Human-in-the-Loop Security: il paradigma che ridefinisce l’equilibrio tra intelligenza artificiale e competenza umana

Human-in-the-Loop Security rappresenta oggi il paradigma emergente che sta ridefinendo l’approccio alla difesa cibernetica nelle organizzazioni moderne. Mentre l’industria della sicurezza informatica ha inseguito per anni il miraggio dell’automazione totale – sistemi capaci di rilevare, analizzare e rispondere alle minacce senza intervento umano – la realtà operativa dei Security Operations Center ha rivelato una verità scomoda: più i nostri sistemi diventano “intelligenti”, più diventa critico il ruolo dell’essere umano. Non si tratta di un fallimento dell’automazione, ma di una consapevolezza matura: la sicurezza efficace non nasce dall’eliminare il fattore umano dall’equazione, bensì dall’integrarlo strategicamente nei processi automatizzati, creando una simbiosi dove intelligenza artificiale e competenza umana si potenziano reciprocamente. In un contesto dove l’Italia si trova tra i paesi europei più colpiti da attacchi informatici sempre più sofisticati, e dove la convergenza tra IT e OT ha moltiplicato le superfici di attacco negli ambienti industriali, questo approccio ibrido non è più un’opzione ma una necessità strategica per garantire resilienza e continuità operativa.

L’illusione dell’automazione totale nella sicurezza informatica

Esiste una contraddizione apparente nella sicurezza informatica contemporanea che merita attenzione: più i sistemi di detection e response diventano automatizzati e basati su intelligenza artificiale, più diventa critico il ruolo dell’operatore umano nel processo decisionale. Questa non è una debolezza dell’automazione, ma una verità che emerge dall’esperienza operativa dei Security Operations Center moderni nel contesto italiano.

Gli analisti SOC si confrontano quotidianamente con volumi elevati di alert generati da sistemi sempre più sofisticati, dovendo prendere decisioni critiche in finestre temporali ristrette. L’automazione, progettata per liberare risorse umane da compiti ripetitivi, può trasformarli in supervisori sovraccarichi di sistemi complessi, generando quello che nella ricerca sui fattori umani viene definito automation surprise – un fenomeno ampiamente studiato nell’aviazione dove i piloti sperimentano situazioni in cui l’automazione si comporta in modi inattesi o non compresi.

Human-in-the-Loop Security: sintesi tra intelligenza umana e artificiale

Il paradigma Human-in-the-Loop (HITL) in cybersecurity si fonda sull’integrazione dell’expertise umana nei processi automatizzati per migliorare detection, response accuracy e decision-making. Non si tratta di scegliere tra automazione completa o controllo manuale, ma di progettare ecosistemi dove l’intelligenza artificiale e quella umana creano risultati superiori attraverso la collaborazione, combinando la potenza computazionale dell’AI con l’intuizione umana, il pensiero critico e la comprensione contestuale.

L’urgenza del modello HITL negli ambienti IT/OT

La convergenza tra tecnologia informatica e tecnologia operativa (IT/OT) ha creato nuove sfide di sicurezza, connettendo sistemi industriali precedentemente isolati alle reti aziendali e aumentando esponenzialmente la superficie di attacco. Nel 2024, gli incidenti ransomware contro organizzazioni industriali sono aumentati dell’87% rispetto all’anno precedente, con il settore manifatturiero che rappresenta il 69% degli attacchi.

L’80% delle aziende manifatturiere ha registrato un incremento di incidenti di cybersecurity nel 2024, mentre solo il 45% ritiene di avere protezioni adeguate. In contesti dove un’azione automatica di remediation potrebbe avere conseguenze fisiche immediate sulla produzione o sulla safety, il modello HITL diventa essenziale: serve una sintesi che consideri contesto operativo, criticità dei processi e natura della minaccia in tempo reale.

L’Italia si trova in una posizione particolarmente vulnerabile nel panorama europeo, con attacchi che hanno colpito infrastrutture critiche e sistemi industriali, rendendo l’adozione di approcci Human-in-the-Loop non solo auspicabile ma necessaria per garantire la resilienza operativa.

