Trend Micro e Check Point hanno annunciato un’espansione delle integrazioni di intelligenza artificiale nelle loro piattaforme di sicurezza enterprise. La notizia, riportata in queste ore, segna un altro passo nella corsa dei vendor di cybersecurity a incorporare capacità di analisi avanzata nei prodotti, con un occhio sempre più puntato sugli LLM.

Non si tratta solo di aggiungere un riframework di chat a una console. Le integrazioni in questione, per quanto i dettagli tecnici siano ancora scarsi, toccano il cuore delle operazioni di sicurezza: detection di minacce, correlazione di eventi, automazione della risposta. Processi che richiedono di processare enormi quantità di log, eventi di rete e segnali endpoint, spesso in tempo reale. Qui l’AI generativa promette di ridurre i falsi positivi e accelerare le indagini, ma solleva una domanda inevitabile: dove girano questi modelli?

Per un’azienda che gestisce dati sensibili — una banca, un provider sanitario, un ente pubblico — la risposta non è banale. Spedire costantemente log e telemetria a un’API cloud significa perdere il controllo sulla residenza dei dati, con tutti i rischi di conformità che ne derivano. La scelta opposta, eseguire i modelli in locale, offre piena sovranità ma porta con sé una serie di vincoli hardware. Servono GPU con VRAM adeguata per fare inference su modelli sempre più grandi, a meno di non spingersi su tecniche di quantization aggressiva che però possono degradare l’accuratezza delle risposte.

È qui che il deployment on-premise rivela il suo vero costo. Non è solo un discorso di CapEx iniziali per l’acquisto di server con acceleratori dedicati, ma di TCO complessiva: consumi energetici, raffreddamento, manutenzione, competenze interne per gestire pipeline di inference e aggiornamento dei modelli. Allo stesso tempo, l’alternativa cloud non è esente da sorprese: latenza variabile, costi operativi opachi che lievitano con il volume di dati analizzati, e quel retrogusto di dipendenza da un provider esterno che molti CISO faticano a mandare giù.

Il trend che Trend Micro e Check Point stanno cavalcando non è nuovo, ma la loro mossa conferma una direzione: la sicurezza enterprise si sta trasformando in un problema di AI infrastructure. Scegliere uno stack on-premise per questi carichi diventa allora una decisione strategica, non solo un capriccio del reparto IT. E mentre i vendor spingono le proprie soluzioni integrate, per chi valuta un’architettura self-hosted restano da sciogliere nodi importanti: quale hardware per sostenere l’inference su modelli di sicurezza aggiornati di frequente? Quale framework di serving adottare per bilanciare throughput e latenza? Quanto incide davvero la quantization sui risultati di detection?

Non ci sono risposte univoche, e la fretta di adottare l’AI nella cybersecurity rischia di far passare in secondo piano un’analisi strutturata dei trade-off. In una fase in cui ogni vendor promette miracoli, resta il fatto che il perimetro di difesa si sta spostando all’interno dei data center, e lì le regole del gioco cambiano radicalmente.