Certego lancia ReferoAI, l’assistente AI per gli analisti cybersecurity

certego referoai

ReferoAI nasce per affrontare uno dei problemi più concreti della cybersecurity contemporanea: l’eccesso di alert, la scarsità di tempo degli analisti e il rischio che molte segnalazioni restino senza una risposta adeguata. La nuova startup innovativa è stata costituita da Certego, società italiana del Gruppo VEM specializzata in cybersecurity, insieme all’Università degli Studi di Modena e Reggio Emilia, con l’obiettivo di portare sul mercato un assistente virtuale basato su intelligenza artificiale per supportare il lavoro dei Security Operation Center.

Il contesto in cui nasce il progetto è quello di una pressione crescente sulle difese informatiche. Secondo i dati citati nel comunicato, il Rapporto Clusit 2026 ha registrato nel 2025 in Italia 507 attacchi gravi, in aumento del 42% rispetto all’anno precedente. A livello mondiale, gli incidenti informatici gravi classificati sono stati 5.265, con una crescita del 49% e il superamento per la prima volta della soglia dei cinquemila incidenti in un solo anno.

Dietro questi numeri c’è una conseguenza operativa spesso sottovalutata: non tutti gli eventi possono essere gestiti con la stessa profondità. Nei centri di controllo per la sicurezza informatica, gli analisti devono distinguere rapidamente tra falsi positivi, alert minori e minacce realmente critiche. Quando il volume delle segnalazioni aumenta, il collo di bottiglia non è solo tecnologico, ma umano. Il tempo disponibile per indagare ogni caso si riduce, lo stress aumenta e il rischio di burnout diventa una variabile strutturale.

ReferoAI interviene esattamente su questo punto. L’idea non è sostituire l’analista, ma affidare all’intelligenza artificiale la parte più ripetitiva e meccanica dell’investigazione, lasciando all’essere umano il compito di valutare, decidere e intervenire sui casi più rilevanti. In un settore in cui la velocità di risposta può fare la differenza tra un incidente contenuto e una compromissione estesa, la riduzione dei tempi morti diventa una leva industriale.

ReferoAI nasce dall’incontro tra cybersecurity industriale e ricerca accademica

La nuova società è controllata da Certego con una quota di maggioranza del 67%. Al capitale partecipano anche il manager Bernardino Grignaffini Gregorio, con il 18%, e tre professori dell’Università di Modena e Reggio Emilia, Mauro Andreolini, Mirco Marchetti e Dario Stabili, ciascuno coinvolto nel progetto e complessivamente titolari del restante 15%.

La struttura societaria riflette la natura del progetto: unire l’esperienza operativa di chi lavora ogni giorno sulla sicurezza informatica con le competenze scientifiche di un ateneo attivo nel campo della cybersecurity. È un passaggio non secondario, perché lo sviluppo di strumenti AI per i SOC non può limitarsi all’adozione superficiale di modelli generativi. Richiede conoscenza del dominio, dati reali, capacità di validazione e attenzione al rischio di errori in contesti critici.

Il team lavora al progetto da gennaio 2025. L’accelerazione dello sviluppo è resa possibile dal contributo di Certego, che ha messo a disposizione un patrimonio particolarmente rilevante: anni di dati e registri relativi ad attacchi informatici reali. Per addestrare, validare e testare modelli di intelligenza artificiale applicati alla cybersecurity, questo tipo di base informativa rappresenta un vantaggio concreto. Non si tratta di simulazioni astratte, ma di materiale derivato dall’operatività sul campo.

È proprio qui che la collaborazione tra impresa e università assume valore. La ricerca accademica può lavorare su problemi aperti, modelli di ragionamento e interazione in linguaggio naturale; l’industria può fornire il contesto applicativo, i dati, i casi d’uso e il confronto diretto con gli analisti. ReferoAI nasce in questa intersezione.

ReferoAI e il problema degli alert nei Security Operation Center

La quotidianità di un SOC è dominata dalla gestione degli allarmi. Ogni segnalazione richiede una serie di attività: raccolta di dati da fonti diverse, verifica dei log, correlazione degli eventi, analisi della cronologia degli accessi, valutazione della gravità e scelta delle azioni da intraprendere. Sono operazioni indispensabili, ma spesso ripetitive e ad alta intensità di tempo.

Il problema è che il numero degli alert tende a crescere più rapidamente della capacità dei team di sicurezza di gestirli. Non tutte le segnalazioni sono uguali, ma tutte richiedono almeno una prima valutazione. Questo produce una tensione costante: da un lato bisogna essere rapidi, dall’altro bisogna evitare di trascurare eventi potenzialmente gravi.

In questo scenario l’AI può avere un ruolo concreto se viene applicata alla fase di triage e investigazione preliminare. ReferoAI è pensata per raccogliere autonomamente le informazioni utili da diverse aree della rete aziendale, unirle in un quadro coerente e consegnare all’analista una valutazione già strutturata della minaccia. In pratica, punta a comprimere in pochi secondi una parte del lavoro che oggi può richiedere ore.

