Gli hacker stanno cambiando mestiere. E il nuovo collega si chiama AI
Magari sarà anche colpa del cinema e delle serie Tv, ma per anni ce lo siamo immaginati così: una stanza buia, tre monitor accesi, un tizio in felpa che scrive codice a raffica cercando la falla giusta. Pazienza, competenza, ore e ore davanti a un terminale. Questa immagine oggi fa quasi tenerezza.
Perché l'Intelligenza Artificiale non è più il coltellino svizzero che aiuta il cybercriminale a lavorare più in fretta. Sta diventando l'operatore. Prende decisioni, corregge i propri errori, porta avanti intere fasi di un attacco da sola, con un'autonomia che fino a ieri era roba da fantascienza sfrenata.
Gli hacker non sono spariti, sia chiaro. Ma il loro ruolo sta cambiando. Da esecutori a supervisori. Da chi mette le mani sulla tastiera a chi guarda uno schermo e interviene solo quando serve.
Da assistente l' AI diventa operatore
Nel 2025 i modelli linguistici erano già ovunque nel mondo del cybercrime, ma con un ruolo di supporto. Analizzavano informazioni pubbliche, individuavano bersagli plausibili, scrivevano script, generavano codice, traducevano documenti, confezionavano email di phishing sempre più credibili.
Un acceleratore potente, certo. Ma la regia restava umana. Era sempre una persona a decidere cosa fare, quando farlo, come reagire se qualcosa andava storto. Oggi però quella regia sta passando di mano.
Le nuove piattaforme di AI agent non si limitano a suggerire la mossa successiva. La eseguono. Aprono terminali, usano browser, chiamano API, si muovono dentro infrastrutture cloud, e adattano il comportamento passo dopo passo. Non stanno più rispondendo a una domanda. Stanno lavorando, punto.
JADEPUFFER: il ransomware che si guida da solo
C'è un caso che vale la pena raccontare per capire dove siamo arrivati davvero: l'operazione JADEPUFFER, documentata dai ricercatori di Sysdig. Si tratta, a quanto pare, di uno dei primi casi concreti di attacco ransomware condotto quasi interamente da un agente basato su un modello linguistico. Non è un tool che aiuta l'attaccante, no, è proprio l'attaccante stesso.
L'agente ha fatto tutto da solo:
- ha violato un server vulnerabile
- ha raccolto credenziali
- ha esplorato la rete interna
- ha ottenuto privilegi elevati
- si è mosso lateralmente tra i sistemi
- ha compromesso altri servizi
- ha cifrato (e in parte distrutto) i dati
Fin qui, nulla che un buon pentester non sappia fare. La parte che dovrebbe farci riflettere è però un'altra: durante l'attacco il sistema ha sbagliato, si è accorto da solo dell'errore, ne ha capito la causa, ha corretto il codice e ha riprovato. E tutto questo in pochi secondi. È esattamente quello che farebbe un umano con funzioni di sysadmin navigato davanti a un log che non torna. Con una differenza non da poco: qui non c'è nessun sysadmin! È tutto automatico, e succede in una frazione del tempo che servirebbe a un essere umano.
La kill chain si accorcia
Un attacco ransomware "classico" era quasi sempre un lavoro di squadra, anche se le squadre non si conoscevano tra loro. Chi otteneva l'accesso iniziale raramente era chi si muoveva lateralmente nella rete. Chi distribuiva il ransomware entrava in scena solo alla fine. Ogni fase aveva bisogno di competenze diverse, spesso comprate su forum diversi.
Con un agente AI questa divisione del lavoro sparisce. Un sistema solo può individuare vulnerabilità pubbliche, sfruttarle, rubare password e token cloud, capire quali server valgono davvero la pena, esfiltrare dati, cifrarli, e persino scrivere la richiesta di riscatto.
Risultato? quello che prima richiedeva giorni o settimane oggi si comprime in ore.
Si abbassa l'asticella, non la minaccia
C'è un effetto collaterale di tutto questo che mi preoccupa più della velocità in sé: si sta abbassando drasticamente la competenza tecnica necessaria per fare danni seri. Prima, per condurre un attacco sofisticato, dovevi sapere programmare bene, conoscere il networking, capire i sistemi operativi, avere basi solide di sicurezza. Anni di gavetta, in un modo o nell'altro.
Oggi invece gran parte di questo lavoro si può delegare. E questo significa che anche gruppi criminali poco strutturati potranno condurre operazioni di livello alto, appoggiandosi a strumenti che fanno il lavoro sporco al posto loro. basta un qualunque fesso con sufficiente tempo a disposizione.
Non è più solo un problema di "hacker più bravi che attaccano più in fretta". È un problema di soglia d'accesso al crimine informatico che si abbassa per tutti.
Perché le difese classiche non reggono più
Tante aziende, anche oggi, si affidano ancora a un modello di sicurezza costruito su regole statiche: antivirus a firme, liste di IoC, firewall con regole fisse.
Sono strumenti ancora utili, sia chiaro. Ma da soli non bastano più perchè un agente AI cambia comportamento in corsa. Sceglie percorsi diversi a seconda di cosa trova. Cambia strumenti se quelli iniziali non funzionano. Prova a imitare pattern umani per non farsi notare. Se il tuo sistema difensivo cerca solo schemi già noti, quell'attacco semplicemente non lo vede passare.
Serve una difesa che impari, non che memorizzi
Le organizzazioni devono spostare l'attenzione dal singolo evento al comportamento nel suo insieme. Parliamo di diverse cose come:
- analisi comportamentale di utenti e dispositivi
- rilevamento delle anomalie in tempo reale
- architetture Zero Trust
- verifica continua delle identità
- monitoraggio della supply chain software
- segmentazione delle reti
- protezione seria degli ambienti cloud
E poi c'è un punto su cui non transigo mai quando parlo con un cliente: i backup. Isolati davvero, verificati periodicamente, protetti con logiche air-gap. Quando un attacco può evolvere in poche ore, la velocità con cui riesci a rialzarti diventa parte della sicurezza tanto quanto la prevenzione.
Cambia anche il mestiere di chi difende
Se chi attacca inizia a usare agenti autonomi, chi difende non può permettersi di restare fermo con gli strumenti di prima. L'amministratore di sistema, l'analista SOC, il consulente di sicurezza: tutte queste figure passeranno sempre meno tempo su attività ripetitive e sempre più tempo a supervisionare, validare, guidare sistemi automatici che fanno gran parte del lavoro operativo.
L'AI non sostituirà chi fa cybersecurity di mestiere. Ma il mestiere, quello, cambierà sul serio.
Una riflessione, tra colleghi
Non è la velocità la vera notizia in tutto questo. È che una macchina ha iniziato a prendere decisioni operative, da sola, correggendosi mentre lavora. La scala e la complessità di questi attacchi cresceranno molto più in fretta della capacità delle aziende di adattarsi, se continuano a ragionare con logiche di difesa vecchie di dieci anni.
Per questo la cybersecurity non è più "un problema dell'IT". È diventata parte della resilienza stessa di un'azienda. Chi si prepara adesso non sarà solo più sicuro. Sarà chi domani continuerà a lavorare, mentre altri saranno costretti a fermarsi.





