A volte basta osservare la sala di un convegno per capire dove sta andando l’innovazione, perché quando Massimiliano Graziani e Claudio Tosi (CYBERA SRL) salgono sul palco del Forum ICT Security 2025 non stanno solo raccontando un caso aziendale, stanno consegnando un manifesto involontario del nuovo equilibrio tra ransomware e AI, un equilibrio che ha il sapore di una sfida aperta tra macchine sempre più autonome e aziende che tentano disperatamente di rimanere un passo avanti. Il risultato è un panorama in cui la parola cybersecurity avanzata non è più un tema da specialisti, ma un’ossessione collettiva che si insinua nei corridoi delle imprese, dalle startup ai colossi industriali, e che al Forum prende forma con una chiarezza quasi disarmante.
A guardare Massimiliano mentre racconta i fine settimana passati a recuperare NAS devastati dagli attacchi viene in mente una frase attribuita a un vecchio ingegnere IBM che sosteneva che la tecnologia diventa davvero interessante solo quando smette di funzionare. Qui non è un paradosso, è una sintesi perfetta della realtà. I team che passano le notti a rianimare archivi di backup sono gli stessi che oggi ripensano l’intero approccio alla prevenzione. La storia della sua scelta di puntare su Tradown, dopo aver visto troppe aziende piangere sui propri dati crittografati, si incastra in un contesto globale dove lo state of malware non ha più nulla di lineare. L’attaccante non arriva, l’attaccante è già dentro, spesso da settimane, e la difesa non può più essere un set di regole statiche, ma una combinazione di analisi dinamica e capacità predittiva alimentata da AI.
A prendere la parola poi è Claudio Tosi, e l’atmosfera cambia ritmo. Il suo racconto scorre in quella zona grigia tra allarme e ironia, dove il pubblico ride imbarazzato quando scopre che buona parte delle intrusioni nasce da una telefonata all’helpdesk. La voce dell’operatore che dice “Resettiamo la password, nessun problema” è l’anticamera del disastro. Attacchi come quelli che hanno colpito MGM e Marks and Spencer diventano un monito impietoso: l’ingegneria sociale è cresciuta di ordine di grandezza, soprattutto da quando la generative AI ha cominciato a produrre identità sintetiche, voci indistinguibili da quelle reali e chatbot capaci di conversare all’infinito con una naturalezza inquietante. Chiunque lavori negli attacchi informatici sa che il punto di ingresso oggi non è più una mail sospetta, ma la fiducia mal riposta in un’interazione digitale che somiglia troppo alla realtà.
A questo punto, mentre la platea si sistema sulle sedie e qualcuno prende appunti con un’attenzione quasi maniacale, la distinzione tra generative AI e agentic AI diventa il cuore del discorso. La prima risponde, la seconda agisce. Sembra un dettaglio semantico, invece è la linea di confine che separa la vecchia difesa stop and block dalla nuova difesa autonoma, capace di analizzare, verificare, selezionare e perfino prendere decisioni operative. Claudio lo sintetizza con un esempio turistico: chiedi una vacanza e l’AI ti propone un pacchetto, sei nel mondo generativo. Chiedi una vacanza e l’AI te la prenota, ti controlla il passaporto, ti avvisa se serve un vaccino e riprogramma tutto in caso di scioperi, sei nell’universo agentico. Ora immagina la stessa logica applicata alla criminalità digitale. Il brivido corre lungo la spina dorsale del settore.
A chi ha seguito la storia degli attacchi negli ultimi dieci anni non sfugge la rapidità del cambiamento. Se prima un ransomware richiedeva giorni per preparare l’esfiltrazione dei file, oggi bastano 30 minuti tra la prima intrusione e la richiesta di riscatto. I dati vengono aggregati, compressi, trasferiti e cancellati alla velocità con cui si invia un messaggio vocale. La combinazione di script generati con AI e tool già presenti nella macchina vittima crea un’illusione di normalità che disarma gli antivirus tradizionali. La tecnica living off the land non è un dettaglio tecnico, è la chiave che spiega perché il 99% degli attacchi degli ultimi mesi passa sotto i radar delle difese obsolete. Il nemico non porta armi visibili, usa quelle che già avete nel sistema.
A sorpresa, una delle parti più inquietanti del racconto non riguarda i criminali, ma le aziende. Troppi backup inutilizzabili, troppi dispositivi non aggiornati, troppi endpoint abbandonati in qualche angolo del network. La fragilità del perimetro non è un incidente, è una caratteristica strutturale. Quando Claudio menziona l’attacco agli hypervisor, qualcuno nella sala trattiene il fiato. È il primo segnale che le infrastrutture virtualizzate, per anni considerate una fortezza, possono essere invece un portone semiaperto se la manutenzione non è impeccabile.
A rendere la scena ancora più vivida c’è il momento in cui emerge l’importanza dell’EDR e dell’MDR. Non come strumenti opzionali, ma come l’unico modo realistico per sfidare un nemico che evolve ogni due settimane. La frase “investigation is the only defense” suona come un manifesto operativo, soprattutto perché la sfida sta diventando una guerra tra AI. Da una parte l’agente criminale che analizza il sistema e seleziona il plugin più adatto per scavalcare le difese. Dall’altra l’agente di sicurezza che monitora, interpreta, anticipa e interviene prima che il danno diventi irreversibile. L’immagine ricorda più un film di fantascienza che una sala conferenze a Perugia, ma è esattamente dove il settore si sta muovendo.
A chi osserva con spirito critico appare evidente che il racconto condiviso sul palco non è una semplice overview di prodotto. È il diario di bordo di un mestiere in trasformazione, un mestiere in cui team italiani, come quello di Bastia Umbra che sviluppa la componente EDR di Tradown, stanno dimostrando che l’innovazione non è monopolio della Silicon Valley. La ricerca su ransomware e AI è diventata una corsa contro il tempo, e la velocità con cui i criminali reinventano le loro tattiche obbliga i vendor a un’agilità strategica che pochi anni fa sarebbe sembrata fantascienza da bar.
A chi esce dalla sala resta un’impressione nitida: il futuro del ransomware non sarà un braccio di ferro tra umani e macchine, ma tra macchine opposte, tra agenti autonomi programmati per annientarsi reciprocamente in un gioco di equilibri digitali dove l’elemento umano resta fondamentale solo nelle decisioni strategiche. La cybersecurity avanzata è diventata un fenomeno culturale oltre che tecnologico, un terreno dove si intrecciano ingegneria, psicologia, economia e narrazione. E al Forum ICT Security 2025 questo intreccio ha trovato una forma sorprendentemente lucida.
A chi ha ascoltato Massimiliano e Claudio con l’attenzione riservata ai briefing più delicati, è chiaro che non si tratta di un avvertimento, ma di un invito a giocare d’anticipo. Non è il futuro a mettere pressione, è il presente che corre troppo veloce. A volte la differenza tra un’azienda al sicuro e una in ginocchio è una telefonata all’helpdesk, un backup dimenticato, un agente AI non aggiornato o un framework di sicurezza mai adottato. A questo punto il dibattito non è più se l’AI cambierà il ransomware, ma quanto velocemente lo farà e quanto rapidamente saremo capaci di adattare le nostre difese.
A chi si occupa di attacchi informatici resta un’unica certezza: la partita è appena cominciata, e sarà una partita tra intelligenze, naturali e artificiali, che si scrutano a vicenda nel buio digitale con una velocità che il settore non ha mai visto prima.