SUPERSQUALO
Dizionario IA

Anomaly Detection

[anòmali ditèction]

IA che rileva comportamenti anomali in sistemi, transazioni, reti. Cuore della cybersicurezza moderna e della prevenzione frodi. Quando funziona è invisibile, quando sbaglia è disastroso.

L'anomaly detection (rilevamento anomalie) usa modelli di machine learning per identificare comportamenti che si discostano dalla norma. È la base di antifrode bancarie, intrusion detection, monitoraggio industriale.

Esempi quotidiani:

  • La banca blocca la tua carta perché "tentativo di pagamento da Paese strano".
  • Il SIEM aziendale segnala login fuori orario.
  • Il sistema antifrode dell'e-commerce blocca un ordine che sembra sospetto.
  • L'IDS di rete rileva traffico anomalo verso un server interno.

Tecniche principali:

  • Statistical methods: outlier detection classica (Z-score, IQR).
  • Clustering: punti lontani dai cluster sono anomalie (DBSCAN, k-means).
  • Reti neurali: autoencoder che imparano "il normale", segnalano discrepanze.
  • Time series: ARIMA, LSTM per anomalie temporali.

Punti dolenti:

  • Falsi positivi: ogni allarme costa tempo umano. Troppi e si ignorano tutti.
  • Falsi negativi: l'attacco mirato non assomiglia all'attacco generico, sfugge.
  • Drift: il "normale" cambia nel tempo. I modelli vanno riaddestrati.
  • Bias: se il dataset di training contiene già attacchi non rilevati, il modello li impara come "normali".

In cybersecurity è lo strumento principale dei SOC moderni. Vendor: Darktrace, Vectra, CrowdStrike Falcon, Microsoft Defender. In banking, ogni grande gruppo ha sistemi proprietari, alcuni con tassi di rilevamento >95% sulle frodi note.