Virus con caffeina: l'ascesa del malware ad autoapprendimento

Illustrazione di un hacker con il progetto di un circuito malware (fonte: concept art generata dall'AI)

I virus informatici hanno fatto molta strada dagli scherzi su floppy-disk all'odierno crimine informatico assistito dall'AI. Gli anni 2020 hanno trasformato il malware in un'industria professionale, con cartelli di ransomware, phishing guidato dall'AI e persino progetti di ricerca mascherati da minacce reali. A partire dal settembre 2025, la lotta non è più su chi scrive lo script più cattivo, ma su chi addestra l'algoritmo più intelligente, e i risultati sono affascinanti e spaventosi.

Jonathan Bester, 👁 Jonathan Bester (traduzione a cura di Ninh Duy), Pubblicato 09/28/2025 🇺🇸 🇪🇸 ...

AI Cyberlaw Security

Dai floppy disk ai disastri della casella di posta elettronica

Negli anni '80, Elk Cloner si diffuse tramite floppy disk e ricompensò le sue vittime con una poesia. Era più uno scherzo che un'arma informatica; ma dimostrò chiaramente una cosa: il codice poteva diffondersi come un raffreddore digitale. Negli anni '90, il divertimento era finito. I virus del settore di avvio come Michelangelo prendevano il controllo prima ancora che il sistema operativo venisse caricato, e i virus macro trasformavano Microsoft Office in un parco giochi per gli hacker.

Il worm ILOVEYOU del 2000 ne fu la brutta prova. Milioni di persone hanno aperto quella che sembrava un'e-mail romantica e invece ha scatenato un caos che è costato miliardi. Un duro promemoria del fatto che le lettere d'amore e le caselle di posta elettronica raramente vanno d'accordo.

Autorun, USB e l'incubo XP

Tra il caos delle e-mail e il malware AI di oggi, c'è stato un altro capitolo difficile. Windows 2000 e XP venivano forniti con l'autorun abilitato per impostazione predefinita, il che significava che i virus potevano lanciarsi automaticamente da dischetti, CD e, più tardi, unità USB. Una volta che le pen drive sono diventate di uso comune, le infezioni si sono diffuse a macchia d'olio dai PC di casa alle reti degli uffici. Conficker è diventato uno dei worm più noti di quest'epoca, sfruttando sia le falle della rete che i supporti rimovibili.

Arrivano i mutaforma

Quando il software antivirus è diventato più intelligente, il malware ha imparato a mutare forma. Il codice polimorfico si rimescola in nuove forme ogni volta che si diffonde; il malware metamorfico si riscrive completamente. Il famigerato Storm Worm ha dimostrato come questo trucco funzionasse nel mondo reale, gestendo una rete di bot di milioni di persone e cambiando costantemente costume.

Le società di sicurezza lo inseguivano come un brutto cartone animato; ogni volta che si chiudevano, il worm indossava già una nuova maschera.

Virus luminoso astratto che si diffonde attraverso i circuiti digitali (Fonte immagine: concept art generata dall'AI)

L'AI prende il volante

Arriviamo a oggi e il malware ha un nuovo aggiornamento: l'intelligenza artificiale. Il proof-of-concept DeepLocker di IBM del 2018 ha mostrato come il malware possa rimanere inattivo fino a quando non riconosce un volto specifico. Inquietante? Assolutamente sì. Intelligente? Purtroppo sì.

L'apprendimento automatico automatizza anche il lavoro. Invece degli hacker che modificano il codice a mano, l'AI può testare migliaia di varianti contro i motori antivirus in pochi minuti, fino a quando una non riesce a passare. Si tratta di malware con la pazienza di un santo e l'etica lavorativa di uno stagista con caffeina.

Avvistamenti nel mondo reale nel 2025

Quest'anno, le cose si sono complicate. A metà del 2025, l'azienda di sicurezza ESET ha annunciato la scoperta di PromptLock, definendolo il primo ransomware AI al mondo. Questo ha fatto scalpore, fino a quando i ricercatori hanno rivelato che si trattava in realtà di un progetto accademico della New York University; un proof-of-concept controllato, non un ceppo criminale attivo. Un buon promemoria per ricordare che l'hype si diffonde quasi con la stessa velocità del malware.

Nel frattempo, i criminali informatici sono impegnati a utilizzare l'AI generativa per attacchi più radicati. Le voci deepfake stanno ingannando i dipendenti per indurli a trasferire denaro, e le e-mail di phishing sembrano ora scritte dall'ufficio legale dell'azienda. Darktrace ha anche riportato segnali di aggressori che utilizzano l'apprendimento per rinforzo per adattare le loro mosse in tempo reale, come un giocatore di scacchi che non smette mai di studiare le aperture.

L'incubo di un worm completamente autonomo e autoapprendente non è ancora arrivato, ma le basi sono state gettate.

I ricercatori analizzano il codice su due monitor (Fonte: Flipsnack / Unsplash)

Perché i vecchi strumenti falliscono

L'antivirus tradizionale funziona come il buttafuori di un nightclub con una cartellina; controlla i piantagrane conosciuti e li butta fuori. Il malware AI non si preoccupa di falsificare i documenti di identità; si trasforma fino a sembrare il migliore amico del manager. Il rilevamento delle firme fallisce, il monitoraggio comportamentale arranca e il divario si allarga ogni anno.

I difensori ora si affidano a strati: euristica, rilevamento delle anomalie, monitoraggio degli endpoint e riconoscimento dei modelli dell'AI. La parte sleale è ovvia; i difensori devono coprire ogni possibile ingresso, mentre gli aggressori hanno bisogno di una sola finestra aperta.

Scudo di cybersicurezza che difende dalle minacce digitali (Fonte: concept art generata dall'AI)

L'AI combatte

Per fortuna, i difensori hanno i loro algoritmi. Microsoft e Google utilizzano l'AI per monitorare miliardi di segnali ogni giorno, mentre aziende come Darktrace promuovono "sistemi immunitari digitali" che apprendono il comportamento normale e agiscono quando qualcosa si discosta. Pensate alla cybersecurity con un sistema immunitario invece di una cartellina.

Questi sistemi sono progettati per individuare l'inusuale, un login dal fuso orario sbagliato, un file che si muove in modo strano, e rispondere all'istante. Niente pause caffè, niente riunioni, niente "rivediamo la questione lunedì"

Il decennio successivo

Il 2030 si preannuncia come una corsa agli armamenti dell'AI. Aspettatevi un ransomware che negozia i riscatti in modo dinamico, worm che aspettano settimane prima di esplodere e email di phishing così convincenti da mettere in discussione il vostro dipartimento HR. Sul lato difensivo, l'AI sorveglierà silenziosamente le reti, lasciando che gli analisti umani si concentrino sulla strategia piuttosto che inseguire migliaia di falsi allarmi.

Gli autori di malware stanno anche sondando nuove piattaforme. Cominciano a comparire virus che prendono di mira le CPU ARM, in particolare i Mac in silicio Apple, e alcuni criminali hanno persino sperimentato la possibilità di nascondere i rubacri di criptovalute all'interno dei giochi gratuiti di Steam. È la prova che l'innovazione è viva e vegeta da entrambi i lati della barricata - anche se in questo caso si tratta di un'innovazione che nessuno ha chiesto.

La scomoda verità è che nella cybersecurity, gli aggressori devono vincere una sola volta; i difensori devono vincere ogni singola volta. Il futuro non sarà scritto in codice pulito o in script rozzi; sarà addestrato in algoritmi, ognuno dei quali cercherà di superare in astuzia l'altro. Scommetta con saggezza.