Quando il direttore del GCHQ Anne Keast-Butler ha invocato una capacità nazionale di difesa cibernetica che integri “AI agenziale all’avanguardia in una difesa a velocità macchina”, il messaggio era chiaro: per le infrastrutture critiche, l’AI non può essere un accessorio cloud delegato a terzi. La risposta arriva oggi da e2e-assure con il lancio della piattaforma Cumulo, un SOC-as-a-service interamente sviluppato e ospitato nel Regno Unito, che sposta il baricentro dell’intelligenza artificiale dentro i confini del cliente.

LLM in locale, sovranità reale

Il nucleo tecnico di Cumulo è l’impiego di large language models dedicati, addestrati sull’ambiente specifico di ogni organizzazione e fatti girare su infrastruttura controllata dal cliente. L’inference non transita su cloud esterni: tutto avviene all’interno del perimetro di competenza dell’azienda cliente, che mantiene piena sovranità sui dati di sicurezza e sulle operazioni di difesa. In settori come energia, acqua, trasporti e telecomunicazioni, dove un’interruzione della connettività o un accesso negato a servizi cloud potrebbe compromettere la capacità di risposta, questa architettura elimina un anello debole critico.

La piattaforma non si limita a piazzare modelli on-prem. Introduce un’architettura a strati: un livello di modelli locali per l’analisi specifica dell’ambiente, un livello di intelligence per correlare minacce su larga scala e un livello di modelli “frontier” per arricchimento non sensibile. In questo modo, i dati operativi più delicati restano sempre segregati, mentre le capacità AI più avanzate vengono impiegate dove non c’è rischio di esposizione.

Gemello digitale e SOC a giorno zero

Cumulo combina gli LLM con un gemello digitale mantenuto aggiornato tramite discovery passiva su sistemi IT e OT. Questo permette simulazioni di attacco sicure, identificazione di vulnerabilità prima che vengano sfruttate e stress test continui dell’infrastruttura reale senza impattare i processi. La piattaforma introduce anche il concetto di “SOC a giorno zero”: le intelligence sulle minacce più recenti vengono immediatamente applicate come regole di rilevamento, azzerando la finestra tra la scoperta di un nuovo indicatore di compromissione e la sua operatività.

Per gestire il volume crescente di dati di sicurezza senza introdurre falsi positivi o allucinazioni, Cumulo utilizza più modelli AI che verificano ogni alert da prospettive diverse. Un layer anti-allucinazione convalida i risultati contro intelligence sulle minacce e motori deterministici prima che raggiungano l’analista umano, che rimane sempre al centro del processo decisionale. L’automazione serve a reggere il carico: le persone restano libere per i giudizi ad alto valore.

Perché conta per chi valuta l’on-premise AI

La scelta di e2e-assure segnala qualcosa di più ampio: la crescente richiesta di carichi AI sensibili eseguiti in casa, non solo per compliance ma per resilienza operativa. Le architetture che dipendono da API cloud per l’inference introducono una latenza decisionale e un rischio di accesso che settori regolamentati non possono più permettersi. Cumulo, pur essendo erogato come servizio, dimostra che l’inference locale può essere integrata in una proposta commerciale senza sacrificare la fruibilità managed. Le implicazioni per i team che valutano deployment on-premise di LLM sono concrete: serve un’infrastruttura capace di sostenere modelli dedicati, con attenzione a VRAM, quantization e gestione delle pipeline. L’azienda non rilascia metriche pubbliche su hardware o throughput, ma il principio architetturale è un riferimento per chi oggi progetta SOC potenziati dall’AI.

Prospettive e domande aperte

Il modello di prezzo a più livelli — Standard per caccia alle minacce basata su comportamento e reportistica, Enterprise per gemello digitale e monitoraggio unificato IT/OT — rende Cumulo adattabile a diversi stadi di maturità. Tuttavia, gestire LLM on-prem solleva interrogativi su TCO, competenze interne e manutenzione continua, temi che la proposta managed di e2e-assure può in parte assorbire ma che restano centrali per qualsiasi organizzazione intenzionata a replicare il modello. La direzione è chiara: l’AI difensiva si avvicina sempre più al dato, e le architetture sovrane non sono più una nicchia ma una necessità operativa.