L’intelligenza artificiale è ormai una componente centrale nelle strategie di cybersecurity. In Italia, il 100% delle aziende che prevede di creare o potenziare un Security Operations Center (SOC) intende integrare soluzioni basate sull’AI, di cui il 63% dichiara che probabilmente lo farà e il 37% che lo farà con certezza. Tuttavia, i dati mostrano come l’automazione, se non supportata da competenze e processi maturi, non sia sufficiente ad affrontare un panorama di minacce sempre più sofisticato.
Secondo le ricerche di Kaspersky, le aziende si aspettano dall’intelligenza artificiale nei SOC principalmente un miglioramento del rilevamento delle minacce attraverso l’analisi automatizzata dei dati (46%), l’automazione della risposta agli incidenti (40%) e una riduzione dei falsi positivi (37%). A fronte di queste aspettative, emergono però ostacoli rilevanti: costi elevati di integrazione delle soluzioni AI (35%), mancanza di dati di qualità per l’addestramento dei modelli (24%) e carenza di competenze specialistiche in ambito AI e cybersecurity.
“L’automazione è oggi indispensabile per gestire volumi di dati che nessun team potrebbe analizzare manualmente, ma non può essere considerata una soluzione autonoma”, commenta Fabio Sammartino, Head of Pre-Sales di Kaspersky. “Automatizzare un SOC senza processi solidi e competenze adeguate rischia di amplificare l’alert fatigue e far perdere di vista quei segnali deboli che spesso anticipano gli attacchi più gravi”.
La complessità delle minacce rappresenta uno dei principali limiti dell’automazione. Secondo le analisi Kaspersky, il 75% degli attacchi più critici è attribuibile a gruppi APT, spesso caratterizzati da attività hands-on-keyboard, in cui l’attaccante opera manualmente utilizzando strumenti legittimi già presenti nelle infrastrutture aziendali. Questo tipo di tecniche rende meno efficaci gli approcci basati esclusivamente su automazione, firme statiche e rilevamento del malware tradizionale.
A questa complessità si aggiunge un problema operativo sempre più diffuso: l’alert fatigue. Le aziende italiane utilizzano in media tra 3 e 5 tecnologie di sicurezza diverse all’interno del SOC. Tra le soluzioni più adottate figurano le piattaforme di Threat Intelligence (48%), le soluzioni di Endpoint Detection and Response – EDR (40%), le piattaforme Extended Detection and Response – XDR (43%) e i sistemi SIEM (31%). La sovrapposizione di strumenti e alert rende sempre più difficile distinguere gli eventi realmente critici, rallentando le capacità di risposta.
“Il problema oggi non è quante tecnologie vengono adottate, ma quanto efficacemente vengono integrate”, prosegue Sammartino. “Senza una visione d’insieme e senza persone in grado di contestualizzare i dati, il rischio è aumentare il rumore invece della sicurezza”.
In questo contesto, il ruolo del SOC sta cambiando profondamente. Non è più una semplice funzione IT, ma una capacità strategica per garantire continuità operativa, resilienza e conformità normativa, anche in risposta a requisiti come la direttiva NIS2. I dati mostrano che il 67% delle aziende italiane ha già deciso di esternalizzare almeno una parte del SOC, mentre solo l’11% prevede di costruirne uno interamente in-house. La scelta di modelli ibridi o SOC-as-a-Service è legata soprattutto alla necessità di accedere a competenze avanzate e garantire monitoraggio continuo 24/7, indicato come priorità dal 39% delle aziende.
Il fattore economico, pur rilevante, non è il principale driver. Il 70% delle aziende italiane prevede infatti investimenti intorno agli 850 mila euro per la creazione del proprio SOC, una cifra che rende complesso sostenere internamente strutture complete e altamente specializzate. Non sorprende quindi che le attività più frequentemente esternalizzate riguardino l’implementazione delle soluzioni (45%), la progettazione del SOC (43%) e le attività operative di primo e secondo livello, mentre la governance strategica rimane prevalentemente interna.
“Il futuro dei SOC non è una contrapposizione tra intelligenza artificiale e competenze umane”, conclude Sammartino. “È un modello in cui l’AI supporta gli analisti, la threat intelligence fornisce il contesto corretto e i processi permettono di trasformare i dati in azioni rapide e mirate”.
In uno scenario caratterizzato da minacce sempre più sofisticate, skill shortage e budget sotto controllo, i dati confermano che automatizzare non basta. Per rendere l’intelligenza artificiale realmente efficace nei SOC, le aziende devono inserirla in una strategia più ampia, che integri tecnologie avanzate, competenze specialistiche e processi maturi lungo l’intero ciclo di gestione degli incidenti.