Formazione adattiva e sviluppo continuo delle competenze

Dalle certificazioni tradizionali al continuous learning

La formazione tradizionale in cybersecurity – corsi strutturati, certificazioni periodiche – risulta sempre meno efficace rispetto alla velocità di evoluzione delle minacce. Le piattaforme moderne di training per SOC analyst integrano elementi di adaptive learning e personalizzazione, utilizzando simulazioni realistiche e ambienti di cyber range per sviluppare competenze pratiche.

Piattaforme come RangeForce implementano training orchestration con assistenti virtuali che guidano gli utenti attraverso moduli progressivi, adattando il percorso formativo. I programmi professionali come SEC450 e la certificazione C|SA coprono detection, SIEM deployment con centinaia di use case, threat hunting e incident response, integrando laboratori hands-on con tecnologie reali come Splunk, YARA e Sigma.

Il ruolo del micro-learning contestuale

L’evoluzione verso sistemi di apprendimento integrati nell’operatività quotidiana rappresenta la frontiera della formazione SOC. Anziché corsi isolati, emerge il concetto di micro-learning contestuale: brevi moduli formativi presentati agli analisti in momenti specifici, basati su gap di competenza identificati durante l’attività operativa reale.

Questo approccio si allinea con le tendenze europee nella formazione cybersecurity, dove l’enfasi si sposta da certificazioni statiche a processi di continuous learning che accompagnano l’evoluzione del panorama delle minacce. Il cyber skills gap ha registrato un incremento dell’8% nel 2024, con carenze moderate o critiche in due terzi delle organizzazioni, rendendo essenziali nuovi modelli formativi.

Apprendimento bidirezionale: quando i sistemi imparano dagli esperti

Un aspetto spesso trascurato del modello Human-in-the-Loop è la capacità dei sistemi di apprendere dalle decisioni degli operatori esperti. Quando un analista senior effettua un override di una raccomandazione automatica e la sua decisione si rivela corretta, questo non dovrebbe essere registrato come semplice statistica, ma analizzato per comprendere quali elementi di contesto l’algoritmo ha mancato.

Gli esperti umani possiedono quella che potremmo definire “intelligenza contestuale” – la capacità di integrare informazioni formali e informali, di riconoscere pattern anomali rispetto alla “normalità” specifica di quell’organizzazione, di valutare rischi in modo olistico considerando fattori politici, reputazionali e strategici che nessun algoritmo può codificare completamente.

Feedback loop: costruire fiducia attraverso la trasparenza

La fiducia rappresenta un elemento fondamentale nell’adozione di sistemi automatizzati. Senza fiducia degli operatori, anche il sistema più sofisticato rimane sottoutilizzato. La maggior parte delle soluzioni di security automation opera come black box, fornendo raccomandazioni con spiegazioni minime o incomprensibili.

Explainable AI e transparent decision-making

I feedback loop efficaci in ambito Human-in-the-Loop Security devono operare su livelli multipli. I sistemi AI-driven di incident response dovrebbero fornire insights basati sui dati e azioni suggerite derivanti da analisi approfondite dell’ambiente di minaccia e degli incidenti passati. Ogni decisione automatica richiede una spiegazione comprensibile del ragionamento sottostante: non dump di log tecnici, ma narrative che un analista può validare mentalmente.

Il feedback deve fluire bidirezionalmente: quando un operatore decide di non seguire una raccomandazione, il sistema dovrebbe facilitare la documentazione del ragionamento, creando un corpus di conoscenza che può rivelare pattern sistematici dove il modello automatico risulta meno accurato del giudizio umano. In alcuni casi, questo potrebbe portare al tuning degli algoritmi. In altri, potrebbe rivelare che certi contesti richiedono sempre supervisione umana perché coinvolgono elementi che sfuggono alla formalizzazione algoritmica.

