Minacce cyber: che ci aspetta nel 2025 e come proteggerci

AI e cybersecurity, un binomio esplosivo

L’Intelligenza artificiale sta avendo un impatto dirompente anche nel campo della cybersecurity. Il suo utilizzo può consentire alle organizzazioni di potenziare le proprie capacità di difesa, grazie all’analisi in tempo reale di vaste quantità di dati e all’automazione di meccanismi di risposta agli incidenti. D’altro canto, i cybercriminali si sono già dimostrati capaci di sfruttare l’AI per la creazione di attacchi sempre più sofisticati ed in grado di eludere le tradizionali misure di sicurezza.

Un uso sicuro dell’AI rappresenta una sfida complessa. La disponibilità di big data, l’accesso al cloud e la diffusione delle API offrono la possibilità anche ad organizzazioni con risorse computazionali limitate di sviluppare soluzioni AI. Questo, però, può esporre i sistemi a vulnerabilità, soprattutto in mancanza delle conoscenze necessarie per proteggerli adeguatamente. In particolare, le tecnologie generative introducono nuove difficoltà nella gestione dei dati, aumentando il rischio di vulnerabilità legate a una data governance inadeguata.

Oltre ai rischi tradizionali, emergono nuove minacce come il “model collapse”, dove l’addestramento di nuovi modelli su dati generati da altre AI può compromettere la qualità e l’affidabilità dei modelli stessi. Un fenomeno che rischia di introdurre errori e bias sistematici, con conseguenze potenzialmente gravi per le imprese e per la società nel suo complesso. Inoltre, una crescente interconnessione e dipendenza dalle tecnologie AI potrebbe amplificare gli effetti di errori o attacchi su sistemi critici, causando ripercussioni su larga scala.

Il risultato? Un equilibrio precario tra le immense opportunità offerte dall’AI e le nuove sfide della cybersecurity e una linea sempre più sottile che fa da confine tra mondo fisico e mondo digitale.

Rischi e vantaggi della sicurezza basata su AI

In questi anni abbiamo assistito ad un cambio di paradigma nella gestione della cybersecurity: da un modello “a fortino” o di “sicurezza perimetrale”, in cui ci si proteggeva dalle sole minacce esterne all’organizzazione si è passati a un modello che comprende anche la catena di approvvigionamento e chiunque faccia parte, in modo diretto o indiretto, dell’organizzazione. Da strategie Zero Trust si è poi approdati a strategie di gestione proattiva della sicurezza, introducendo sistemi di analisi comportamentale basati sui primi modelli di machine learning.

Oggi, l’esigenza di proattività sta diventando un fattore cruciale nella lotta contro il cybercrime. L’AI sta rapidamente diventando un alleato capace di portare innovazioni nei processi di rilevamento e risposta agli incidenti. I modelli di machine learning (come le reti neurali, i modelli di apprendimento supervisionato o non supervisionato) possono essere utilizzati per identificare pattern nei dati, permettendo di rilevare minacce in tempo reale, migliorare l’efficienza operativa e ridurre i tempi di risposta.

È importante ricordare che l’AI non è una soluzione statica. Poiché le minacce e le tattiche degli aggressori evolvono rapidamente, sfruttando anche l’AI stessa, e i sistemi AI modificano il loro comportamento in base a processi di apprendimento continuo, è cruciale che i sistemi di sicurezza basati su AI siano costantemente monitorati, aggiornati e migliorati. Per garantire un ciclo di vita efficiente dei modelli AI, l’adozione di pratiche MLOps (Machine Learning Operations) potrebbe portare vantaggi significativi, consentendo aggiornamenti e miglioramenti continui in grado di mantenere le difese sempre al passo con le nuove minacce. Per il 2025 risulterà cruciale sviluppare soluzioni di sicurezza che integrino l’AI, assicurando al contempo una protezione da tentativi di utilizzare l’AI stessa per scopi malevoli come manipolare dati e influenzare le decisioni delle persone.

Sicurezza nel cloud: sfide emergenti e strategie di mitigazione

Il cloud, oltre a una grande opportunità per molte organizzazioni, si sta ancora dimostrando un tema che porta con sé rischi, spesso noti, non correttamente gestiti. La non corretta comprensione dei modelli di shared responsibility, la progettazione di architetture che non prevedono almeno gli stessi presidi di sicurezza presenti on-premise, gli errori di configurazione sono tra i principali esempi di problemi che conosciamo da anni e sui quali ci sono ancora ampi spazi di miglioramento.

A complicare il quadro si sommano fattori esogeni alle organizzazioni, quali evoluzioni normative, attacchi, spesso ransomware, che sempre più spesso mirano a colpire le infrastrutture cloud. Nel 2025 si dovrà lavorare ancora molto per adeguare security e compliance della componente di servizio in gestione al sottoscrittore, non solo garantendo gli adeguati presidi fin dalla progettazione dei nuovi servizi, ma anche per mantenere adeguati quelli già attivati. Questo non può non prevedere, tra le altre cose, la corretta formazione di tutti gli specialisti coinvolti in queste attività.

Il nodo della carenza di competenze cyber

Nonostante i progressi tecnologici, l’incremento degli attacchi cyber e la crescente pressione da parte sia del legislatore che del mercato, la domanda di esperti di cybersecurity continua a superare l’offerta di personale qualificato. Il World Economic Forum stima che, a fronte di una crescita della forza lavoro nel settore della cybersicurezza del 12,6% tra 2022 e 2023, entro il 2030 la carenza di professionisti possa oltrepassare gli 85 milioni di lavoratori a livello globale.

Secondo lo stesso studio, ben due terzi delle organizzazioni affrontano rischi aggiuntivi a causa della mancanza di competenze di cybersecurity, eppure solo il 15% prevede un aumento significativo di tali competenze entro il 2026. Tra gli ambiti dove la carenza di forza lavoro è più marcata spiccano il mondo dell’istruzione, il settore governativo e il comparto della sanità, che risultano a loro volta tra i più colpiti dagli attacchi cyber. Il problema della mancanza di competenze, noto da anni e documentato in più occasioni anche dall’Agenzia europea per la cybersicurezza (ENISA), continuerà a rappresentare una delle principali sfide per le organizzazioni europee anche nel 2025.

Il 2025 della cyber, gli aspetti normativi

Il 2025 vedrà concretizzarsi alcune importanti novità dal punto delle normative con impatti sulla cybersecurity. A livello europeo, troverà applicazione la Direttiva NIS2 con le organizzazioni in perimetro chiamate a adeguarsi ai nuovi obblighi in materia di governance, gestione dei rischi, segnalazione degli incidenti e gestione della catena di approvvigionamento.

In materia di privacy, il rispetto delle linee guida dell’Autorità Garante per la Protezione dei Dati Personali emesse nel 2024 porrà ulteriore enfasi sull’importanza di soluzioni in grado di bilanciare esigenze di operatività aziendale con la tutela dei diritti e libertà dei lavoratori. Adeguate soluzioni dovranno essere individuate anche per la mitigazione dei rischi che emergeranno – oltre che per la sicurezza delle organizzazioni, anche per la privacy degli utilizzatori di servizi digitali – dalla diffusione di tecnologie dirompenti e “affamate di dati” come l’AI.

Implementazione della Direttiva NIS2: nuove regole per le aziende

Tra le principali novità normative c’è, appunto, la Direttiva NIS2. Con la sua entrata in vigore, l’Unione Europea mira a garantire un livello uniforme e più elevato di cybersicurezza tra gli Stati Membri, riducendo la discrezionalità degli stessi nella definizione dei soggetti coinvolti, dei requisiti di sicurezza e delle modalità di segnalazione degli incidenti.

La Direttiva introduce nuovi obblighi di cybersicurezza per grandi e medie imprese operanti in settori considerati critici per l’economia e la società. Tra i principali adempimenti, le organizzazioni in perimetro dovranno adottare processi strutturati per la gestione del rischio, garantire il presidio della catena di fornitura, segnalare tempestivamente gli incidenti e rispettare rigorosi requisiti in materia di governance, continuità operativa, gestione delle crisi, backup, crittografia e gestione delle vulnerabilità. Per i soggetti coinvolti, la Direttiva rappresenterà un’opportunità per rafforzare la propria postura di sicurezza, migliorare la resilienza dei propri sistemi informativi e consolidare la propria reputazione di affidabilità sul mercato. Tuttavia, adeguarsi in tempi brevi rappresenterà una sfida rilevante dal punto di vista operativo, che dovrà essere conciliata con le altre priorità aziendali.

Nuove sfide per la protezione dei dati personali

Nel 2024, l’Autorità Garante per la Protezione dei Dati Personali ha introdotto importanti novità in merito al trattamento dei cosiddetti metadati della posta elettronica nel contesto lavorativo, con la pubblicazione di un documento di indirizzo. Si tratta di indicazioni che lasceranno il segno anche nel 2025.

Il documento stabilisce, infatti, nuove linee guida che mirano a tutelare la riservatezza dei lavoratori, definendo criteri rigorosi per l’utilizzo degli strumenti di comunicazione elettronica nei contesti professionali. Le nuove disposizioni pongono l’accento sulla necessità di bilanciare le esigenze dei datori di lavoro con la tutela dei dipendenti, limitando l’accesso ai dati personali e introducendo misure di protezione più stringenti che non potranno prescindere da una valutazione di ulteriori adempimenti sul piano formale. L’obiettivo primario per le organizzazioni sarà, quindi, quello di garantire un equilibrio tra le legittime esigenze organizzative e il rispetto dei diritti e delle libertà dei lavoratori, segnando un importante punto di svolta nella tutela della protezione dei dati personali nel contesto lavorativo.

Innovazioni nella sicurezza dei browser e dei dati degli utenti

Una delle minacce più insidiose per la privacy degli utenti di Internet e, per certi versi, meno note, è rappresentata dal web scraping: tecniche di estrazione automatizzata che permettono di raccogliere enormi quantità di dati dai siti web, spesso all’insaputa degli utenti. Tra gli obiettivi di chi sfrutta queste tecniche vi è quello di carpire informazioni di contatto, come indirizzi di posta elettronica o numeri di telefono, ma anche singoli termini di ricerca o URL per l’addestramento di modelli di Intelligenza Artificiale generativa.

Contrastare questo fenomeno richiede il ricorso a un approccio multidisciplinare che combini elementi tecnici, legali e organizzativi in una strategia coerente e integrata. Le misure di contrasto includono, tra le altre, l’implementazione di aree riservate con meccanismi di autenticazione robusti, il monitoraggio del traffico di rete per identificare pattern anomali e l’utilizzo di CAPTCHA per contrastare i bot con verifiche che solo gli utenti umani possono completare efficacemente. Sul piano formale, completano queste misure l’introduzione di specifiche clausole nei termini di servizio che vietano esplicitamente le attività di web scraping.

Futuro della cyber security, le priorità strategiche

A fronte di uno scenario così complesso, quali potranno essere le priorità strategiche delle organizzazioni? Tra le principali aree di intervento, emerge come cruciale la gestione dei rischi derivanti dalla collaborazione con terze parti, spinta dalla crescente pressione normativa e dall’evoluzione delle minacce. Altrettanto importante sarà la capacità di investire in percorsi di formazione continua, in grado di colmare il gap di competenze disponibili sul mercato. Un’ulteriore area di investimento sarà quella delle tecnologie avanzate per il monitoraggio e la risposta tempestiva alle minacce. Più in generale, sarà indispensabile sviluppare strategie di cybersecurity a lungo termine, in grado di indirizzare al contempo esigenze di compliance e tutela aziendale adattandosi dinamicamente e proattivamente alle evoluzioni esterne.

Gestione del rischio fornitore: un’iniziativa fondamentale

Con l’evolvere delle tecnologie digitali, la collaborazione con terze parti e, nello specifico, la gestione preventiva dei rischi connessi alle forniture è diventata una componente fondamentale per la strategia IT delle organizzazioni. Il rischio legato alle terze parti può manifestarsi in molteplici forme (dai rischi legati alla sicurezza informatica a quelli di continuità operativa, dalla compliance normativa alla salvaguardia della reputazione aziendale) e può essere gestito a vari livelli: strategico, tattico e operativo.

All’interno di un processo di acquisto, le fasi di Risk Assessment e Due Diligence, in quanto cruciali, devono permettere di inquadrare sia il rischio inerente di una fornitura, dato dalla tipologia di attività che viene erogata, sia il rischio residuo, derivato a seguito della valutazione delle misure di mitigazione che il fornitore ha in atto. È di vitale importanza sottolineare, infine, che la gestione del rischio non termina con la firma del contratto ma richiede un monitoraggio costante delle prestazioni e della conformità alle clausole concordate. Il contratto, quindi, rappresenta uno strumento chiave nella gestione dei rischi di terze parti. In sintesi, una gestione efficace del rischio legato alle terze parti richiede una strategia integrata che coinvolga l’intera organizzazione. L’adozione di un approccio strutturato alla gestione dei rischi di terze parti (TPRM) offre, in tal senso, una solida base per sfruttare al meglio le opportunità di crescita e innovazione fornite dalla collaborazione con i fornitori.

L’importanza della formazione continua per la cybersecurity

La carenza di competenze cybersecurity è un fenomeno globale che riguarda trasversalmente tutti i settori. L’introduzione di nuove normative come la Direttiva NIS2 dimostra gli sforzi dell’UE nel promuovere percorsi di formazione continua all’interno delle organizzazioni. Ma una soluzione al problema non potrà che passare dal coinvolgimento anche di altri attori, sia del mondo pubblico che di quello privato.

Enti governativi, istituzioni scolastiche e accademiche, associazioni di settore e aziende private dovranno lavorare insieme per sviluppare percorsi formativi sulla cybersecurity in grado di preparare non solo la forza lavoro di domani ma anche le figure che ricoprono ruoli decisionali oggi. A tal fine, sarà essenziale un impegno per coinvolgere le generazioni più giovani, creando opportunità di sviluppo formativo e professionale che siano accessibili, sostenibili e appetibili anche alle fasce di popolazione ad oggi meno rappresentate, come quella femminile.