La cybersecurity è ormai un campo in cui velocità e complessità si intrecciano. Non si tratta solo di difendersi da attacchi noti, ma di prevedere mosse future, decifrare schemi nuovi e reagire con precisione. In questo scenario, la collaborazione tra AI e umani diventa l’elemento distintivo: macchine instancabili che setacciano i dati e analisti capaci di leggere tra le righe, connettendo informazioni tecniche, contesto aziendale e implicazioni geopolitiche.
Le AI di nuova generazione, in particolare gli agentic AI systems, non sono più semplici strumenti reattivi. Possono raccogliere e correlare eventi, applicare modelli predittivi e agire autonomamente. Ma la vera efficacia emerge quando queste capacità vengono bilanciate dall’intervento umano, che interpreta ciò che i numeri non dicono: l’intenzione di un attacco, l’impatto su un processo critico o la rilevanza per un determinato settore industriale.
Indice degli argomenti:
Una nuova alleanza: AI e analisti nella stessa squadra
Gli agenti AI filtrano i dati grezzi con una velocità che un team umano non potrebbe mai raggiungere. Sono in grado di analizzare milioni di log in pochi secondi, applicando tecniche come anomaly detection basata su reti neurali e clustering comportamentale. L’output è una lista ridotta di eventi sospetti, ordinata per gravità e probabilità di compromissione. Questo processo libera gli analisti da un carico enorme di compiti ripetitivi, riducendo il cosiddetto alert fatigue.
L’analista, dal canto suo, non viene sostituito: diventa un decisore. È lui a verificare se un alert rappresenta un falso positivo o un attacco mirato. Ad esempio, un modello AI può segnalare un accesso fuori orario come anomalo, ma solo l’analista sa che in quella settimana un team sta lavorando a un progetto critico in turni notturni. Qui emerge il valore dell’esperienza e del contesto umano, che completa l’efficacia dell’automazione.
Come avviene l’interazione uomo macchina
Il ruolo della velocità e della precisione
Nella pratica, il flusso operativo segue un modello a più livelli. Al primo livello, l’AI intercetta e classifica eventi in tempo reale. Tecniche di supervised learning consentono di distinguere eventi normali da pattern già riconosciuti come minacce, mentre algoritmi di unsupervised learning scoprono anomalie mai viste prima. L’analista riceve quindi un set ridotto di casi da valutare, potendo concentrare il tempo su investigazioni a più alto valore.
Questo bilanciamento non è banale. Se l’AI produce troppi falsi positivi, il team umano si trova comunque sovraccarico; se invece filtra troppo, rischia di scartare segnali importanti. Per questo motivo, molti SOC adottano modelli di feedback loop: gli analisti etichettano i casi verificati, e i modelli AI si aggiornano per ridurre gli errori futuri.
L’importanza del contesto
Il contesto è l’elemento che rende complementare l’uomo alla macchina. Un agente AI può riconoscere una scansione di porte da un IP esterno, ma non sa se quell’indirizzo appartiene a un partner fidato che sta eseguendo test autorizzati. Allo stesso modo, un improvviso aumento di traffico può sembrare un attacco DDoS, ma potrebbe coincidere con il lancio di una campagna marketing che ha attirato utenti legittimi.
L’analista integra queste informazioni extra-tecniche, prendendo decisioni calibrate che l’AI non può autonomamente valutare. Questo tipo di situational awareness è ancora oggi un vantaggio competitivo esclusivamente umano, anche se alcuni progetti di AI cercano di incorporare dati contestuali provenienti da business unit o calendari aziendali.
I vantaggi della collaborazione
Riduzione del burnout e ottimizzazione delle risorse
Nel 2024, uno studio di ISC² ha rilevato che il 65% degli analisti di sicurezza soffre di sovraccarico informativo a causa del numero eccessivo di allarmi. L’introduzione di agenti AI riduce drasticamente questo fenomeno, delegando il triage iniziale. Gli analisti, liberati dal rumore, possono concentrarsi sul threat hunting, sulla revisione di policy e sulla pianificazione di strategie a lungo termine.
Dal punto di vista economico, questa collaborazione consente anche di ottimizzare le risorse. Mentre i costi legati al personale specializzato crescono, l’uso mirato dell’automazione permette di gestire lo stesso volume di minacce con team più snelli, senza compromettere la qualità della difesa.
