Ogni giorno, i centri operativi per la sicurezza informatica, i SOC ricevono in media 10.000 alert di sicurezza, ciascuno dei quali richiederebbe dai venti ai quaranta minuti di analisi accurata. Anche le squadre con organici completi riescono però a gestirne soltanto il 22 per cento, mentre oltre il 60 per cento dei responsabili di sicurezza ha ammesso di aver ignorato segnalazioni che si sono poi rivelate critiche.
La velocità con cui si muovono oggi gli attaccanti rende il modello tradizionale dei SOC sostanzialmente obsoleto. Secondo il Global Threat Report 2025 di CrowdStrike, i tempi di breakout – ovvero l'intervallo tra l'accesso iniziale e il movimento laterale all'interno di una rete – possono scendere fino a 51 secondi. Il 79 per cento delle intrusioni avviene ormai senza ricorrere a malware, sfruttando invece tecniche come il furto di credenziali, l'abuso di identità e l'utilizzo degli strumenti già presenti nei sistemi attaccati. Un approccio manuale alla classificazione delle minacce, pensato per cicli di risposta nell'ordine delle ore, non può reggere il confronto con questa velocità.
Matthew Sharp, responsabile della sicurezza informatica presso Xactly, lo ha spiegato con chiarezza parlando con CSO Online: "Gli avversari stanno già usando l'intelligenza artificiale per attaccare alla velocità delle macchine. Le organizzazioni non possono difendersi da attacchi guidati dall'AI con risposte che viaggiano alla velocità umana". Il burnout che ne consegue è così grave che molti analisti senior stanno considerando cambiamenti di carriera, secondo quanto emerge dalle testimonianze raccolte sul campo.
La soluzione che sta emergendo si basa su quello che viene definito autonomia limitata. In questo modello, gli agenti di intelligenza artificiale gestiscono automaticamente la classificazione iniziale e l'arricchimento delle informazioni sugli allert, mentre gli esseri umani mantengono il controllo sulle decisioni di contenimento quando la gravità dell'incidente è elevata. Questa divisione del lavoro permette di processare i volumi di segnalazioni alla velocità delle macchine, mantenendo al contempo il giudizio umano sulle decisioni che comportano rischi operativi.
Le tecnologie basate sui grafi stanno modificando radicalmente il modo in cui i difensori visualizzano la rete. I sistemi SIEM tradizionali mostrano eventi isolati, mentre i database a grafo rivelano le relazioni tra questi eventi, permettendo agli agenti AI di tracciare i percorsi di attacco invece di classificare le segnalazioni una alla volta. Un accesso sospetto assume un significato completamente diverso quando il sistema comprende che quell'account è a due passaggi dal controller di dominio.
I risultati misurabili stanno arrivando. L'intelligenza artificiale comprime i tempi di indagine sulle minacce aumentando contemporaneamente la precisione rispetto alle decisioni degli analisti senior. Diverse implementazioni dimostrano che la classificazione guidata dall'AI raggiunge oltre il 98 per cento di concordanza con le decisioni degli esperti umani, riducendo al contempo il carico di lavoro manuale di oltre quaranta ore alla settimana. La velocità non ha valore se la precisione diminuisce, ma in questo caso entrambi gli obiettivi vengono raggiunti.
Il mercato sta reagendo rapidamente a questa evoluzione. ServiceNow ha investito circa dodici miliardi di dollari in acquisizioni nel settore della sicurezza solo nel 2025. Ivanti, che ha compresso una roadmap triennale per l'indurimento del kernel in diciotto mesi quando gli attacchi di attori statali ne hanno validato l'urgenza, ha annunciato capacità di AI agente per la gestione dei servizi IT, portando il modello di autonomia limitata che sta trasformando i SOC anche ai service desk. L'anteprima per i clienti partirà nel primo trimestre, con disponibilità generale prevista per il 2026.
Gartner prevede che l'utilizzo di AI multi-agente nel rilevamento delle minacce salirà dal 5 per cento attuale al 70 per cento delle implementazioni entro il 2028. Non tutti questi progetti avranno successo però: la stessa società di analisi stima che oltre il 40 per cento dei progetti di AI agente verranno cancellati entro la fine del 2027, principalmente a causa di un valore commerciale poco chiaro e di una governance inadeguata.
Robert Hanson, responsabile informatico presso Grand Bank, ha affrontato gli stessi vincoli ben noti ai leader della sicurezza. "Possiamo fornire supporto ventiquattro ore su ventiquattro, sette giorni su sette, liberando il nostro service desk per concentrarsi sulle sfide complesse", ha dichiarato Hanson. Copertura continua senza un aumento proporzionale del personale: questo risultato sta guidando l'adozione nei servizi finanziari, nella sanità e nel settore pubblico.
L'implementazione dell'autonomia limitata richiede confini di governance espliciti. I team dovrebbero specificare tre elementi fondamentali: quali categorie di allert gli agenti possono gestire autonomamente, quali richiedono revisione umana indipendentemente dal punteggio di confidenza, e quali percorsi di escalation si applicano quando la certezza scende sotto la soglia stabilita. Gli incidenti ad alta gravità richiedono approvazione umana prima del contenimento.
I team dovrebbero iniziare con flussi di lavoro dove il fallimento è recuperabile. Tre processi consumano il 60 per cento del tempo degli analisti pur contribuendo minimamente al valore investigativo: la classificazione del phishing (le escalation mancate possono essere intercettate in una revisione secondaria), l'automazione del reset delle password (raggio di impatto limitato) e la corrispondenza con indicatori di minaccia già noti (logica deterministica). Automatizzare prima questi, poi validare l'accuratezza rispetto alle decisioni umane per trenta giorni, rappresenta il percorso più prudente.
Quando gli avversari armano l'intelligenza artificiale e sfruttano le vulnerabilità CVE più velocemente di quanto i difensori riescano a rispondere, il rilevamento autonomo diventa il nuovo requisito minimo per rimanere resilienti in un mondo a fiducia zero. Avere una governance solida prima di implementare l'AI nei SOC è fondamentale per ottenere i benefici di tempo e contenimento che questa ultima generazione di strumenti può offrire.
.jpg)