La promessa è ambiziosa, ma risponde a una necessità reale. Nei SOC moderni, l’efficienza non dipende solo dalla capacità di rilevare gli attacchi. Dipende dalla capacità di dare priorità agli allarmi corretti, ridurre il rumore operativo e concentrare le competenze umane dove servono davvero.

Un assistente AI per alleggerire il lavoro investigativo

ReferoAI viene descritta come un assistente virtuale capace di svolgere il lavoro investigativo più ripetitivo e noioso, lasciando all’analista il controllo sulle decisioni cruciali. Il concetto è importante: in cybersecurity l’automazione totale è rischiosa se applicata senza supervisione, ma l’automazione selettiva può produrre benefici significativi.

La prima funzione chiave è l’identikit immediato della minaccia. Quando arriva una segnalazione, il sistema raccoglie e integra le informazioni disponibili, costruendo un quadro della situazione. L’analista riceve così non solo un alert, ma un contesto più completo: gravità del rischio, informazioni correlate e possibili azioni di contenimento.

La seconda direttrice riguarda la chiusura autonoma degli eventi di livello 1. L’obiettivo del progetto è infatti consentire all’agente AI di gestire autonomamente gli alert meno prioritari, alleggerendo il carico degli analisti. Questo punto è particolarmente rilevante perché gli eventi di livello basso possono assorbire risorse sproporzionate rispetto al loro impatto. Automatizzarne la gestione, quando le condizioni di affidabilità lo consentono, può liberare tempo per le minacce più complesse.

La terza componente riguarda la protezione del fattore umano. Il comunicato insiste sullo stress degli operatori della cybersecurity, sommersi da attività ripetitive e da ritmi spesso insostenibili. Ridurre la burocrazia digitale e il lavoro meccanico significa intervenire non solo sull’efficienza del SOC, ma anche sulla sostenibilità professionale di chi lo gestisce.

Cybersecurity e burnout, il fattore umano diventa una priorità

La nascita di ReferoAI mette in evidenza un tema che nella cybersecurity viene spesso trattato come conseguenza, ma che in realtà è parte del problema: il burnout degli analisti. Gli attacchi crescono, le superfici esposte si ampliano, gli strumenti di rilevazione generano grandi volumi di dati e i team devono reagire con tempi sempre più stretti.

In questo contesto, la capacità di una tecnologia di ridurre il carico cognitivo non è un beneficio secondario. Un analista costretto a passare ore su attività ripetitive rischia di perdere lucidità proprio quando serve capacità di giudizio. L’affaticamento può aumentare la probabilità di errori, ritardi, sottovalutazioni o escalation non necessarie.

ReferoAI prova a spostare l’AI in una posizione funzionale: non come sostituto del professionista, ma come strumento per ridurre il rumore operativo. È una distinzione essenziale. L’intelligenza artificiale applicata ai SOC deve essere valutata non solo per la capacità di generare risposte, ma per la capacità di migliorare il processo decisionale, rendere più leggibile il contesto e lasciare agli analisti il controllo sui passaggi più delicati.

Il punto non è rendere automatica la cybersecurity, ma renderla più sostenibile. La difesa informatica ha bisogno di persone competenti, ma queste persone devono essere messe nelle condizioni di lavorare su problemi ad alto valore, non sommerse da verifiche ripetitive che possono essere almeno in parte delegate a sistemi intelligenti.

Da PanOptikon al mercato globale

ReferoAI muoverà i primi passi integrandosi nella piattaforma PanOptikon di Certego. Questa scelta consente alla startup di testare la tecnologia in un ambiente operativo reale, sotto la supervisione degli analisti interni. È una fase cruciale, perché una soluzione AI per la cybersecurity deve essere validata sul campo, misurando accuratezza, tempi di risposta, affidabilità, capacità di integrazione e utilità concreta per gli operatori.

La visione, però, è più ampia. ReferoAI nasce con una propria identità autonoma e distinta perché il software è progettato per essere universale. L’obiettivo finale è renderlo commercializzabile in modo indipendente, così da consentire a qualsiasi centro di sicurezza informatica di adottarlo per proteggere le proprie reti.

Questo passaggio può avere implicazioni interessanti per il mercato. Molti SOC, soprattutto quelli che operano per aziende di medie dimensioni o per servizi gestiti, devono affrontare lo stesso problema: aumento degli alert, difficoltà nel reperire competenze, necessità di comprimere i tempi di analisi e pressione sui costi. Una soluzione capace di integrarsi in contesti diversi e ridurre il lavoro manuale potrebbe trovare spazio ben oltre l’ecosistema Certego.

Naturalmente, la sfida non è banale. Un assistente AI per la cybersecurity deve lavorare con dati sensibili, integrare fonti eterogenee, evitare interpretazioni errate, gestire contesti tecnici complessi e fornire output comprensibili agli analisti. La sua efficacia dipenderà dalla capacità di coniugare automazione, explainability, controllo umano e affidabilità operativa.