Threat hunting e intuizione operativa

Nel threat hunting, i sistemi automatici eccellono nell’identificare deviazioni statistiche e pattern noti, ma le investigazioni più efficaci nascono spesso da intuizioni umane basate su threat intelligence frammentaria, conoscenza del business o esperienza accumulata. Un approccio HITL maturo permetterebbe agli analisti di formulare ipotesi investigative, supportandoli con strumenti AI-powered che amplificano la capacità di esplorazione, catturando gli outcome per addestrare modelli capaci di suggerire hunt simili in contesti analoghi.

Questo paradigma trova riscontro nelle pratiche di threat hunting avanzate utilizzate dai team di difesa cibernetica, dove la combinazione di intuizione umana e capacità computazionale dell’AI produce risultati superiori rispetto all’uso isolato di ciascuna componente.

Decision support AI: augmentation non replacement

Esiste una differenza sostanziale tra AI che sostituisce il decisore umano e AI che lo supporta attraverso insights azionabili. Nel secondo caso, l’intelligenza artificiale funziona come consulente esperto che presenta opzioni, evidenzia rischi e suggerisce conseguenze, mantenendo la decisione finale nell’ambito dell’operatore.

Incident response in ambienti critici

Consideriamo uno scenario di ransomware che colpisce sistemi ICS (Industrial Control Systems) in uno stabilimento produttivo. Un sistema completamente automatico potrebbe decidere di isolare immediatamente i sistemi compromessi, interrompendo processi produttivi critici e potenzialmente creando situazioni di safety hazard. Un operatore senza supporto decisionale potrebbe impiegare tempo eccessivo per valutare la situazione, permettendo la propagazione laterale.

Un sistema di Decision Support AI presenterebbe all’operatore un situation assessment in tempo reale: estensione dell’infezione, sistemi ancora integri, possibili vettori di propagazione, impatto stimato di diverse strategie di containment, rischi safety associati a ciascuna opzione. L’AI potrebbe simulare scenari di propagazione basandosi sulla topologia di rete e sulle vulnerabilità note, fornendo proiezioni temporali con e senza intervento.

Beyond pattern recognition: context understanding

Questo tipo di supporto decisionale richiede modelli AI diversi da quelli tipicamente utilizzati per detection o classification. Serve reasoning sotto incertezza, capacità di spiegare il proprio ragionamento in termini comprensibili, e soprattutto la capacità di integrare constraint complessi che derivano da policy aziendali, requisiti normativi, limitazioni tecniche e obiettivi di business. In altre parole, serve un’AI che comprenda il contesto organizzativo, non solo quello tecnico.

La CISA ha sviluppato use case specifici per l’utilizzo di AI nel supporto decisionale per la cybersecurity delle infrastrutture critiche, utilizzando machine learning non supervisionato per identificare trend, pattern e anomalie nei dati di rete, con analisti umani che utilizzano dashboard interattive per accedere agli output del processo AI e identificare informazioni per potenziali alert di sicurezza.

Le sfide dell’implementazione: cultura prima di tecnologia (H2)

Superare la dicotomia IT-OT: competenze e collaborazione

Progettare sistemi Human-in-the-Loop Security efficaci non è principalmente una sfida tecnologica, ma culturale e organizzativa. Richiede che le organizzazioni abbandonino l’illusione del controllo totale attraverso l’automazione e accettino l’incertezza intrinseca della sicurezza come disciplina.

La convergenza IT/OT crea barriere significative: mentre l’IT prioritizza agilità, scalabilità e sicurezza dei dati, l’OT si concentra su stabilità, affidabilità e safety fisica. I sistemi OT legacy, spesso con cicli di vita superiori a 20 anni, mancano di compatibilità con strumenti IT moderni, rendendo l’integrazione complessa.

