C'è un dato, nel rapporto pubblicato il 3 giugno 2026 dal Frontier Red Team di Anthropic, che vale più di molte analisi: nell'arco di un solo anno, la quota di attaccanti classificati come "rischio medio o superiore" è passata dal 33% al 56%. Un aumento di circa 1,7 volte in dodici mesi. Non perché siano comparsi all'improvviso più hacker di talento, ma perché l'intelligenza artificiale ha permesso a soggetti mediocri di comportarsi come professionisti.
È la fotografia, in controluce, di un cambiamento che le imprese faticano ancora a metabolizzare. Per anni la sicurezza informatica ha funzionato secondo una logica intuitiva: gli attacchi sofisticati richiedono competenze sofisticate, e quindi sono appannaggio di pochi. Stati, gruppi organizzati, specialisti. Tutto il resto era rumore di fondo — script preconfezionati, tentativi opportunistici, danni circoscritti. Quella logica, suggerisce il report di Anthropic, sta saltando.
Un anno di attacchi, raccontato dai dati
Il lavoro parte da una base concreta. Anthropic ha esaminato 832 account bannati per attività cyber malevola tra marzo 2025 e marzo 2026 — un sottoinsieme del totale, selezionato perché sufficientemente documentato da consentire un'analisi seria — e li ha mappati su MITRE ATT&CK, il database che da anni la comunità di sicurezza usa come lingua franca per descrivere tattiche e tecniche degli aggressori. Una parte dei risultati è confluita anche nel Data Breach Investigations Report 2026 di Verizon, uno dei documenti più citati del settore.
Dalla mappatura emergono tre conclusioni, ed è utile leggerle nell'ordine in cui aprono porte sempre più scomode.
La prima è quasi prevedibile: gli attaccanti usano l'IA soprattutto nelle fasi preparatorie. Due terzi degli account analizzati (il 67,3%) se ne servivano per scrivere malware. Fin qui, niente che sorprenda chi segue il tema.
La seconda conclusione è quella che cambia il quadro. L'uso dell'IA si sta spostando dalle fasi iniziali dell'attacco — quelle in cui si cerca di entrare in un sistema — verso ciò che accade dopo essere entrati. Nel periodo osservato, il ricorso all'IA per il "phishing", la tecnica classica per ottenere un primo accesso, è calato dell'8,6%. Nello stesso arco di tempo è cresciuto dell'8,9% l'uso dell'IA per la cosiddetta account discovery, cioè l'individuazione di credenziali valide una volta già dentro la rete. Sono attività "post-compromissione": movimento laterale nei sistemi, scalata dei privilegi, esfiltrazione di dati. Storicamente, il territorio esclusivo di chi sapeva davvero quello che faceva.
Ed è qui che si apre la terza conclusione, la più rilevante per chi deve governare il rischio: queste attività complesse oggi possono essere delegate a un modello. L'attaccante poco preparato non deve più imparare a muoversi dentro una rete violata. Può chiedere a un'IA di farlo per lui.
Perché i vecchi metri di giudizio non funzionano più
La parte più istruttiva del report, per un professionista della compliance, non riguarda le tecniche in sé ma il modo in cui le valutiamo.
Come si stabilisce se un attaccante è pericoloso? Tradizionalmente, contando: quante tecniche diverse impiega, quali strumenti usa, quanto è articolato il suo arsenale. Più ampio il repertorio, più alto il rischio. Anthropic mostra che questo principio ha smesso di funzionare. Gli attaccanti meno qualificati del campione usavano in media circa 16 tecniche distinte; i più qualificati, circa 20. Una differenza minima, che non distingue più nulla. Anche il canale utilizzato — un'interfaccia di chat, un'API, uno strumento di coding — non si è rivelato un indicatore affidabile della pericolosità.
Il punto è sottile e va colto con precisione, perché è il cuore del problema. Quando una macchina esegue per conto tuo i compiti tecnicamente difficili, la quantità di tecniche che padroneggi smette di dire qualcosa su quanto sei pericoloso. Il segnale si è spostato altrove: non in quante cose fa un attaccante, ma nell'architettura che costruisce intorno al modello. Gli aggressori più temibili non si limitano a interrogare l'IA: progettano sistemi che incatenano fra loro le diverse fasi di un attacco e le fanno eseguire al modello con un intervento umano minimo.
