E’ alle Cavallerizze, il moderno spazio espositivo polifunzionale del Museo Nazionale della Scienza e della Tecnologia di Milano (ottenuto dal recupero delle antiche scuderie ottocentesche), che Palo Alto Networks ospita la quarta edizione italiana di Ignite on Tour. Una giornata di keynote e workshop che riunisce oltre 300 professionisti della sicurezza. La scelta della venue non è casuale perché nel museo “Leonardo Da Vinci è di casa”, come evocano a più riprese i relatori, e l’inventore scienziato – come nessuno – incarna “la capacità di anticipare i tempi” e di “trovare nella semplicità la più efficiente sofisticazione”, due valori che Francesco Seminaroti, neo country manager per l’Italia, riprende come filosofia alla base della platformization di Palo Alto Networks.
Insieme a lui sul palco, Helmut Reisinger, Ceo-Emea, e Umberto Pirovano, senior manager Technical Solutions; tre voci diverse che, nel corso della giornata, si intrecciano attorno a un filo comune, ovvero la convinzione che la cybersecurity stia attraversando una trasformazione senza precedenti, guidata dalla convergenza tra i cambiamenti portati dall’AI e un contesto geopolitico radicalmente mutato.
Proprio dall’analisi sulla portata della rivoluzione AI, Seminaroti apre la giornata, con i numeri: “ChatGpt ha raggiunto il miliardo di utenti in meno di tre anni, contro i 23 impiegati da Internet e i 13 dal mobile”. Una velocità che le aziende italiane stanno inseguendo: “il 71% ha avviato progetti di intelligenza artificiale, ma solo il 15% li ha accompagnati con misure di sicurezza adeguate”. Da questo paradosso nasce la doppia missione di Palo Alto Networks: “Usare l’AI per fare sicurezza meglio — sulla scorta di modelli di machine learning sviluppati dal 2014 — e mettere in sicurezza l’AI adottata dalle aziende”.
Su questo scenario – necessariamente complesso -, Reisinger innesta la dimensione geopolitica: “Gli Stati nazionali hanno trasformato il dominio cibernetico in uno strumento di potere, e le minacce non si misurano più in termini di singoli attacchi ma di campagne strutturate”. Palo Alto Networks ha già individuato attacchi in clima di cyberwar con compromissioni importanti negli ambiti più critici (trasporti, healthcare, infrastrutture critiche), così come rileva furti di dati non per compromettere i sistemi nell’immediato, ma per sottrarre informazioni cifrate da conservare e decriptare in futuro, quando il quantum computing raggiungerà la maturità necessaria a rompere le chiavi crittografiche attuali.
La logica del “harvest now, decrypt later” è già operativa: “e i dati con una finestra di validità di 5-10 anni sono rubati oggi dal cybercrime, per il domani”, spiega Reisinger. La velocità è quindi già elemento critico. Un terzo delle vulnerabilità pubblicate viene sfruttato entro 60 minuti dalla divulgazione; il tempo medio tra compromissione ed esfiltrazione dei dati è sceso da nove giorni di tre anni fa a meno di 24 ore, con picchi sotto i 25 minuti nel ransomware più sofisticato.
Reisinger cita il caso SolarWinds come prova concreta: “Palo Alto ha rilevato l’anomalia sei giorni prima che si chiedesse aiuto, non perché decine di analisti stessero guardando i log, ma perché i sistemi analizzavano automaticamente l’identità degli utenti, delle applicazioni e dei dispositivi attraverso l’analisi comportamentale”. È la dimostrazione pratica di ciò che sia Reisinger che Pirovano, cui spetta l’analisi tecnica, ribadiscono con forza: i “patchwork” di soluzioni non lavorano alla velocità dell’AI. Solo una piattaforma integrata e altamente automatizzata può farlo. E l’AI è il moltiplicatore di forze su entrambi i fronti del conflitto.
Gli attaccanti, infatti, a loro volta la usano per scrivere malware più velocemente, affinare le strategie di intrusione, identificare i punti di accesso ottimali e — attraverso deepfake di qualità crescente — aggirare i meccanismi di verifica dell’identità.
Pertinente con questo scenario la voce di Matteo Macina, VP of Operations della Cyber Security Foundation — fondazione no-profit italiana dedicata alla cultura della cybersecurity, attiva da tre anni — che conferma il quadro con il suo Cyber Threat Landscape Report: +36% di attacchi DDoS anno su anno, 18 eventi al giorno in media, pubblica amministrazione balzata dall’1% al 42% dei bersagli totali. L’Italia è il secondo Paese europeo più colpito da ransomware. Si innesta un tema ulteriore: quello della “shadow AI“ — l’uso di strumenti AI fuori dal perimetro IT controllato — è la nuova frontiera del rischio. Come osserva Reisinger poi, “L’AI è come l’acqua: trova sempre la sua strada”. È esattamente per questo che la Cyber Security Foundation, in collaborazione con Palo Alto Networks e la Luiss Business School, ha lanciato il progetto AI Sicura: la prima valutazione nazionale sulla sicurezza dell’intelligenza artificiale in Italia attraverso un questionario nazionale rivolto ai Ciso per mappare la maturità delle organizzazioni italiane nella gestione del rischio AI e produrre un indice di riferimento.