Crescita della resilienza complessiva
La resilienza è la capacità di un sistema di adattarsi alle minacce emergenti. Gli algoritmi AI apprendono dai nuovi pattern, aggiornando i modelli per affrontare attacchi futuri. Parallelamente, gli analisti aggiornano le policy di sicurezza e gestiscono la risposta agli incidenti più complessi. È un’evoluzione a due velocità: la macchina migliora nell’operativo, l’umano nell’organizzazione e nella strategia.
Questa simbiosi produce un effetto tangibile: tempi medi di rilevamento e risposta ridotti, impatto economico contenuto e maggiore capacità di sopravvivere a campagne sofisticate come attacchi supply-chain o exploit zero-day.
Sfide e limiti dell’interazione uomo macchina
Bias, fiducia e responsabilità
L’automazione porta con sé rischi. Un agente AI può ereditare bias dai dataset di addestramento: ad esempio, classificare come sospetti accessi da certe regioni solo perché nei log storici erano più frequenti. Dall’altro lato, gli analisti rischiano l’automation bias, ossia fidarsi ciecamente delle decisioni della macchina.
Per evitare questi scenari, servono sistemi di auditing che registrino ogni decisione e governance che stabilisca ruoli chiari. La responsabilità finale non può essere lasciata a un algoritmo: deve restare umana, soprattutto in contesti critici come sanità, finanza e infrastrutture energetiche.
Sovraccarico di collaborazione
Anche la collaborazione uomo-macchina deve essere calibrata. Se ogni alert deve passare per una conferma manuale, il guadagno di tempo si azzera. Per questo motivo, molti SOC adottano un modello a livelli di automazione: gli agenti hanno piena autonomia sulle minacce note e a basso rischio, mentre gli analisti intervengono solo sui casi ad alto impatto o complessità.
Casi reali di interazione uomo macchina
Microsoft Project Ire
Project Ire è un agente AI sviluppato da Microsoft per automatizzare il reverse engineering del malware. Utilizza Large Language Models insieme a tool come Ghidra e angr per analizzare campioni sospetti e isolare le funzionalità malevole. Nei test interni ha raggiunto una precisione superiore al 90%. La parte interessante è che non opera in autonomia completa: i report generati vengono passati agli analisti di sicurezza, che li validano prima di attivare contromisure in Windows Defender. È un caso perfetto di collaborazione: la macchina fa il lavoro massivo, l’uomo decide la strategia di risposta.
Castlepoint e il ministero della Difesa UK
Il ministero della Difesa britannico ha adottato la tecnologia Castlepoint per classificare automaticamente i documenti sensibili. Il sistema applica etichette di sicurezza indelebili che restano anche quando i file escono dalla rete interna. Tecnicamente, si tratta di un agente AI che analizza contenuti, metadati e contesto per assegnare policy di sicurezza. La supervisione resta però agli ufficiali incaricati, che possono convalidare o rivedere le classificazioni in caso di discrepanze. Qui l’AI velocizza l’organizzazione dei dati, ma la responsabilità della classificazione finale è umana.
Reco e la sicurezza SaaS
Reco è una startup specializzata nel monitoraggio delle applicazioni SaaS utilizzate nelle aziende. I suoi agenti AI analizzano i comportamenti delle app, verificano accessi, trasferimenti di dati e potenziali shadow IT. Se individuano anomalie, inviano alert agli amministratori, che decidono se bloccare l’applicazione o rafforzare le policy di accesso. Dal punto di vista tecnico, il sistema utilizza algoritmi di anomaly detection specifici per ambienti cloud e SaaS. La decisione finale, però, resta al team IT, che può valutare impatti organizzativi e produttivi.
Conclusioni
L’interazione uomo macchina nella cybersecurity è un modello operativo già consolidato. I casi reali dimostrano che le AI possono occuparsi della mole di dati e della rapidità di risposta, mentre gli umani garantiscono contesto, etica e strategia. Non si tratta di sostituzione, ma di collaborazione intelligente, in cui ciascuno porta i propri punti di forza.
Il futuro vede emergere SOC ibridi, in cui AI e analisti operano come una squadra unica: algoritmi a presidio costante e persone pronte a prendere decisioni informate. Una partnership che non elimina il rischio, ma lo rende molto più gestibile.
