Nel primo trimestre 2026, il 68% delle violazioni di sicurezza rilevate nelle aziende europee ha coinvolto tecniche di attacco potenziate da intelligenza artificiale. Il dato emerge dall'ultimo report ENISA e segna un punto di svolta: la cybersecurity non è più una partita tra umani con strumenti diversi, ma tra sistemi intelligenti che imparano in tempo reale. In Italia, il costo medio di un data breach è salito a 4,3 milioni di euro, con un incremento del 23% rispetto al 2024. La ragione? Gli attaccanti usano LLM per generare phishing indistinguibile da comunicazioni autentiche, per scoprire zero-day in poche ore e per adattare malware in modo dinamico alle difese che incontrano. Il caso Intesa Sanpaolo di febbraio è emblematico: un tentativo di intrusione ha sfruttato prompt injection contro i sistemi di rilevamento anomalie basati su GPT-4, aggirando algoritmi che fino a quel momento avevano bloccato il 99,7% delle minacce tradizionali.

La risposta delle enterprise non può più essere incrementale. Aziende come Leonardo e Poste Italiane hanno avviato programmi di red teaming AI-powered: team interni che usano gli stessi strumenti degli attaccanti per testare le difese prima che lo faccia qualcun altro. Il mercato europeo delle soluzioni di cybersecurity basate su AI raggiungerà 8,2 miliardi di euro entro fine anno, ma il vero gap è culturale. Il 73% dei CISO intervistati da Gartner ammette di non avere competenze interne sufficienti per valutare la robustezza di sistemi di difesa AI-native. Servono team ibridi: data scientist che capiscono i vettori di attacco, security engineer che sanno addestrare modelli, risk manager che traducono vulnerabilità tecniche in esposizione di business.

Il paradosso è che le stesse tecnologie che amplificano le minacce offrono le difese più efficaci. I sistemi di Cyber Deception AI creano honeypot dinamici che si adattano al comportamento dell'attaccante, rallentandolo e raccogliendo intelligence. Gli endpoint protection basati su reinforcement learning imparano da ogni tentativo di compromissione, anche quelli mai visti prima. Ma implementarli richiede architetture zero-trust end-to-end e una revisione completa dei processi di incident response. Non basta comprare la soluzione migliore: serve integrarla in un ecosistema che genera dati di qualità, mantiene modelli aggiornati e tollera un tasso di falsi positivi gestibile operativamente.

Chi oggi tratta la cybersecurity AI come un progetto IT sta commettendo un errore strategico. È una capacità di business continuativa, che richiede investimento costante, talento specializzato e governance chiara su come i modelli prendono decisioni critiche. Le aziende italiane che vinceranno questa guerra silenziosa sono quelle che hanno già capito una cosa: l'intelligenza artificiale non è il problema né la soluzione. È il nuovo campo di battaglia, e serve imparare a combattere lì.