In altre parole, il discrimine non è più la competenza dell'attaccante. È il grado di autonomia che riesce a conferire al suo strumento.
L'attacco che decide da sé
Per capire dove sta andando tutto questo, il report richiama un episodio concreto: l'operazione di spionaggio cyber, attribuita a un attore statale, che Anthropic ha interrotto nel novembre 2025. In quel caso un attaccante aveva manipolato uno strumento di IA per indurlo a tentare di penetrare bersagli in tutto il mondo, con pochissimo intervento umano. Il modello agiva come un agente autonomo: eseguiva comandi, sfruttava vulnerabilità, sottraeva credenziali, prendeva decisioni tattiche, chiamando in causa l'operatore umano solo in pochi momenti chiave.
Mappata su MITRE ATT&CK, quell'operazione risultava "media": una trentina di tecniche distribuite su tredici tattiche, un profilo paragonabile a quello di tanti attaccanti di medio livello. Eppure, applicando la metodologia di rischio di Anthropic, lo stesso attacco otteneva il punteggio massimo: 100 su 100. Il framework, semplicemente, non sapeva vederlo per ciò che era.
Ed ecco l'avvertimento più scomodo del documento: per questo tipo di orchestrazione agentica — un'IA che sequenzia i passaggi di un attacco, decide in tempo reale cosa fare ed esegue senza supervisione — non esiste ancora una voce dedicata in MITRE ATT&CK. Stiamo continuando a misurare con un righello le minacce che ormai si muovono in tre dimensioni. Anthropic dichiara di essere in dialogo con MITRE per far evolvere il framework; ma il fatto stesso che la conversazione sia appena cominciata dice quanto siamo indietro.
Le considerazioni: cosa significa per chi governa un'azienda
Qui conviene uscire dal report e ragionare sulle conseguenze, perché è dove un amministratore o un responsabile compliance trova materia di lavoro.
Il rischio si è democratizzato. È forse la parola sbagliata per un fenomeno tutt'altro che benefico, ma rende l'idea: capacità offensive che fino a ieri erano riservate a pochi soggetti ben finanziati diventano accessibili a una platea molto più ampia. Per chi fa risk assessment, questo significa che la vecchia segmentazione delle minacce — "noi non siamo un bersaglio interessante per gruppi sofisticati" — perde fondamento. Non serve più essere un bersaglio di prestigio per attirare un attacco sofisticato: basta essere raggiungibili.
Le PMI sono il vero anello debole. Le grandi organizzazioni dispongono di team di sicurezza, budget, capacità di risposta agli incidenti. La piccola e media impresa — il tessuto produttivo italiano per eccellenza — spesso no. Se attacchi un tempo costosi diventano economici e scalabili, il rapporto costo/beneficio per l'aggressore cambia proprio sulla fascia di organizzazioni meno difese. È una pressione che si scaricherà in modo diseguale, e che i decisori farebbero bene a leggere come una questione di sopravvivenza operativa, non di mera conformità.
Gli indicatori di rischio vanno ripensati. Se contare le tecniche non funziona più, le procedure interne di valutazione delle minacce, i capitolati per i fornitori di sicurezza, i criteri di reporting al vertice rischiano di basarsi su metriche superate. Vale la pena chiedersi se i propri framework di threat intelligence — e quelli dei fornitori a cui ci si affida — abbiano già recepito il fatto che l'autonomia conta più del repertorio.
L'aggancio normativo: un terreno che si muove
Per un pubblico di compliance, il punto non è solo tecnico ma giuridico, e l'Europa è oggi il laboratorio regolatorio più denso al mondo.
La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, ha già ampliato il perimetro dei soggetti tenuti ad adottare misure di gestione del rischio cyber e ha introdotto obblighi di notifica degli incidenti con tempistiche stringenti. Un panorama di attacchi più autonomi e più frequenti mette sotto pressione proprio quegli obblighi: come si notifica tempestivamente un incidente quando l'aggressore opera alla velocità di una macchina? E come si dimostra di aver adottato misure "adeguate" quando lo stato dell'arte cambia di trimestre in trimestre?
Nel settore finanziario, il Regolamento DORA impone resilienza operativa digitale e una governance del rischio ICT che include esplicitamente la catena dei fornitori — e i fornitori di IA cominciano a esserne parte integrante. Il GDPR resta sullo sfondo di ogni esfiltrazione di dati, con il suo apparato di notifiche al Garante e di responsabilità.