Palo Alto Networks, una visione per superare la complessità
Ad offrire la visione “tecnologica” di Palo Alto Networks è Pirovano, che identifica le tre cause strutturali che rendono un attacco capace di andare a segno: complessità, mancanza di visibilità e livello di trust eccessivo. La complessità moderna nasce dalla frammentazione delle architetture applicative: “Non più i tre livelli ordinati del data center tradizionale, ma ecosistemi distribuiti in cui dati e applicazioni vivono su cloud pubblici, edge, ambienti SaaS e supply chain esterne che sfuggono al controllo diretto dell’organizzazione”. Sovrapporre a questo la necessità di proteggere gli utenti ovunque si trovino — con l’85% del lavoro che oggi transita attraverso il browser — rende impossibile garantire una sicurezza omogenea senza un approccio di piattaforma unificato. E Pirovano rafforza questo punto con un dato numerico: “Le grandi organizzazioni gestiscono in media 29 fornitori di sicurezza diversi, e ogni intercapedine tra questi strumenti è un invito per gli attaccanti”.
La vision di Palo Alto si struttura attorno a tre pilastri, come coordinate irrinunciabili di qualunque strategia di sicurezza moderna: real-time, automazione e semplificazione, attraverso la piattaforma. La base tecnologica che rende possibile tutto questo è la telemetria: 15 Petabyte di dati di sicurezza elaborati ogni giorno da oltre 80mila clienti globali, con rilevamento di 8,95 milioni di nuovi attacchi al giorno. Questa massa di dati alimenta la Precision AI sviluppata dal 2014, motore della detection e della risposta in tempo reale.
Il primo pilastro “risolutivo” è la Zero Trust Network Security, evoluta da appliance fisiche a sistemi virtualizzati, sul cloud e in prospettiva Sase, per un’unica logica di gestione. Un tassello che Pirovano descrive poi come strategico è ancora l’idea di Secure Browser basato su Chromium: con il 95% delle organizzazioni che ha subito attacchi via browser, Palo Alto ne ha sviluppato una versione sicura che preserva intatta la user experience, abilita il controllo granulare delle azioni sulle applicazioni — incluso il blocco del copia-incolla verso strumenti AI come ChatGpt — e può essere installato su dispositivi non gestiti senza privilegi di amministrazione. “Il browser è il punto di enforcement ideale – spiega Pirovano – perché vede il traffico in chiaro, comprende le azioni dell’utente ed è universale: un vantaggio strutturale che la sicurezza tradizionale non aveva mai sfruttato fino in fondo”.
Il secondo pilastro affronta direttamente il paradosso di un’AI che aiuta la sicurezza ma solo quando è sicura. Il modulo Prisma Airs 2.0 (AI Runtime Security) risolve il problema con una logica che Pirovano definisce “inevitabile — per testare continuamente i guardrail di un Llm o di un agente AI in produzione non bastano né operatori umani né script statici”. La soluzione è allora un sistema multi-agente che esegue red teaming automatizzato e continuo, copre l’AI Security Posture Management e garantisce visibilità sullo shadow AI aziendale. Evitare la shadow AI non significa bloccare l’adozione dell’AI tout court, ma canalizzarla. E Airs 2.0 è anche la stessa tecnologia che Palo Alto usa per blindare i propri agenti interni — un principio di coerenza che percorre tutta la strategia dell’azienda.
Il terzo pilastro è quello che Pirovano definisce come la “piattaforma delle piattaforme”: la trasformazione del Soc attraverso Cortex Xsiam e AgentX. Qui il collegamento con lo scenario è diretto: se gli attacchi si muovono in 25 minuti e i team umani non riescono a stare dietro ai log, il modello “human-centered Soc” non regge. “AgentX introduce agenti AI iper-specializzati con guardrail garantiti da Airs, che affiancano gli analisti trasformando i playbook statici in processi dinamici”. Dati, AI e automazione convergono in un unico punto per governare l’intero ciclo di vita dell’incidente, dalla prima telemetria alla remediation finale e all’analisi forense richiesta dalle normative. La sicurezza cloud si integra nello stesso ecosistema attraverso Cortex Cloud 2.0, che unisce le capacità di Prisma Cloud con un nuovo modulo Cdr (Cloud Detection and Response) direttamente nel Soc, abbattendo i silos e portando visibilità continua dal momento in cui viene scritto il codice.
