L’intelligenza artificiale non è più soltanto uno strumento. È diventata un elemento strutturale del rischio cyber.

Oggi l’AI si muove infatti lungo quattro anime: attacco, difesa, vittima e identità. È attacco, perché accelera la capacità offensiva, riduce i tempi di preparazione, amplia la scala delle campagne e rende più accessibili tecniche prima riservate a soggetti più maturi.

È, però, anche difesa, perché consente di assorbire una mole di segnali, eventi e correlazioni che il fattore umano, da solo, non riesce più a sostenere. Inoltre, è vittima, perché può essere manipolata, avvelenata, aggirata o sfruttata come nuovo piano di compromissione.

Ed è identità, perché tende progressivamente a operare al posto nostro, a interagire con sistemi, dati e processi come un nuovo soggetto digitale, con privilegi, contesto e capacità operative sempre maggiori.

In questo contesto, la Cyber threat intelligence, da raccolta di dati, diventa leva decisionale. Ecco perché il framework CERT-EU arriva nel momento giusto.

Il framework CERT-EU arriva nel momento giusto

All’interno di questo cambio di paradigma, il nuovo Cyber Threat Intelligence
Framework di CERT-EU assume un valore particolarmente rilevante.

Il framework nasce come riferimento condiviso per classificare, valutare e prioritizzare le attività cyber malevole che colpiscono le entità dell’Unione e il loro ecosistema.

Non si presenta come l’ennesimo documento teorico sulla threat intelligence, ma come un modello operativo che prova a risolvere un problema reale: trasformare l’intelligence da archivio informativo a supporto concreto per la decisione.

Il limite storico della threat intelligence

Ed è proprio questo il punto centrale. Per anni, in molte organizzazioni, la cyber threat intelligence è stata trattata come un grande contenitore di dati: report, indicatori, feed, campagne, attori, TTP, IoC, warning.

Un patrimonio informativo spesso ricco, ma non sempre davvero utilizzabile. Il problema non era la scarsità di dati, ma la difficoltà nel convertirli in priorità operative. In altre parole, si raccoglieva molto, ma si decideva poco.

Il rischio era trasformare l’intelligence in un esercizio di osservazione, più che in uno strumento per orientare protezione, investimenti e risposta.

Con l’AI aumenta il rumore, ma aumenta anche il valore del contesto

Con l’AI, questa criticità non si riduce: si amplifica. Aumentano i volumi, si accorciano i tempi, cresce la capacità degli attaccanti di generare variazioni, rumore, inganno e pressione simultanea.

Nello stesso momento, aumenta anche la necessità difensiva di distinguere ciò che è genericamente interessante da ciò che è realmente pericoloso per la singola organizzazione.

Non serve sapere tutto. Serve capire, prima e meglio, cosa conta davvero per il proprio profilo di rischio.

Dal dato alla priorità: cosa introduce il framework CERT-EU

Il framework CERT-EU prova a intervenire esattamente qui. Tra i concetti che introduce ci sono quelli di malicious activities of interest, ecosistema, categorie di minaccia, domini e livelli di minaccia degli attori.

La logica è semplice solo in apparenza: non limitarsi a registrare un’attività malevola, ma inserirla in un contesto, attribuirle un peso, comprenderne impatto potenziale e rilevanza rispetto all’ambiente da proteggere.

Questa impostazione è importante perché non si limita a raccogliere l’informazione, ma la contestualizza, rendendola più utile per interpretare la minaccia in funzione della singola organizzazione.

Perché è utile anche al management

Il valore aggiunto, però, non sta soltanto nella tassonomia. Sta nella volontà di rendere comparabili e prioritizzabili minacce che, senza un quadro comune, rischiano di restare frammentate.

Il framework include infatti meccanismi di scoring per avversari e mitigazioni, consentendo di fare un salto qualitativo: passare dalla semplice descrizione della minaccia alla sua traduzione in linguaggio decisionale.

Per un’impresa, significa poter leggere il dato di intelligence non come informazione astratta, ma come elemento utile a capire se un fenomeno richiede attenzione immediata, rafforzamento dei controlli, revisione delle priorità o aggiornamento delle misure di mitigazione.

Ed è proprio qui che il framework assume valore anche per il management. Perché trasforma un insieme spesso dispersivo di informazioni tecniche in elementi più leggibili, confrontabili e, soprattutto, misurabili.

In altre parole, aiuta a convertire la threat intelligence in numeri concreti, più vicini al linguaggio con cui il management valuta esposizione, priorità e sostenibilità del rischio.

Questo consente di supportare in modo più maturo sia il risk assessment sia la definizione del risk appetite aziendale.

NIS2, governance e lettura del rischio

In vista delle scadenze e degli obblighi introdotti dalla NIS2, questo passaggio diventa ancora più importante.

La direttiva richiede infatti una governance del rischio più strutturata, una maggiore responsabilizzazione del management e una capacità concreta di dimostrare come l’organizzazione identifichi, valuti e tratti le minacce cyber.

In questo contesto, un framework come quello di CERT-EU non è utile soltanto ai team di sicurezza, ma diventa uno strumento prezioso anche per il livello direzionale, perché aiuta a collegare minacce, impatti potenziali e priorità di risposta in una logica più vicina al business.

In un contesto dominato dall’AI, questa evoluzione è ancora più necessaria. Se l’intelligenza artificiale è attacco, la capacità di generare pressione offensiva aumenterà.

Ma se è difesa, i team cyber dovranno usarla per filtrare, correlare e interpretare. Invece, se è vittima, dovranno considerare anche l’AI come superficie esposta. Infine, se è identità, dovranno governarla come un nuovo soggetto operativo.

In tutti e quattro i casi, la qualità della lettura anticipata delle minacce diventa decisiva.

Non basta più osservare il panorama: bisogna capire quale porzione di quel panorama si sta muovendo verso di noi, con quale intensità e con quali effetti attesi.

La vera maturità della cyber threat intelligence, oggi, non risiede nel raccogliere più dati, ma nel trasformarli in decisioni comprensibili, misurabili e utili per proteggere davvero l’organizzazione.