La settimana scorsa i titoli gridavano al primo attacco ransomware condotto interamente da un’intelligenza artificiale. Un passo verso l’incubo di malware capaci di scegliere bersagli, infiltrarsi e criptare dati senza alcun intervento umano. Nuovi dettagli, però, raccontano una storia diversa e molto più concreta: l’agente AI ha gestito l’esecuzione tecnica, è vero, ma un essere umano ha scelto la vittima, allestito l’infrastruttura e fornito credenziali di accesso rubate. Non esattamente il debutto del cybercrime fantascientifico.

Il confine fra automazione e autonomia è tutto qui. L’agente non ha deciso chi colpire, non ha costruito la catena di attacco da zero, non ha effettuato ricognizioni né scoperto vulnerabilità. Ha preso in carico un kit di strumenti già pronti: ha eseguito, coordinato, forse adattato il payload. È un salto di qualità nell’efficienza operativa, ma niente che assomigli a un attore indipendente con una volontà propria. La parte più delicata — il bersaglio, il vettore iniziale, le chiavi per entrare — è rimasta nelle mani di qualcuno con un volto e un obiettivo.

Questo sposta la discussione dove serve. Non stiamo assistendo alla nascita di un’intelligenza criminale sovrana, ma all’evoluzione di un modello di crimine ibrido in cui l’AI accelera fasi che prima richiedevano lavoro manuale. L’automazione riduce i tempi, abbassa le competenze necessarie per eseguire certe operazioni e moltiplica il numero di attacchi che un singolo gruppo può lanciare. Il pericolo reale non è il software che decide da solo, ma la forza lavoro potenziata: umani che usano LLM e pipeline di attacco per fare più danni in meno tempo e con meno esposizione.

Per chi progetta difese, la lezione è chiara. Bloccare i tool di attacco è complicato quanto lo è sempre stato, ma proteggere le credenziali diventa ancora più critico. Se l’automazione si ferma all’esecuzione e ha bisogno di accessi già compromessi, l’investimento difensivo deve concentrarsi sull’autenticazione, sul monitoraggio delle identità e sulla segmentazione delle reti. Invece di temere un’intelligenza aliena, conviene guardare alla catena del furto di credenziali: phishing, infostealer, database trafugati.

C’è un sotto-testo per la sovranità dei dati e per chi sceglie di gestire infrastrutture on-premise. Un attaccante che poggia su agenti AI self-hosted — magari utilizzando modelli open weight su hardware locale — può operare senza mai toccare servizi cloud monitorabili, eludere filtri e rendere più ardua l’attribuzione. Non è un dettaglio di secondo piano per le organizzazioni che trattano dati regolati. La possibilità di eseguire un agente d’attacco su un server privato, con modelli quantizzati su GPU di fascia consumer, abbassa la barriera per chi vuole orchestrare campagne senza lasciare tracce negli endpoint commerciali. La difesa deve quindi evolversi verso il tracciamento di pattern di comportamento locale e l’analisi di telemetria anomala, non solo verso il blocco di chiamate API a fornitori noti.

L’episodio segnala infine che la discussione sull’AI applicata alla sicurezza è ancora dominata dal rumore. Il primo caso di attacco con AI non è stato una svolta epocale, ma un normale sviluppo di una tendenza già in corso: l’integrazione di capacità linguistiche e di pianificazione degli LLM nei flussi di lavoro criminali. La vera notizia non è l’autonomia, ma la conferma che l’AI accelera il crimine senza sostituire il criminale.