5 domande a...
Mirko Casadei
Intervista al SOC Senior Manager di Eng Security.
Mirko Casadei in Eng è alla guida della divisione che integra le aree Cyber Defense e Cyber Resilience, ed è responsabile del Security Operation Center, attraverso il quale il Gruppo garantisce la protezione di numerosi clienti, sia a livello nazionale che internazionale.
Con oltre 15 anni di esperienza nel settore della sicurezza informatica, ha sviluppato solide competenze nella consulenza per la difesa cibernetica, nella Threat Intelligence, nel monitoraggio della sicurezza e nell’analisi avanzata delle minacce. Nel corso della sua carriera ha diretto team di specialisti in ambiti differenti, progettando e realizzando soluzioni innovative per la protezione delle infrastrutture critiche e la mitigazione dei rischi connessi agli attacchi informatici.
La sua esperienza spazia tra settore privato e pubblico, con un focus particolare nel comparto Difesa: ha operato come membro del Computer Emergency Response Team presso il Centro di Comando e Controllo Interforze della NATO e come coordinatore tecnico dei team di analisi in esercitazioni internazionali della NATO.
1. COSA RENDE OGGI LE MINACCE INFORMATICHE PIÙ SOFISTICATE E DIFFICILI DA INTERCETTARE RISPETTO AL PASSATO?
Negli ultimi anni abbiamo assistito a una vera e propria evoluzione delle tecniche di attacco, e l’adozione dell’AI Generativa da parte degli attori di minaccia ha amplificato significativamente questo fenomeno.
Il phishing, un tempo facilmente riconoscibile per la scarsa qualità linguistica o per layout visivamente poco credibili, è oggi diventato estremamente sofisticato. L’AI generativa consente di creare email perfettamente scritte in qualsiasi lingua, adattate culturalmente al destinatario e persino personalizzate sulla base di dati raccolti in precedenza.
Stiamo inoltre assistendo a una pericolosa convergenza tra l’AI e tecnologie deepfake, che rendono possibile simulare identità vocali o facciali per realizzare truffe via telefono o videochiamata. Questo rappresenta una minaccia concreta per le organizzazioni di qualsiasi dimensione e settore.
È quindi fondamentale evolvere la formazione del personale e adottare strumenti difensivi altrettanto intelligenti, capaci di contrastare una minaccia che si fa sempre più “umana”.
In questo scenario, la risposta non può più basarsi su soluzioni tradizionali. Serve una consapevolezza diffusa e tecnologie difensive basate sulla stessa intelligenza artificiale che oggi alimenta gli attacchi.
2. COME STANNO EVOLVENDO I SOC E QUALE SARÀ IL LORO RUOLO NEI PROSSIMI ANNI?
In Eng lavoriamo da anni all’interno dei Security Operations Center e abbiamo osservato da vicino l’evoluzione, e la crescente complessità, nella gestione delle minacce. Il volume di alert da analizzare è tale da rendere inefficace un approccio puramente manuale. Servono strumenti in grado di garantire efficienza, reattività e capacità predittiva.
In un contesto dominato dalla velocità, dalla complessità e dall’inganno digitale, l’AI non è più un’opzione, ma una componente essenziale per garantire la sicurezza delle organizzazioni. L’integrazione dell’AI nel SOC diventa quindi fondamentale: tecnologie AI-driven, potenziate dal machine learning, ci supportano nel rilevare anomalie in tempo reale, ridurre drasticamente i falsi positivi e classificare automaticamente le minacce in base alla loro priorità.
Le automazioni intelligenti, come i playbook di risposta personalizzati, ci permettono di intervenire tempestivamente sugli incidenti meno critici. Inoltre, grazie alla virtualizzazione e alla distribuzione dei SOC, possiamo attivare task force globali, garantendo una copertura continua, sempre allineata alle esigenze dei clienti e all’evoluzione delle minacce.
Il SOC del futuro è già una realtà: un sistema guidato dall’AI, capace di apprendere, adattarsi e reagire con la stessa rapidità con cui cambiano le tecniche di attacco.
