L'AI agentica sta sostituendo l'AI assistiva nella gestione delle minacce, trasformando il framework CTEM di Gartner da documento strategico in realtà operativa continua. Lo shift, documentato il 19 giugno 2026, pone un nuovo problema architetturale: il collo di bottiglia non è più nel singolo strumento, ma nello spazio bianco tra i tool. Le organizzazioni che non ricostruiranno l'infrastruttura attorno a questo layer di orchestrazione rischiano di aggravare la frammentazione che già paralizza i SOC.
Secondo la fonte citata, l'enterprise security team medio gestisce oltre 40 strumenti di sicurezza. Il breach dwell time medio resta di circa 43 giorni. La discrepanza tra sovrainvestimento tecnologico e inefficacia operativa è ciò che l'agentic AI promette di comprimere, a condizione di non essere implementata come un ulteriore punto soluzione.
- L'AI assistiva attende interrogazione, riassume e recupera; l'AI agentica agisce autonomamente, comprende contesto, imposta priorità ed esegue workflow multi-step continuamente.
- Il framework CTEM di Gartner richiede cinque fasi — scoping, discovery, prioritization, validation, mobilization — che nella pratica restano workflow isolati.
- L'architettura richiede un AI orchestration layer con agenti interconnessi, con human-in-the-loop limitato alle decisioni finali.
- I general-purpose LLM non sono adeguati al compito; serve contesto e know-how prodotto-specifico.
Il deficit operativo di 43 giorni
I numeri descrivono uno stallo. Oltre 40 tool per team, dwell time di circa 43 giorni, e un trend che non migliora nonostante l'investimento. Secondo una survey del 2023 citata nella fonte, il 68% delle organizzazioni usa più di 11 strumenti per endpoint management e security. Il 76% dei CISO dichiara di essere sopraffatto dal volume di minacce e dall'incremento dei tool. Sei CISO su dieci indicano la consolidazione degli strumenti come priorità assoluta per colmare i blind spots.
Il problema, nota la fonte, non è quantitativo ma architetturale: "Adopting more security tools doesn't guarantee better cybersecurity. These tools can only report on what they can see – but they don't know what they're missing". L'accumulo genera silos, e i silos generano interruzioni manuali nel workflow. Ogni interruzione è latenza che l'avversario sfrutta.
CTEM: da framework PowerPoint a ciclo continuo
Gartner definisce CTEM con cinque fasi: scoping, discovery, prioritization, validation, mobilization. La fonte documenta che operationalizzare CTEM end-to-end è rimasto finora irraggiungibile perché le tre funzioni centrali — operationalizing threat intelligence, testing/validating security posture, mobilizing response — operano come workflow separati. L'agentic AI interviene come colla operativa che li unifica in loop continuo.
Il meccanismo descritto è a tre livelli: ingestione continua e contestualizzazione di threat intelligence contro asset live; testing e validazione automatica dei controlli contro comportamenti avversari tracciati; mobilizzazione automatica della risposta con prioritizzazione basata su evidence validata. Il loop è chiuso, con human-in-the-loop solo per decisioni finali. Non è automazione a task singoli: è orchestrazione autonoma di workflow multi-step cross-sistema.
Perché i LLM generalisti non bastano
La fonte è esplicita su un limite tecnico che le narrative di mercato spesso elidono. "General purpose LLMs aren't cut for this, it requires context and the product-based know-how". L'orchestrazione di intelligence, validazione e risposta richiede accesso allo stato interno dei sistemi security, alle loro logiche di policy, alle strutture dati proprietarie. Un modello generalista, per quanto scalabile, manca di questa ancora di contesto.
Questo vincolo determina una biforcazione nell'infrastruttura AI: da un lato i modelli foundation per generazione e sintesi linguistica, dall'altro agenti specializzati che operano su istanze prodotto-specifiche con stato persistente e memoria operativa. La transizione da assistive a agentic non è dunque un upgrade di modello, ma una riprogettazione dell'architettura.
Cosa fare adesso
Le organizzazioni che valutano l'adozione di agentic AI per CTEM devono agire su tre fronti concreti. Primo: mappare i 40+ tool esistenti e identificare i silos che interrompono il flusso tra intelligence, validazione e risposta. Secondo: valutare vendor che offrano AI orchestration layer con agenti interconnessi e stato persistente, non general-purpose LLM mascherati da soluzioni security. Terzo: definire il perimetro del human-in-the-loop prima dell'implementazione, limitandolo alle decisioni finali di mobilization senza intasare i loop intermedi.
La fonte non documenta metriche indipendenti sull'efficacia operativa di implementazioni agentic AI end-to-end: nessun dato verificabile su riduzione dwell time, MTTR o costo per incidente. Non è chiaro quante organizzazioni abbiano effettivamente completato questa transizione rispetto a quante si trovino in fase di valutazione o pilota. Mancano dettagli tecnici sull'architettura di orchestrazione oltre la descrizione generica di layer e agenti interconnessi: protocolli, standard di interoperabilità, API non sono specificati.
La scommessa del matching di velocità
"The security teams that stay ahead won't be the ones with the most analysts. They'll be the ones whose AI infrastructure can match that pace autonomously."
La citazione condensa la posta in gioco. L'avversario opera a velocità macchina; la difesa opera a velocità umana frammentata da silos tool. L'agentic AI propone di colmare questo gap non aggiungendo capacità umana né moltiplicando strumenti, ma riprogettando l'infrastruttura come sistema autonomo con human-in-the-loop strategico. La sfida è che questo sistema non esiste ancora come standard de facto, e la sua costruzione richiede investimento in architetture purpose-built che pochi vendor attuali sembrano in grado di fornire.
La lettura redazionale è cauta sulla timeline. La transizione da assistive a agentic è cambio di paradigma operativo, non upgrade software. Le organizzazioni che la affronteranno senza ricostruzione architetturale rischiano di replicare, a velocità maggiore, gli stessi fallimenti di frammentazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/from-assistive-to-agentic-ai-shift.html
- https://www.helpnetsecurity.com/2025/04/07/ciso-security-platform-fatigue/
- https://www.helpnetsecurity.com/2026/06/19/report-log-management-security-risk/
- https://blog.talosintelligence.com/scripting-the-disassembler/
- https://www.welivesecurity.com/en/kids-online/lessons-life-childrens-data-long-term-identity-risk/
- https://www.deloitte.com/no/no/Industries/consumer/perspectives/agentic-is-redefining-commerce.html
- https://www.ey.com/en_gl/newsroom/2026/04/ey-launches-enterprise-scale-agentic-ai-to-redefine-the-audit-experience-for-the-ai-era
- https://www.helpnetsecurity.com/2026/01/28/etsi-ts-104-008-ai-continuous-auditing/