“Le perdite previste dal cybercrime arriveranno a 10,5 trilioni di dollari nel 2025. Un “mercato” che vale molto di più del traffico globale di droga”. Tamara Zancan, Direttrice Cybersecurity, Compliance e Identity di Microsoft Italia tratteggia un panorama a tinte fosche sul versante della sicurezza: “parliamo di migliaia di miliardi che sottraggono risorse per innovare ed essere più competitivi”.
I dati presentati da Microsoft fanno impressione. “Raccogliamo dati da migliaia di sorgenti diverse – spiega Sherrod DeGrippo, Director of Threat Intelligence Strategy di Microsoft – che generano 84 trilioni di segnali ogni singolo giorno. Questi segnali provengono da 1,5 miliardi di endpoint scansionati mensilmente, oltre 200 servizi cloud e 400 miliardi di email analizzate ogni giorno”.
Indice degli argomenti
Due organizzazioni di “threat actor”
Questo volume consente di identificare attività sospette. Attualmente Microsoft monitora circa 1.500 “threat actor”, un aumento significativo rispetto ai 300 osservati nel 2023. Tra questi attori ci sono organizzazioni criminali legate a nazioni come ad esempio Russia o Cina oppure gruppi più legati all’estorsione finanziaria. “I primi – continua DeGrippo – si concentrano generalmente su spionaggio, disruption, furto di proprietà intellettuale, disinformazione. Rappresentano i più sofisticati attacker che monitoriamo oggi”. Gli attacchi condotti da queste organizzazioni sono aumentati del 53%.
Un esempio è Star Blizzard, un gruppo russo noto per lo spionaggio in affari internazionali, difesa e ricerca. A gennaio 2025, hanno cambiato le tecniche di spear phishing, puntando sugli account WhatsApp invece delle credenziali email. A differenza del phishing tradizionale, lo spear phishing è personalizzato e indirizzato a un singolo individuo o a un gruppo specifico (es. un dirigente aziendale, un dipendente di un reparto critico, ecc.).
Un’altra minaccia di questo tipo è Silk Typhoon dalla Cina, che punta sui service provider e, conseguentemente, ai loro clienti a valle. Una volta dentro, si muovono lateralmente, scalano sugli accessi privilegiati e fanno exfiltration di dati sensibili.
I secondi attacker sono più legati a motivazioni finanziarie. E qui il ransomware continua a farla da padrone. Se fosse un paese, il suo “PIL” sarebbe il terzo più grande a livello globale, con un incremento del 15% che farebbe impallidire la crescita del PIL cinese. Questo ecosistema da 8 trilioni di dollari è una rete complessa di attori, initial access brokers e affiliati che attuano sforzi coordinati e ben studiati per ottenere accesso a infrastrutture cloud e on-premises.
Le tecniche di attacco stanno diventando anche più veloci. Il tempo medio per un attaccante di accedere ai dati di una persona dopo un clic su un’email di phishing si è ridotto notevolmente a 72 minuti. Gli attacchi alle identità, ad esempio, sono passati da 4.000 a 7.000 al secondo in un anno.
La crescita della Business Emil Compromise
Un’altra minaccia significativa è la Business Email Compromise (BEC), una forma di social engineering creativo in cui l’attore si finge un contatto fidato per indurre la vittima a inviare denaro o per ottenere informazioni sensibili. Questa minaccia è unica perché non richiede malware o credenziali rubate, può essere una semplice email in testo chiaro. A febbraio 2025, Microsoft ha rilevato quasi 4 milioni di email di phishing legate a tattiche BEC. L’FBI la definisce una delle minacce più dannose, con perdite che superano i 50 miliardi di dollari.
“L’AI è ancora in una fase iniziale, ma è solo una questione di tempo prima che gli attackers trovino il modo per sfruttarla su larga scala. Al momento, la stanno utilizzando in un modo analogo al nostro: come uno strumento di produttività per rendere i loro attacchi più efficaci. Ad esempio, migliorando la qualità delle e-mail di phishing, oppure creando deepfake per gli attacchi di social engineering. Sebbene non siano ancora emerse nuove tecniche d’attacco basate esclusivamente sull’AI, ci aspettiamo una crescente fase di sperimentazione da parte dei threat actors nel futuro,” aggiunge DeGrippo.
In un mondo dove gli attaccanti pensano in modalità “a grafo” con movimenti laterali, partendo da un punto debole per attraversare silos separati, la difesa lineare e verticale dei singoli domini (identità, dati, email) non è più sufficiente. “Serve una visibilità completa sull’infrastruttura aziendale commenta Zancan – . L’avvento dell’AI generativa, pur offrendo un potenziale enorme, amplifica ulteriormente questa sfida. L’AI espande la superficie d’attacco e crea nuove vulnerabilità come il jailbreak e il prompt injection”.
L’importanza di classificare i dati
Un aspetto importante in questo scenario è la data protection. Con l’AI generativa, gli utenti possono accedere molto più facilmente alle informazioni. Se queste informazioni non sono adeguatamente protette e classificate, c’è il rischio di accesso a dati sensibili a cui le persone non dovrebbero avere accesso, portando al fenomeno dell’oversharing.
Per affrontare questo, Microsoft enfatizza l’importanza della classificazione delle informazioni. Strumenti come Microsoft Purview possono essere di ausilio per identificare, classificare e proteggere i dati sensibili, anche in ambienti ibridi e multicloud. Purview consente di “etichettare” le informazioni come riservate. Ad esempio, se un utente non ha i permessi per accedere a un documento riservato, Purview glielo impedirà, anche se utilizza Copilot per richiederne informazioni.
