>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

Con l’AI, il cyber rischio corre a velocità macchina. I piani di ripristino riescono a tenere il passo?

L’AI accelera il cyber rischio a velocità macchina, mettendo sotto pressione i piani di ripristino e la capacità delle aziende di reagire agli attacchi.

Con l’AI, il cyber rischio corre a velocità macchina. I piani di ripristino riescono a tenere il passo?
Tecnologie/Scenari

Per ogni CISO, la prevenzione è fondamentale - applicare patch rapidamente, ridurre la superficie di attacco, segmentare, monitorare e individuare proattivamente le minacce. Ma c’è un’amara verità da affrontare: se la strategia di cyber sicurezza si basa sulla convinzione di essere sempre in grado di bloccare ogni violazione, sarà solo una speranza. E questa, purtroppo, non sopravvive alla realtà.

Lo scorso aprile, Anthropic ha lanciato Claude Mythos, sistema descritto come capace di identificare e sfruttare vulnerabilità zero-day, e di trasformare quelle già note in exploit funzionanti, il tutto in tempi incredibilmente rapidi. L’implicazione è chiara: il passaggio da “esiste un punto debole” a “si verificano accessi non autorizzati” si sta accorciando drasticamente.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Questo non significa che stia per crollare il mondo, ma bisogna mantenere massima onestà e lucidità riguardo a ciò che cambia quando il rischio cyber si sposta a velocità macchina.

Con Mythos cambia il ritmo

Storicamente, la parte più complessa non era rilevare le vulnerabilità, ma trasformarle in exploit, con la velocità e la scala necessarie. Questo richiedeva tempo, competenze specifiche e investimenti economici di un certo tipo. Se questa barriera viene meno, il tempo medio necessario per sferrare un attacco si comprime e la capacità di azione dei cyber criminali aumenta: più tentativi, su più obiettivi, e molto più rapidamente.

Kim Larsen, Group CISO, Keepit

Chi gestisce un ciclo di patching aziendale, è già consapevole del divario: è possibile migliorarlo e automatizzarne alcune parti, ma si opera comunque con limiti umani, finestre di manutenzione e compromessi dettati dalle esigenze di business.

La prevenzione è ancora fondamentale, ma quando il tempo di azione dell’attaccante si riduce in modo significativo, la prevenzione da sola diventa una difesa troppo fragile.

Cosa non cambia con Mythos: il backup non è prevenzione

Affrontiamo subito una comune obiezione “questo è un problema di prevenzione!” Esatto. Nel momento in cui si verifica lo sfruttamento di una vulnerabilità, entra in gioco la prevenzione. La protezione dei dati non ferma un exploit al momento dell’attacco, il backup non bloccherà uno zero-day e il ripristino non è affatto un firewall.

Quindi, se qualcuno cerca di proporre il backup come uno scudo magico, è bene essere scettici. Una volta che gli attaccanti sono riusciti ad accedere, è la recovery a diventare il controllo di sicurezza più cruciale, nonché quello decisivo.

Il vero rischio non è la violazione, ma l’impatto sul business

Per la maggior parte delle aziende il problema principale non è rappresentato dall’idea astratta di “violazione”, ma dalle interruzioni di servizio, la cifratura dei dati - e la loro cancellazione o corruzione – l’impatto sui clienti, le domande scomode delle autorità di regolamentazione e i team che impiegano settimane a cercare di capire quale sia lo “stato ottimale”. La resilienza non è perfezione, è capacità di ripristino. Una violazione è un evento, la capacità di recovery una competenza fondamentale.

La minaccia sottovalutata: il “vandalismo dell’AI” dall’interno

C’è un secondo aspetto che merita attenzione e non riguarda solo gli attaccanti esterni. Man mano che gli agenti AI diventano più comuni nell’IT, si introducono attori autonomi con privilegi reali: strumenti che possono ottimizzare i sistemi, migrare dati, ripulire repository o “correggere” configurazioni. Si tratta di una funzionalità utile, finché non smette di esserlo.

Se un agente autonomo interpreta male l’intento - o opera con un contesto errato - può corrompere o cancellare grandi volumi di dati rapidamente. E poiché opera all’interno dell’ambiente, molti dei classici controlli perimetrali non sono d’aiuto.

Possiamo definirlo “vandalismo dell’AI”, per sottolineare che il rischio per l’integrità dei dati non è più solo un modello di minaccia esterna. C’è quindi bisogno di una rete di sicurezza che consideri contemporaneamente due realtà parallele: da un lato la compromissione esterna è possibile (e più rapida), dall’altro anche l’automazione interna può creare danni con gravi conseguenze.

Qual è lo stato ottimale, a fronte di attacchi più rapidi

Se si accetta il fatto che una violazione possa verificarsi, la domanda diventa concreta: quando qualcosa va storto, si è in grado di ripristinare il sistema in modo rapido, completo e documentabile?

Una protezione dei dati SaaS resiliente si basa su quattro principi:

1. Indipendenza: ridurre il rischio legato alle dipendenze 

Un’architettura che si affida a numerosi fornitori e sub-processori crea un maggior numero di punti di esposizione, soprattutto quando esistono zero-day e i tempi di passaggio dalla scoperta all’exploit si accorciano drasticamente. L’indipendenza non ferma uno zero-day, ma riduce la complessità, limita il raggio d’azione del danno e semplifica ripristino e controllo.

2. Immutabilità: la rete di sicurezza deve essere fuori portata 

Se gli attaccanti ottengono accesso privilegiato, o un agente interno si comporta in modo anomalo, l’ultima linea di difesa è una copia che non può essere manomessa. L’immutabilità è un requisito di progettazione: i dati di backup non possono essere sovrascritti, cancellati o alterati in modo silenzioso. Il giorno in cui si avrà bisogno della recovery è lo stesso giorno in cui si presume che qualcuno cercherà di renderlo impossibile.

3. Rilevamento delle anomalie: sapere rapidamente quando qualcosa non va 

Quando gli oggetti si muovono più velocemente, il rilevamento diventa ancora più importante. Si desiderano segnalazioni anticipate: cancellazioni malevole, pattern di cambiamento insoliti, corruzione su larga scala, prima che il danno si diffonda o che diventi difficile definire uno stato “ottimale”.

4. Accesso istantaneo e ripristino granulare: velocità e precisione 

Recovery non significa dover ripristinare tutto. Nei servizi SaaS, questo servizio è spesso lento e crea interruzioni. È necessaria la capacità di trovare rapidamente l’ultimo stato noto e funzionante, di ripristinare solo ciò che è stato compromesso (un utente, una casella di posta, un set di file, record specifici) e di farlo senza un rollback completo dell’ambiente.

Quando gli attacchi si muovono più rapidamente, la velocità e la precisione nel ripristino diventano più preziose che mai.

Se la prevenzione è necessaria, la recovery è irrinunciabile

È essenziale continuare a investire nella prevenzione, ma il rischio cyber moderno sta provando qualcosa di chiaro: gli attaccanti sono più veloci, gli ambienti più complessi e l’autonomia all’interno dell’IT in aumento. In un mondo simile, il backup smette di essere una funzione nice-to-have e diventa una parte fondamentale della strategia di sicurezza, perché è ciò che permette di ripristinare integrità, disponibilità e fiducia dopo qualsiasi incidente.

La speranza non è certo una strategia di sicurezza, è necessario affidarsi alla recovery.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.7 - 4.6.4