Il 2025 è stato un anno di svolta per la sicurezza informatica, in cui l’intelligenza artificiale è diventata prioritaria nell’agenda delle organizzazioni, cambiando le regole del gioco sia per gli attori delle minacce, sia per chi difende la cybersecurity. Lo ha scritto Francis deSouza, Chief Operating Officer di Google Cloud, presentando il Cybersecurity Forecast report per il 2026, e ricordando che la AI e gli agenti ridefiniranno come le organizzazioni proteggono i propri ambienti, trasformando i centri operativi per la sicurezza (SOC, Security Operations Center), da hub di monitoraggio, in motori di azioni automatizzate. Anche Odyssey Cybersecurity, la società dietro la creazione della piattaforma ClearSkies Centric AI TDIR, prevede che il 2026 sarà un punto di svolta per la cybersecurity, aziende italiane comprese: un 2026 caratterizzato da un incremento degli attacchi informatici autonomi guidati dall’intelligenza artificiale, in grado di colpire organizzazioni pubbliche e private con rapidità e precisione inedite.
Indice degli argomenti
Difendersi dalle minacce autonome AI-driven
Nella visione tecnologica alla base di ClearSkies, la stragrande maggioranza degli attacchi cyber sono ormai completamente automatizzati ed AI-driven, e nel fronteggiarli oggi il principale vantaggio competitivo non è più la sola riduzione del rischio, ma la resilienza operativa: una resilienza fornita da una difesa autonoma, capace di adattarsi di continuo alle nuove minacce, identificarle, analizzarle e neutralizzarle prima ancora che possano manifestarsi.
Su questa modalità di azione è incentrata ClearSkies Centric AI TDIR, una piattaforma as-a-service cloud-nativedi “threat detection, investigation & response”, sviluppata su codice proprietario, che integra la AI, il “Centric AI Fabric”, nel proprio cuore tecnologico.
La piattaforma ClearSkies nasce dalle competenze e dalla filosofia progettuale di Odyssey, fornitrice di soluzioni, consulenza e servizi gestiti di cybersecurity. Fondata nel 2002, la società ha sede principale a Nicosia, Cipro, ed è attiva a livello globale. ClearSkies viene proposta anche sul mercato italiano, come una soluzione di nuova generazione per innovare gli attuali centri operativi per la sicurezza.
Adottando ClearSkies, spiega l’azienda, i SOC possono trasformarsi, da entità fondamentalmente reattive rispetto alle minacce, in SOC autonomi, supervisionati dagli operatori umani, in cui AI generativa e AI agentica lavorano in sinergia per individuare gli attacchi automatizzati e AI-driven, attuando immediatamente le azioni necessarie per contenere e mitigare le minacce.
Guerra tra algoritmi alla velocità delle macchine
Con attacchi informatici che stanno diventando completamente guidati dalla AI e autonomi, i modelli SOC tradizionali non riescono più a tenere il passo. Ma quali sfide specifiche stanno creando i rischi maggiori per le organizzazioni oggi? «Abbiamo superato l’era dell’hacking manuale o opportunistico» risponde Eleftherios Antoniades, fondatore e Chief Technology Officer di ClearSkies. «Oggi ci troviamo di fronte a una guerra asimmetrica guidata dall’intelligenza artificiale. Gli autori delle minacce utilizzano la AI generativa per lanciare attacchi autonomi e adattivi, automatizzando la ricognizione, aggirando i controlli e mutando il malware in tempo reale. I SOC tradizionali, che fanno affidamento su flussi di lavoro incentrati sull’uomo, regole statiche e triage manuale, semplicemente non possono competere con la velocità delle macchine. Gli analisti sono sommersi da dati frammentati e falsi positivi, e ciò porta a pericolosi ritardi nel rilevamento e nella risposta».
I C-Level, spiega, devono attualmente affrontare una “triade di rischi”: c’è la crescita esponenziale dei dati, a cui si contrappone la carenza di analisti qualificati; c’è la velocità degli attacchi AI, eseguiti in pochi secondi, spropositata rispetto ai tempi di reazione dei team umani, che impiegano ore; e c’è la complessità delle minacce, che dilagano su una superficie di attacco in espansione su cloud, infrastrutture OT (operational technology), IoT (Internet of Things) e ambienti remoti.
«Questo è il motivo per cui il settore sta passando dal SOC “aumentato” al SOC autonomo. Per sopravvivere, l’intelligenza artificiale deve guidare il rilevamento, l’indagine e la risposta, consentendo agli esseri umani di supervisionare la strategia piuttosto che “spegnere gli incendi”. ClearSkies è stata progettata specificamente per facilitare questa transizione» chiarisce Antoniades.