Le funzionalità di, Data Loss Prevention (DLP), integrate in Purview, giocano un altro ruolo interessante. La DLP può impedire agli utenti di copiare contenuti classificati come confidenziali e incollarli in strumenti di AI generativa di terze parti, come ChatGPT. Questo blocca un potenziale vettore di fuga dati, specialmente se lo strumento di terze parti può utilizzare quei dati per l’addestramento. Purview aiuta le organizzazioni a “rispondere ai requisiti normativi, ridurre i rischi e mantenere il controllo sulle risorse informative” spiega Zancan.
Shadow AI e governance
La rapida adozione dell’AI generativa nelle aziende introduce sfide di governance significative. Un fenomeno preoccupante è la “Shadow AI“. Secondo dati di Microsoft, il 78% dei lavoratori utilizza regolarmente strumenti di GenAI, spesso senza la supervisione o il coinvolgimento dell’IT. Il che espande notevolmente la superficie d’attacco e crea un enorme rischio di sicurezza.
Microsoft risponde a questo contesto con un concetto di piattaforma integrata. Invece di proteggere i singoli domini separatamente, una piattaforma che include soluzioni interconnesse (come Microsoft Defender, Sentinel, Intune, Purview) offre una visibilità completa e sfrutta le potenzialità dell’intelligenza artificiale per la difesa. Queste soluzioni sono alimentate dalla stessa Global Threat Intelligence costituita da 84 trilioni di segnali menzionati all’inizio dell’articolo.
Per aiutare i team di sicurezza a navigare questa complessità e a rispondere più rapidamente, Microsoft ha introdotto Security Copilot. Questa soluzione è progettata per “aiutare i professionisti della cyber security ad essere più efficaci nel proprio lavoro“. Aiuta a “rilevare molto più velocemente quelle che sono le minacce, a capire che cosa sta succedendo, a individuare le vulnerabilità e a rispondere anche qui in modo più veloce”. I primi riscontri indicano che i clienti stanno “riducendo i tempi di risoluzione degli incidenti del 30%”. Security Copilot fornisce insight strategici, suggerisce azioni e automatizza processi di rilevamento e risposta agli incidenti.
L’evoluzione di Security Copilot include gli Security Copilot Agents, agenti AI specializzati che automatizzano attività come la gestione delle vulnerabilità e il monitoraggio delle infrastrutture. Questi agenti, integrati in piattaforme come Microsoft Defender e Sentinel, combinano il linguaggio naturale con capacità di automazione per supportare la classificazione degli incidenti e l’implementazione di policy.
Strumenti come Data Security Posture Management for AI offrono dashboard e report per capire come vengono utilizzati gli strumenti AI, quali dati vengono usati nei prompt e identificare i rischi. Questo approccio offre i “controlli granulari, visibilità operativa e protezione contro minacce emergenti come il prompt injection”.
La Secure Future Initiative e l’impegno nella formazione
Come noto, uno dei principali problemi (se non il principale) quando si parla di sicurezza IT riguarda la formazione e sensibilizzazione degli utenti interni. In questo senso, Microsoft ha lanciato nel novembre 2023 la Secure Future Initiative (SFI), un progetto non solo tecnologico ma soprattutto di profonda trasformazione culturale. L’obiettivo è rafforzare la sicurezza dei prodotti e servizi Microsoft con il coinvolgimento di oltre 34.000 ingegneri dedicati.
La SFI si basa su tre principi fondamentali:
- Secure by Design: integrare la sicurezza fin dalla progettazione dei prodotti e servizi. La sicurezza è al centro di tutto, prima ancora dello sviluppo.
- Secure by Default: le impostazioni di sicurezza predefinite devono essere già configurate e implementate automaticamente quando i clienti adottano i prodotti, non opzionali. Windows 11 Pro, ad esempio, ha funzionalità di sicurezza abilitate di default.
- Secure Operations: la gestione delle operazioni e della sicurezza deve essere essa stessa sicura.
L’iniziativa ha già mostrato progressi tangibili. Tra aprile 2024 e aprile 2025, Microsoft ha bloccato oltre 4 miliardi di dollari in frodi e respinto in media 1,6 milioni di tentativi di login automatica da bot ogni ora. Nell’aprile 2025, un report sui progressi della SFI ha indicato l’eliminazione di oltre 6,3 milioni di tenant inattivi per ridurre la superficie d’attacco e l’inventario del 99% degli asset fisici per mitigare i rischi di rete.
L’impegno si estende a ogni dipendente. Le stesse metriche di valutazione delle performance dei dipendenti (inclusi anche i top manager), tengono conto delle attività legate alla sicurezza. “Con la Secure Future Initiative, Microsoft sta dando una risposta concreta alle sfide sempre più complesse della sicurezza informatica. La nostra missione è integrare la protezione fin dalla progettazione dei nostri prodotti, garantendo soluzioni avanzate che coprono ogni livello dell’ecosistema digitale. La sicurezza non è più una scelta, è un imperativo strategico, e con SFI stiamo facendo un passo decisivo verso un futuro digitale sicuro e resiliente, supportato da una governance proattiva e tecnologie innovative”, chiosa Zancan.
Questa visione Microsoft si traduce concretamente in una strategia di sicurezza “dal chip al cloud”. Dalla protezione hardware (come il processore di sicurezza Pluton integrato nei nuovi Surface Copilot+ PC), attraverso il sistema operativo (Windows 11 Pro con sicurezza di default) e la gestione degli endpoint (Microsoft Intune), fino alle soluzioni cloud (Windows 365 per PC sicuri nel cloud) e la protezione dei dati e dell’AI (Purview, Copilot).