Modellizzando ulteriormente per chiarezza il disegno di Palo Alto si articola quindi ad abilitare una “next-gen platform” di fatto articolata sul terreno “tradizionale (per Palo Alto)” della Network Security (con Strata), di SecOps e cloud (con Cortex) e dell’identity security con CyberArk.
Le tre acquisizioni recenti si innestano coerentemente su questa strategia. CyberArk, la più grande nella storia di Palo Alto Networks nell’ambito dell’identity security, risponde alle evidenze dei dati: “il 90% degli attacchi analizzati da Unit 42 ha sfruttato una debolezza identitaria”, e gli hacker oggi non “hackerano” le organizzazioni — ci accedono con le credenziali rubate. Il rapporto tra macchine e umani poi è già 82 identità macchina per ogni persona, destinato a moltiplicarsi con la proliferazione degli agenti AI. “Il primo frutto concreto dell’integrazione è già disponibile: la gestione dei certificati Pki ZeroTouch direttamente nell’infrastruttura Palo Alto”. Koi, startup israeliana specializzata nell’endpoint security agentica, porta invece la capacità di monitorare gli agenti AI all’interno dei singoli host attraverso infrastrutture Mcp dedicate, colmando un vuoto che l’Xdr tradizionale non riesce a coprire. E Chronosphere, ultimo entrato nel quadrante dei leader Gartner per la data observability, gestisce volumi AI-scale al 50% del costo dei concorrenti — un vantaggio critico in un mondo in cui la sicurezza è, come ha ripetuto Reisinger, “innanzitutto una questione di dati”. Sul tema della sovranità, puntualizza ulteriormente Reisinger, non esiste poi una risposta univoca: dalla soluzione “bring your own key” per chi vuole il controllo sulla telemetria, “alle cartelle sovrane per i dati sanitari soggetti a standard più elevati, la risposta si costruisce caso per caso in base alla natura del business”.
L’agenda italiana: PA, Pmi, compliance e il Roi della sicurezza
Tutto questo trova un terreno specifico nel contesto italiano, che Seminaroti analizza con una lettura a doppio registro. Il primo registro è positivo. Il cyberspazio è entrato nel lessico della difesa nazionale: “Oggi il dominio cibernetico è riconosciuto come elemento centrale della strategia di difesa del paese, spostando la cybersecurity dal perimetro dell’IT a quello della responsabilità collettiva”. Nis2 e Dora hanno avuto l'”effetto collaterale” benefico di portare il tema all’attenzione di Cfo e consigli di amministrazione, aprendo a Palo Alto Networks conversazioni con figure che in passato non si occupavano del problema. I tre punti di intervento che l’azienda offre oggi ai Ciso italiani sono: governance delle identità con CyberArk, observability sul comportamento degli agenti con Airs e Chronosphere, e governance dell’AI per un’adozione aziendale sicura e tracciabile.
Rimangono tuttavia due nodi strutturali su cui Seminaroti e Pirovano sono in perfetta in sintonia (registro negativo, ma rimediabile). Il primo è lo skill shortage: l’Italia ha bisogno di circa 135mila nuovi addetti alla cybersecurity che il mercato non riuscirà a formare nei tempi richiesti, e l’unica risposta scalabile è l’automazione intelligente che libera gli analisti dal lavoro ripetitivo. Il secondo nodo riguarda le Pmi: “Con 4 milioni di partite Iva e un tessuto manifatturiero esposto a normative che le coinvolgono indirettamente attraverso la supply chain delle grandi imprese, le piccole e medie aziende sono l’anello più vulnerabile del sistema”. La risposta passa dal fattore moltiplicativo degli Mssp (Managed Security Service Provider): partner sul territorio che, potenziati dall’AI e dall’automazione di Palo Alto, erogano servizi complessi in modo semplice e accessibile. Gli obiettivi espliciti per il 2026 di Palo Alto Networks Italia coprono quindi tre aree: “Pubblica amministrazione centrale, healthcare ed education; grandi imprese da traguardare verso il consolidamento della piattaforma; e Pmi da incontrare attraverso il canale e gli Mssp”.
A chiudere il cerchio è la riflessione che ha attraversato tutti gli interventi: la cybersecurity non è più un costo operativo ma un fattore di rischio d’impresa da gestire con la stessa disciplina del rischio finanziario. Pirovano parla di “un cambio radicale nella valutazione dei costi reali di un’architettura di sicurezza, con il calcolo del Roi ponderato sulla probabilità e sull’impatto di un incidente” e Reisinger vuole sottolineare come “la differenza nella cybersecurity si misura in relazione alla natura del business prima ancora che sull’elemento puramente dimensionale, perché le sfide cui è esposta una piccola azienda sono le stesse delle grandi imprese”. È un cambio culturale profondo che merita di essere riconosciuto. Per questo Palo Alto Networks non si propone come fornitore di prodotti, ma come partner di una trasformazione — modulare integrata e agentica già oggi.
© RIPRODUZIONE RISERVATA
