpi di genio alla Matrix, ma abbassando drasticamente la barriera d’ingresso per chiunque voglia fare danni. Questo è il messaggio che DeepMind ha messo nero su bianco in uno dei documenti più inquietanti e lucidi dell’anno. Ed è esattamente il tipo di verità che il 90% dei board preferisce ignorare finché non è troppo tardi.
La vera disruption non è la complessità tecnica, è la matematica. La cybercriminalità è sempre stata questione di costo-beneficio: servivano competenze rare, tempo, investimenti. Ora un modello linguistico ben allenato può automatizzare intere fasi di un attacco, dal phishing iper-mirato alle varianti infinite di malware, riducendo il costo marginale di un exploit quasi a zero. Chiunque ragioni seriamente di risk management dovrebbe capire che questo cambia tutto: quando il prezzo di un attacco crolla, l’unica barriera che resta è la nostra capacità di reagire prima che il volume di minacce ci sommerga.
Le fasi più sottovalutate di un cyberattacco stanno diventando il nuovo fronte caldo. DeepMind lo dice senza giri di parole: non sono le catene di exploit avanzati a far paura, ma la capacità dei modelli di eccellere nel pre e post-exploit. Raccolta informazioni, movimento laterale silenzioso, persistenza nella rete. Qui l’AI non solo aiuta, ma supera i ritmi umani, imparando a muoversi in modo furtivo, adattando le strategie quasi in tempo reale. È ironico pensare che per anni abbiamo investito miliardi in firewall e intrusion detection, ignorando le fasi che oggi l’AI trasforma in arte industriale.
Chi guida team di sicurezza e pensa che basti fare un po’ di “red teaming tradizionale” per essere pronto vive in un’altra epoca. Se gli aggressori si armano di intelligenza artificiale adattiva, i red team devono imparare a simularla. Non basta inserire un prompt malizioso e aspettare che il modello sputi fuori una backdoor. Bisogna pensare come un avversario potenziato da machine learning, capace di orchestrare campagne di social engineering su larga scala, generare varianti di malware che mutano più velocemente delle firme antivirus e usare l’automazione per saturare la superficie d’attacco. Se il tuo team non riesce a pensare come una macchina che ragiona in termini probabilistici e non emotivi, stai già giocando in difesa passiva.
La parte più scomoda di tutta questa storia è che non si tratta solo di tecnologia, ma di economia. Difendere una rete diventa una questione di ROI. Ogni fase di un attacco deve essere valutata come un’equazione costi-benefici. Dove l’avversario riduce il proprio costo marginale, tu devi aumentare il suo costo d’opportunità. Eppure, la maggior parte dei CISO continua a parlare in linguaggio tecnico con i board, quando dovrebbe parlare di numeri: qual è l’impatto economico reale di un attacco AI-driven? Qual è il costo di mitigazione rispetto alla perdita potenziale? La sicurezza non è più solo un problema di ingegneria, è una battaglia di business model.
E non illudiamoci di avere tempo. Tutti amano discutere se l’AGI arriverà tra cinque o dieci anni, ma intanto i modelli attuali stanno già riscrivendo la strategia cyber. È la stessa stupidità che si vedeva all’inizio dell’e-commerce, quando i colossi tradizionali ridevano di Amazon. Poi hanno smesso di ridere, troppo tardi. Se pensi che il vero rischio arriverà solo quando un’intelligenza artificiale sarà in grado di “pensare come un umano”, non hai capito la lezione. Non serve l’AGI per distruggere la tua infrastruttura: serve solo un modello abbastanza veloce e abbastanza economico da far esplodere la frequenza degli attacchi.
Il punto è semplice e inquietante: se l’AI può ridurre a pochi centesimi il costo di un breach, quale sarà il primo punto di rottura nella tua difesa? Quale anello della catena salterà per primo? E soprattutto, cosa stai facendo adesso, prima che siano gli aggressori a scoprirlo per te? Chi aspetta che siano i regolatori a imporre regole si sta scavando la fossa. La sicurezza generativa non è un requisito di compliance, è un vantaggio competitivo.
Ogni board dovrebbe avere il coraggio di rispondere a una domanda imbarazzante: se domani la tua azienda fosse bersaglio di un attacco automatizzato su larga scala, quanto tempo ti servirebbe per accorgertene, e quanto per reagire? Se la risposta è “non lo sappiamo con certezza”, allora sei già in ritardo.
E non ci saranno scuse. Perché il vero nemico non è un supercervello artificiale che trama contro di noi. È la nostra compiacenza di fronte a un futuro in cui la cybercriminalità è un prodotto industriale a basso costo.