AI come motore centrale, con cervello e mani operative
ClearSkies definisce la propria piattaforma come “Centric AI” (AI centrica). Questa connotazione, precisa il CTO, la differenzia rispetto alle soluzioni che vengono integrate con “add-on AI standard”, ovvero componenti AI accessori. «Molti fornitori aggiungono l’intelligenza artificiale ai sistemi legacy. ClearSkies è diversa, è costruita su un’architettura Centric AI. Ciò significa che la AI è il motore principale del funzionamento, non una caratteristica periferica» continua Antoniades.
«La nostra piattaforma mette in sinergia quattro livelli fondamentali: l’analisi comportamentale in tempo reale per il rilevamento di anomalie sottili che aggirano le firme statiche; il training continuo del machine learning, con modelli che apprendono dalla telemetria multistrato in tempo reale; il ragionamento basato su AI generativa, attraverso un motore che comprende la trama, la dinamica di un attacco, fornendo un’analisi paragonabile a quella di un umano; e poi i grafi di intelligenza contestuale, per la correlazione di identità, risorse, e pattern della knowledge base globale MITRE ATT&CK, per avere un quadro completo. Questa sinergia ci permette di ridurre il rumore degli allarmi di oltre l’80% e di attivare risposte in pochi secondi. Trasforma il SOC, da centro di costo reattivo, in unità di difesa proattiva e autonoma».
L’architettura Centric AI è costituita da due componenti software sviluppate interamente dal team ClearSkies. Metaforicamente parlando, esiste un “analyst brain”, la AI generativa, che ragiona sui dati, correla i segnali, elabora report investigativi di alto livello, valuta l’impatto sul business e consiglia la strategia. E ci sono “operator hands”, la AI agentica, in grado di eseguire autonomamente azioni di blocco delle identità, isolamento delle risorse compromesse, applicazione delle policy, aggiornamento delle regole del firewall. «L’elemento umano resta nel processo con il ruolo di supervisione e autorizzazione, ma il lavoro pesante è autonomo» precisa il CTO.
Modello di delivery, tre diverse opzioni
Chi adotta la piattaforma può scegliere tra diverse opzioni, spiega Antoniades: «ClearSkies segue un modello di delivery ibrido del SOC autonomo, indirizzato a rafforzare il nostro ecosistema di canali. Le organizzazioni possono ottenere la licenza della piattaforma ClearSkies per operare in modo indipendente con il proprio team SOC. Esiste poi l’opzione SOC-as-a-Service, fornita dalla nostra rete di partner MSSP certificati, che utilizzano il motore autonomo ClearSkies per gestire tutte le operazioni per il cliente, fornendo una soluzione di sicurezza chiavi in mano. Il Co-Managed SOC è invece una partnership collaborativa, in cui i nostri partner MSSP lavorano a fianco del team interno del cliente. Entrambe le parti operano all’interno della piattaforma ClearSkies, garantendo una visibilità condivisa e una difesa unificata».
AI sovrana: come vengono protetti dati e piattaforma
Altro interrogativo cruciale, nel quadro di regolamenti come NIS2 e DORA, che rendono la sovranità dei dati particolarmente critica per le imprese europee, riguarda come ClearSkies sia in grado di garantire che dati e modello AI restino sicuri e privati, considerando il fatto che l’uso di modelli pubblici espone le organizzazioni a potenziali fughe di informazioni. «La sovranità è la pietra miliare della nostra filosofia di ingegnerizzazione» risponde Antoniades. «Garantiamo la conformità a GDPR, NIS2, DORA e ISO 27001 attraverso un’architettura rigorosamente sovrana. In primo luogo, tutti i dati telemetrici e i registri rimangono nell’ambiente del cliente: cloud, cloud privato, on-prem. Secondariamente, i modelli AI sono privati. Non utilizziamo mai modelli AI pubblici. La nostra AI generativa e agentica opera in ambienti di esecuzione isolati e sicuri controllati dal cliente. Terzo, non ci sono perdite di dati, perché tutta l’elaborazione è locale, non esistendo connessioni esterne per il ragionamento della AI. Quarto, la “spiegabilità” di ogni decisione autonoma è completamente verificabile, in quanto forniamo trasparenza sul motivo per cui è stata intrapresa un’azione, e sulla logica utilizzata» conclude il CTO di ClearSkies.