Una sfida scientifica, non un assemblaggio di tecnologie

I soci fondatori descrivono il progetto come una sfida scientifica rilevante. “Costruire un’intelligenza artificiale capace di integrare ragionamento automatico e interazione in linguaggio naturale in un contesto critico come la cybersecurity è una sfida scientifica enorme”, spiegano.

Il punto viene chiarito ulteriormente: “Non stiamo assemblando pezzi di tecnologia già pronti. Stiamo affrontando problemi aperti per offrire una soluzione nuova a un problema che tocca da vicino la sicurezza digitale di tutti noi”.

Il virgolettato coglie il nodo tecnico del progetto. L’AI applicata alla cybersecurity non può essere ridotta a un chatbot collegato ai log. Deve essere in grado di ragionare su eventi, correlare informazioni, comprendere il contesto, dialogare con l’analista e produrre indicazioni operative affidabili. In un ambito in cui una decisione sbagliata può lasciare aperta una minaccia o generare interruzioni inutili, la qualità del ragionamento automatico è determinante.

Inoltre, l’interazione in linguaggio naturale deve essere progettata con cautela. Per gli analisti, la possibilità di interrogare il sistema in modo diretto può rappresentare un vantaggio importante, ma solo se le risposte sono tracciabili, contestualizzate e coerenti con i dati raccolti. La semplificazione dell’interfaccia non deve trasformarsi in opacità del processo.

ReferoAI si colloca quindi in una delle aree più complesse dell’AI enterprise: l’automazione assistita di processi critici. La posta in gioco non è solo la produttività, ma la capacità di aumentare la resilienza delle organizzazioni senza abbassare il livello di controllo.

Gruppo VEM, Certego e il trasferimento della ricerca verso il mercato

La nascita di ReferoAI rappresenta un nuovo tassello nel percorso di innovazione del Gruppo VEM. L’iniziativa rafforza il posizionamento di Certego nella cybersecurity e testimonia la volontà di investire in tecnologie strategiche, in particolare nell’incontro tra AI, sicurezza e competenze accademiche.

Il trasferimento della ricerca scientifica verso applicazioni concrete è uno dei passaggi più delicati per l’ecosistema tecnologico italiano. Troppo spesso ricerca e mercato procedono su binari separati: da un lato competenze e risultati scientifici, dall’altro imprese che faticano a trasformarli in prodotti scalabili. ReferoAI prova a costruire un modello diverso, in cui università e industria condividono sviluppo, dati, competenze e prospettiva commerciale.

La presenza di UniMORE e dei professori coinvolti nel capitale della società rafforza questo legame. Non si tratta solo di una collaborazione consulenziale o di un progetto pilota, ma di una partecipazione strutturale alla nuova iniziativa. Questo elemento può favorire continuità nello sviluppo scientifico e maggiore aderenza tra ricerca e prodotto.

Per il mercato cybersecurity italiano, la nascita di una startup focalizzata su AI per SOC è un segnale coerente con l’evoluzione della domanda. Le aziende chiedono strumenti più efficaci per governare la complessità, mentre i fornitori devono passare da soluzioni di rilevazione sempre più numerose a sistemi capaci di aiutare realmente gli operatori a decidere.

Perché ReferoAI può incidere sul futuro dei SOC

La promessa di ReferoAI è netta: trasformare l’investigazione sugli alert da processo manuale e lento a flusso assistito, più rapido e più sostenibile. Se la tecnologia riuscirà a mantenere questa promessa, il suo impatto potrà essere significativo su più livelli.

Per i SOC, il primo beneficio sarebbe la riduzione dei tempi di triage. Avere un quadro già aggregato della minaccia permette agli analisti di partire da una posizione più avanzata, senza dover ricostruire manualmente ogni dettaglio. Il secondo beneficio riguarda la priorità degli interventi: distinguere meglio tra eventi minori e rischi reali consente di usare le risorse in modo più efficace. Il terzo riguarda la qualità del lavoro: meno attività ripetitive, più investigazione ad alto valore.

Per le imprese, l’effetto atteso è una maggiore resilienza. Gli incidenti informatici non possono essere eliminati del tutto, ma possono essere rilevati, interpretati e gestiti con maggiore tempestività. In un contesto di attacchi in crescita, la velocità di comprensione è una componente decisiva della difesa.

ReferoAI nasce quindi in un punto di convergenza molto preciso: crescita della minaccia, saturazione dei SOC, maturazione dell’AI, disponibilità di dati reali e collaborazione tra ricerca e industria. Il suo successo dipenderà dalla capacità di trasformare questi elementi in una tecnologia affidabile, integrabile e utile nel lavoro quotidiano degli analisti.

La direzione è chiara. La cybersecurity non ha bisogno di aggiungere ulteriore complessità agli strumenti già esistenti. Ha bisogno di ridurre il rumore, accelerare l’investigazione, proteggere il fattore umano e rendere più efficiente la risposta agli incidenti. ReferoAI nasce con questo obiettivo: usare l’intelligenza artificiale non come scorciatoia, ma come supporto operativo per chi difende ogni giorno reti, dati e servizi digitali.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome