L’evoluzione del cybercrime negli ultimi dodici mesi si è mossa lungo una traiettoria ben definita: l’intelligenza artificiale non è più soltanto uno strumento nelle mani di aziende e organizzazioni per abilitare nuovi scenari di efficienza e innovazione, ma è ormai diventata un asset centrale anche per la criminalità informatica. È quanto emerge con chiarezza dai dati pubblicati da Microsoft nel suo report Cyber Signals, integrati con le evidenze del Microsoft Digital Defense Report 2024, che insieme forniscono un quadro aggiornato e preoccupante del panorama delle minacce globali.
L’escalation degli attacchi
Il dato più macroscopico riguarda la scala e la frequenza con cui i cyber criminali operano oggi sfruttando capacità AI-driven. Nel periodo compreso tra aprile 2024 e aprile 2025, Microsoft ha bloccato frodi informatiche per un valore complessivo superiore ai 4 miliardi di dollari, e respinto in media 1,6 milioni di tentativi di registrazione automatica da parte di bot, ogni ora.
Parallelamente, sono state neutralizzate oltre 49mila richieste fraudolente di affiliazione ai programmi di partnership, un chiaro indicatore di come il cybercrime punti a infiltrarsi anche nei processi di business digitale più sofisticati.
Ma non è solo la quantità a crescere. Cambia la qualità stessa delle minacce, come spiega Sherrod DeGrippo, director of Threat Intelligence Strategy di Microsoft: “L’AI è ancora in una fase iniziale, ma gli attaccanti la stanno già utilizzando per rendere i loro attacchi più efficaci, migliorando ad esempio la qualità delle e-mail di phishing o creando deepfake per il social engineering”. Anche se al momento non sono ancora emerse nuove tecniche d’attacco basate esclusivamente sull’intelligenza artificiale, la crescente fase di sperimentazione lascia intravedere margini di ulteriore escalation.
Threat landscape, cyberwar e ransomware ai massimi storici
Secondo il Microsoft Digital Defense Report 2024, gli attacchi condotti da attori sponsorizzati da Stati-nazione sono cresciuti del 53% su base annua, un dato che testimonia come le tensioni geopolitiche si riflettano sempre più frequentemente anche nel dominio cyber. Le infrastrutture critiche e i settori sensibili — energia, sanità, finanza — risultano i target preferenziali di questi attori sofisticati. In parallelo, il ransomware continua a rappresentare una minaccia prioritaria. Il cybercrime adotta logiche di estorsione multipla, combinando la crittografia dei dati con la minaccia di divulgazione e l’utilizzo di strumenti di intelligenza artificiale per automatizzare la fase di penetrazione iniziale, la movimentazione laterale e persino la scrittura di codice malevolo su misura per le vittime.
Le credenziali nel mirino
Altro dato rilevante per volumi e conseguenze è quello relativo agli attacchi contro le identità digitali. Microsoft segnala oggi una media di 7mila attacchi al secondo diretti ai sistemi di autenticazione, in netta crescita rispetto ai 4mila al secondo rilevati nel 2023. Si tratta prevalentemente di tecniche consolidate come il password spraying, gli attacchi a forza bruta e il replay di credenziali compromesse. Il volume stesso degli attacchi è direttamente correlato alla crescente disponibilità di credenziali trafugate, spesso commercializzate nei marketplace criminali del Dark Web. Oggi Microsoft monitora attivamente oltre 1.500 gruppi di threat actor a livello globale, una platea di cinque volte estesa rispetto anche solo a dodici mesi fa, quando il numero era fermo a circa 300 gruppi.
Shadow AI nelle aziende
A rendere ancora più complesso lo scenario interviene anche un elemento interno alle organizzazioni. Microsoft Work Trend Index 2024 evidenzia come il 78% dei lavoratori utilizzi strumenti di AI generativa per automatizzare attività lavorative, spesso senza alcun coinvolgimento diretto dei dipartimenti IT. Questo fenomeno di shadow AI espande la superficie d’attacco in maniera esponenziale, ed espone dati e processi a rischi difficilmente tracciabili. L’adozione spontanea e non governata dell’intelligenza artificiale richiede quindi un cambio di paradigma nella governance IT, dove la protezione dei dati sensibili e il controllo delle policy di sicurezza devono integrarsi fin dalla fase progettuale.
Per rispondere a questa molteplicità di minacce, Microsoft ha avviato dal novembre 2023 la Secure Future Initiative (Sfi), un piano pluriennale che coinvolge oltre 34mila ingegneri, mirato a ripensare la sicurezza come elemento fondante dello sviluppo software e hardware. L’obiettivo è quello di realizzare un ecosistema digitale resiliente, fondato su tre principi chiave: security by design, protezioni predefinite integrate e monitoraggio operativo continuo. Tra i progressi conseguiti figurano l’eliminazione di milioni di tenant inattivi, la centralizzazione dei log di sicurezza per il 99% delle risorse di rete e l’accelerazione nella risoluzione delle vulnerabilità grazie alla sinergia tra i team ingegneristici e il Microsoft Security Response Center. Tamara Zancan, direttrice Cybersecurity, Compliance e Identity in Microsoft, sintetizza così il cambio di passo: “La sicurezza non è più una scelta, è un imperativo strategico. Con la Secure Future Initiative stiamo facendo un passo decisivo verso un futuro digitale sicuro e resiliente, supportato da una governance proattiva e tecnologie innovative”.
Security Copilot, l’AI al servizio delle difesa
L’AI rappresenta non solo una minaccia, ma anche un potente alleato nella difesa. In questa direzione va la proposta Microsoft Security Copilot, progettata per assistere i team Soc nell’analisi dei dati, nella rilevazione anticipata di pattern anomali e nella gestione automatizzata degli incidenti. Grazie a questa piattaforma AI, gli analisti possono decodificare in tempo reale i segnali provenienti da milioni di fonti, individuando correlazioni che i modelli tradizionali di monitoraggio difficilmente riuscirebbero ad intercettare. A rafforzare ulteriormente l’automazione intervengono i Security Copilot Agents, capaci di gestire autonomamente attività critiche come la classificazione delle vulnerabilità, la definizione delle priorità di intervento e la creazione di policy di contenimento. Integrati nativamente in Microsoft Defender e Sentinel, questi agenti combinano linguaggio naturale e capacità predittiva, consentendo ai team di security operation di ridurre drasticamente il tempo di reazione agli incidenti.
Protezione dal chip al cloud
L’approccio di Microsoft alla sicurezza si fonda su una protezione completa che parte dall’hardware per estendersi fino al cloud. Sul fronte dei dispositivi, l’integrazione del processore di sicurezza Pluton nei nuovi Surface Copilot+ pc consente un livello avanzato di protezione firmware e autenticazione passwordless. Allo stesso tempo, Windows 11 Pro offre funzionalità di sicurezza attive per default, mentre Microsoft Intune consente la gestione centralizzata degli endpoint, anche in scenari di lavoro ibrido e distribuito. In ambito cloud, Windows 365 permette l’accesso a pc virtualizzati aggiornati e protetti, riducendo la dispersione dei dati e semplificando la gestione delle policy di sicurezza indipendentemente dalla collocazione fisica degli utenti. In un contesto multicloud, la governance e la protezione del dato sono centrali. E attraverso Microsoft Purview, le aziende possono classificare, cifrare e proteggere le informazioni sensibili lungo l’intero ciclo di vita, rispondendo ai requisiti normativi e riducendo il rischio di perdita accidentale o compromissione. Un ruolo chiave, è chiaro, lo gioca infine l’AI stessa, applicata responsabilmente attraverso un paradigma secure by design anche nei modelli generativi di Copilot, dove etichette di classificazione, regole di data loss prevention e meccanismi granulari di controllo sugli agenti consentono alle aziende di bilanciare innovazione e compliance.
© RIPRODUZIONE RISERVATA