Richiede investimenti in user experience design per sistemi di sicurezza, una competenza che l’industria ha storicamente ignorato in favore di feature list sempre più lunghe. Richiede anche di ripensare le metriche di successo: un sistema automatico viene spesso valutato su precision e recall, ma un sistema Human-in-the-Loop dovrebbe essere valutato sulla qualità delle decisioni finali prese dall’operatore supportato dall’AI, sulla riduzione del cognitive load, sulla velocità di skill acquisition dei nuovi analisti, sul livello di fiducia e adoption da parte del team.

Governance e accountability nel modello ibrido

C’è poi la questione della governance: chi è responsabile quando una decisione presa da un operatore supportato da AI si rivela errata? I framework di accountability attuali faticano ad adattarsi a questa realtà ibrida. Serve chiarezza su ruoli, responsabilità e limiti dell’automazione, codificata non solo in policy ma anche nell’architettura stessa dei sistemi.

Il quadro normativo europeo sulla cybersecurity nel 2025 sta evolvendo per affrontare queste sfide, con l’introduzione dello schema EUCC (European Common Criteria-based Cybersecurity Certification) e il Cyber Resilience Act che stabiliscono requisiti per la certificazione e la resilienza dei sistemi, inclusi quelli che integrano componenti AI.

Metriche di successo per sistemi Human-in-the-Loop

Le metriche tradizionali di sicurezza – tempo di rilevamento (Mean Time to Detect, MTTD), tempo di risposta (Mean Time to Respond, MTTR), tasso di falsi positivi – devono essere integrate con indicatori specifici per sistemi HITL:

• Trust score: livello di fiducia degli operatori nelle raccomandazioni del sistema
• Override rate analysis: frequenza e pattern degli override umani delle decisioni automatiche
• Decision quality metrics: accuratezza delle decisioni finali (umano + AI) vs. decisioni puramente automatiche
• Skill development velocity: velocità di acquisizione competenze da parte di nuovi analisti
• Cognitive load reduction: riduzione del carico cognitivo percepito dagli operatori
• Collaboration effectiveness: qualità dell’interazione umano-AI misurata attraverso outcome operativi

Verso una sicurezza veramente cognitiva

Il futuro del Security Operations Center

L’evoluzione verso Human-in-the-Loop Security rappresenta la maturazione della cybersecurity come disciplina ingegneristica. Stiamo passando da un approccio che vede l’essere umano come il problema da eliminare, a uno che riconosce l’intelligenza umana come componente insostituibile di sistemi complessi che operano in ambienti imprevedibili e ostili.

I sistemi di sicurezza del futuro non saranno né completamente automatici né completamente manuali, ma ecosistemi adattivi dove AI e intelligenza umana si complementano, imparano l’una dall’altra, e creano insieme una capacità difensiva superiore a quella che ciascuna potrebbe ottenere in isolamento.

Implicazioni strategiche per CISO e responsabili della sicurezza

Per i CISO e i responsabili della sicurezza, il messaggio è chiaro: la prossima generazione di investimenti in sicurezza non dovrebbe concentrarsi su sistemi che “eliminano il fattore umano”, ma su sistemi che lo potenziano, lo supportano e ne amplificano le capacità.

Questo richiede:

1. Umiltà tecnologica: riconoscere i limiti dell’automazione e accettare che alcuni contesti richiederanno sempre supervisione umana
2. Ambizione organizzativa: investire in persone, processi e cultura oltre che in tecnologia;
3. Approccio olistico: considerare formazione, user experience, governance e metriche come componenti integrali della strategia di sicurezza;
4. Visione a lungo termine: comprendere che l’integrazione Human-in-the-Loop è un percorso evolutivo, non un progetto con data di fine.

Nella battaglia asimmetrica contro avversari intelligenti e adattivi nel panorama italiano ed europeo, il vantaggio competitivo non sta nella velocità dei nostri algoritmi, ma nella sintesi tra intelligenza artificiale e quella umana, unica e insostituibile. Il modello Human-in-the-Loop non è quindi un compromesso tra automazione e controllo umano, ma la soluzione evolutivamente superiore che emerge quando riconosciamo la complessità intrinseca della sicurezza moderna.