Sul versante dell'intelligenza artificiale, l'AI Act europeo costruisce un impianto basato sul rischio che, pur non nascendo per la cybersicurezza, intercetta inevitabilmente questi temi. E nel diritto italiano vale la pena ricordare un tassello spesso trascurato: diversi reati informatici sono reati presupposto ai fini del D.Lgs. 231/2001. Un attacco subìto o, peggio, agevolato per carenze organizzative può aprire scenari di responsabilità amministrativa dell'ente. La domanda che ogni organismo di vigilanza dovrebbe porsi non è più solo "siamo conformi?", ma "il nostro modello organizzativo ha previsto un avversario che agisce da solo, ventiquattro ore su ventiquattro?".
Impatti sociali e scenari possibili
Allargando lo sguardo oltre la singola azienda, il quadro che emerge ha implicazioni che meritano qualche riflessione.
Il primo scenario è quello dell'asimmetria che si rovescia. Per gran parte della storia recente, attaccare è stato più facile e più economico che difendersi. L'automazione spinta dall'IA rischia di accentuare questo squilibrio, perché un singolo operatore può ora orchestrare campagne che un tempo richiedevano interi gruppi. Ma la stessa tecnologia è disponibile ai difensori, ed è qui che si gioca la partita più importante: Anthropic dichiara di voler mettere "gli strumenti più potenti nelle mani dei difensori per primi" e di costruire salvaguardie nei propri modelli per bloccare attività come lo sviluppo di malware o l'esfiltrazione massiva di dati. È una postura che indica la strada — la corsa agli armamenti cyber si vince, se si vince, mettendo la difesa qualche passo avanti — ma che resta una scommessa aperta.
Il secondo scenario riguarda la fiducia nelle infrastrutture digitali. Una società che digitalizza ogni funzione — dalla sanità ai pagamenti, dalla pubblica amministrazione alla logistica — accumula valore proprio dove l'attacco autonomo diventa più conveniente. L'erosione silenziosa della fiducia, più che il singolo incidente clamoroso, è il rischio sistemico da tenere d'occhio.
C'è poi una dimensione geopolitica che il caso del novembre 2025 rende esplicita: quando attori statali possono delegare a un agente autonomo operazioni di spionaggio su scala globale, la distinzione tra criminalità informatica, attivismo e conflitto fra Stati si fa ancora più sfumata. È un terreno in cui la regolazione nazionale ha margini limitati, e in cui la cooperazione internazionale — e quella tra aziende che sviluppano i modelli e istituzioni che governano i framework, come il dialogo Anthropic-MITRE — diventa decisiva.
Lo scenario più probabile, in ogni caso, non è l'apocalisse improvvisa. È un'erosione graduale dei punti di riferimento: framework che invecchiano, metriche che ingannano, soglie di rischio tarate su un mondo che non esiste più. Il pericolo non è tanto l'attacco spettacolare, quanto il fatto di continuare a guardarlo con gli occhiali sbagliati.
Cosa portarsi a casa
Il report di Anthropic non è un bollettino di guerra. È, semmai, un richiamo metodologico: ci dice che gli strumenti con cui leggiamo le minacce sono tarati su un'epoca che sta finendo. La capacità tecnica dell'attaccante conta meno dell'autonomia che riesce a conferire ai suoi strumenti; il numero di tecniche dice poco; i framework consolidati hanno un punto cieco proprio dove si concentrano i comportamenti più pericolosi.
Per chi guida un'azienda, la traduzione è semplice da enunciare e impegnativa da attuare: aggiornare i modelli di rischio prima che lo facciano gli attaccanti. Per chi si occupa di compliance, significa non trattare la cybersicurezza come un capitolo a parte, ma come la trama che attraversa NIS2, DORA, GDPR, AI Act e — in Italia — la responsabilità degli enti. La conformità formale a regole pensate per il mondo di ieri non sarà una difesa sufficiente in quello che sta arrivando.
La buona notizia è che la stessa tecnologia che rende gli attacchi più autonomi può rendere le difese più rapide. La cattiva è che questo vale solo per chi decide di muoversi adesso.
Fonte: Anthropic, "What we learned mapping a year's worth of AI-enabled cyber threats", Frontier Red Team, 3 giugno 2026. Dati pubblicati in parte nel Verizon 2026 Data Breach Investigations Report.