I criminali informatici potenziati dall'intelligenza artificiale stanno portando gli attacchi ransomware a un livello inedito di distruttività: non più semplice cifratura di file, ma eliminazione sistematica di macchine virtuali e hypervisor, con infrastrutture aziendali ridotte a uno stato "buio e morto". È quanto emerge dalle dichiarazioni di Brian Brockway, Chief Technology Officer di Commvault, multinazionale statunitense specializzata nella protezione e gestione dei dati, rilasciate a The Register.
Il cambiamento qualitativo degli attacchi ha implicazioni dirette sui costi di ripristino per le imprese. Ricostruire un intero data center da zero — dalla bare metal fino al rideploy completo delle applicazioni — richiede da alcuni giorni a settimane, anche in ambienti ben organizzati. Il tempo di inattività si traduce direttamente in perdite di fatturato, interruzione di servizi critici e danni reputazionali difficilmente quantificabili nel breve periodo.
Al centro della trasformazione del panorama delle minacce ci sono i modelli di intelligenza artificiale di frontiera. Commvault cita una ricerca di Palo Alto Networks secondo cui modelli come Mythos e GPT-5.5-Cyber hanno identificato in fase di test oltre sette volte il numero tipico di vulnerabilità software rilevate in un singolo mese. Parallelamente, il tempo tra la divulgazione di una falla e il suo sfruttamento attivo si è ridotto da settimane a pochi minuti.
Questa accelerazione crea un problema strutturale per i team di ingegneria. Brockway ha dichiarato che un singolo modello di AI ha segnalato circa 10.000 vulnerabilità critiche su sistemi operativi, browser e infrastrutture. Ogni vulnerabilità richiede una patch, e il volume complessivo di lavoro non pianificato sottrae risorse agli sviluppi programmati, ritardando i rilasci e disequilibrando i piani di sprint. Per gestire il flusso, Commvault mantiene un gruppo dedicato esclusivamente all'analisi rapida e alla remediation.
Sul fronte difensivo, la posizione di Brockway è netta: i backup tradizionali non sono più sufficienti. La vera domanda non è se i dati siano stati salvati, ma se i sistemi critici possano essere ripristinati in modo pulito, in ambienti isolati da quelli di produzione compromessi. Il concetto di air-gap e clean room — copie immutabili dei dati separate dalla rete di produzione, da testare regolarmente in ambienti replicati — diventa la nuova linea minima di difesa.
La raccomandazione operativa è quella di definire preventivamente la gerarchia di ripristino: prima i sistemi identitari, poi i sistemi di fatturazione, i database operativi e i servizi cloud. Con l'integrazione dell'AI nelle operation aziendali, questa lista si sta allungando: pipeline di dati, repository di modelli, database vettoriali e flussi agentici entrano nelle dipendenze critiche che un piano di disaster recovery deve includere.
L'aspetto più sottile della riflessione di Brockway riguarda il rischio da saturazione cognitiva: quando il volume di alert supera la capacità di elaborazione umana, i team si desensibilizzano, e proprio lì si aprono le finestre di vulnerabilità più pericolose. La risposta non può essere solo più personale, ma richiede automazione e ulteriore AI per filtrare il rumore e assistere nelle operazioni di patching. Si configura così una corsa agli armamenti in cui le stesse tecnologie offensive e difensive convergono, ponendo interrogativi aperti sulla sostenibilità di questo equilibrio per le medie imprese — che non dispongono delle risorse delle grandi multinazionali per tenere il passo.