3. QUALI SONO I VANTAGGI REALI CHE L’AI STA PORTANDO ALLA DIFESA INFORMATICA E DOVE DOBBIAMO STARE PIÙ ATTENTI?
La sinergia tra l’AI e la cybersecurity è ormai una realtà consolidata, in grado di offrire vantaggi significativi in termini di efficacia operativa.
Tuttavia, come accade per ogni tecnologia ad alto impatto, questi benefici devono essere accompagnati da un'attenta gestione dei rischi. L’AI consente di migliorare sensibilmente il time-to-detect e il time-to-respond, garantendo una copertura più estesa e profonda del perimetro aziendale, anche in ambienti cloud e distribuiti. Grazie alla capacità di modellare comportamenti anomali, aumenta la capacità predittiva delle organizzazioni nel rilevare minacce in fase precoce.
L’utilizzo di modelli non supervisionati o inadeguatamente addestrati può comportare conseguenze critiche: dalla generazione di falsi negativi, alla presenza di bias nei dati, fino a veri e propri attacchi contro i modelli stessi, come l’avvelenamento dei dati di training. Per questo motivo, è imprescindibile accompagnare l’adozione dell’AI con un solido framework di governance.
Tale approccio deve includere meccanismi di verifica, tracciabilità delle decisioni algoritmiche, monitoraggio continuo delle performance e, soprattutto, un livello costante di supervisione umana.
La cybersecurity potenziata dall’AI non rappresenta una delega automatica alla tecnologia, bensì una collaborazione strategica tra uomo e algoritmo, fondata su responsabilità condivise, trasparenza e controllo.
4. NEL MOMENTO IN CUI LE AZIENDE SVILUPPANO E INTEGRANO MODELLI AI, COME SI PUÒ GARANTIRE CHE QUESTI SIANO SICURI E NON DIVENTINO ESSI STESSI VULNERABILITÀ?
Spesso si sottovaluta il fatto che i modelli di AI, in particolare quelli generativi, possano rappresentare un nuovo vettore di attacco. Per questo motivo è essenziale applicare anche all’AI i principi della security by design.
Innanzitutto, è necessario testare costantemente la robustezza dei modelli, esponendoli a tecniche di attacco controllato (adversarial testing) per comprenderne i limiti. Serve implementare un sistema rigoroso di gestione degli accessi alle pipeline di training, proteggendo i dataset da manipolazioni e garantendo la qualità dei dati.
Altrettanto importante è la protezione della proprietà intellettuale e delle API di inferenza: se esposte, potrebbero essere sfruttate da terzi per estrarre informazioni sensibili o utilizzare il modello in modo non autorizzato.
È indispensabile integrare l’AI nei processi di auditing e compliance, aggiornando le policy aziendali in funzione delle nuove minacce e delle normative emergenti, come l’AI Act europeo.
5. PARLIAMO DI ANALISTI POTENZIATI DALL’AI. COME SI INTEGRA L’ETICA HACKER IN QUESTA NUOVA FIGURA PROFESSIONALE E QUALE IMPATTO HA SULLA RESILIENZA AZIENDALE?
L’AI non sostituisce l’intelligenza umana: la amplifica.
L’analista potenziato è un professionista dotato di strumenti evoluti di analisi, in grado di generare insight, correlazioni e simulazioni di attacco. Tuttavia, resta sua la responsabilità di interpretare, decidere e agire.
In questo scenario, l’hacker etico assume un ruolo centrale: significa pensare come un attaccante, ma con finalità difensive. Significa usare l’AI per stressare i sistemi, simulare minacce e individuare vulnerabilità dove apparentemente non ce ne sono.
Questa mentalità consente alle aziende di costruire non solo una difesa reattiva, ma una vera cultura della resilienza: la capacità di anticipare, assorbire e adattarsi al cambiamento. In un mondo dove il rischio zero non esiste, la combinazione tra AI e intelligenza critica dell’essere umano diventa l’asset strategico più importante.
Il SOC del futuro è già una realtà: un sistema guidato dall’AI capace di apprendere, adattarsi e reagire con la stessa rapidità con cui cambiano le tecniche di attacco.
Mirko Casadei
SOC Senior Manager di Eng Security
Recommended for you
Explore additional content associated with the topic
