Cybersecurity, intelligenza artificiale e norme europee: facciamo il punto della situazione con IBM

La diffusione dell’intelligenza artificiale è ormai inarrestabile, almeno per quanto riguarda gli assistenti di IA come ChatGPT, Gemini, Claude, Grok e via dicendo. La maggior parte delle imprese sta investendo in queste tecnologie, e l’utilizzo, soprattutto fra i giovani (Millenials e GenZ), ha raggiunto percentuali importanti. Se da un lato è una notizia positiva vedere un simile interesse per una nuova tecnologia, dall’altro non bisogna sottovalutare i rischi, in particolare quelli per la sicurezza cyber. Quali sono? E come possono essere tenuti sotto controllo? Lo abbiamo chiesto a Cristiano Tito, Cyber Security Services Portfolio Lead di IBM.

Shadow AI, sicurezza e governance: a che punto siamo?

Il tempo di sperimentare è finito e le aziende dovrebbero porre più attenzione a come i dipendenti utilizzano l’intelligenza artificiale sul posto di lavoro. Non certo per frenarne l’utilizzo, quanto per assicurarsi che le persone che la sfruttano siano in grado di coglierne anche i rischi, sia per la sicurezza sia per la privacy. “La governance è fondamentale per un'IA responsabile e affidabile e l’attuale contesto sottolinea come non sia più facoltativa, ma una componente indispensabile per affrontare rischi come quello operativo”, afferma Tito. I rischi che cita sono prevalentemente di due tipo: normativo, cioè utilizzarla in maniera non conforme alle attuali leggi, e reputazionale, nel caso un output errato o distorto non venga riconosciuto dall’utente. Nonostante le allucinazioni siano un problema noto, capita ancora con una certa frequenza di vedere come l’IA sia usata senza le adeguate verifiche. Come nel caso di Deloitte, che recentemente ha dovuto rimborsare il Governo australiano per un report contenente svariate citazioni inventate di sana pianta da un LLM.

Non sono gli unici rischi sottolineati da Tito, che evidenza anche la possibile fuga di dati riservati, ma anche attacchi informatici, come quelli di prompt injection. Per questo motivo, secondo il manager è “auspicabile stabilire un framework di sicurezza e governance dell'IA”. Un quadro di riferimento che consenta di garantire visibilità su come l’IA viene utilizzata, così da prevenire l’utilizzo di soluzioni non approvate (shadow IA) e su come si comportano gli agenti di IA. Non solo: è fondamentale proteggere i modelli di IA da bug o configurazioni errate, anche ricorrendo ai classici penetration test.

A tal proposito, IBM propone Guardium AI Security, una soluzione che copre l’intero ciclo di vita dell’IA e che può aiutare a mitigare i rischi. Ma la tecnologia non basta: Tito insiste sull’importanza di formare i dipendente all’utilizzo di questa tecnologia (un obbligo tra l’altro previsto dall’AI Act europeo). Per ridurre i rischi della shadow IA, invece, è fondamentale che l’azienda offra strumenti e applicazioni di IA approvati, così da evitare che le persone abbiamo la tentazione di utilizzarne alcuni non sicuri o non monitorati dall’azienda.

NIS2 e AI Act: le norme sono un freno all’innovazione o una garanzia di sicurezza?

L’UE è molto attiva sotto il profilo delle norme, anche su ambiti di frontiera, come appunto l’intelligenza artificiale. Questo ha portato a una spaccatura fra gli esperti. C’è chi le ritiene un limite per chi vuole innovare, fatto che rallenterà lo sviluppo di sistemi di IA in Europa, e chi invece le considera fondamentali per evitare abusi della tecnologia.

Secondo Tito, “la chiave è considerare la compliance come un fattore abilitante piuttosto che un ostacolo: un imperativo strategico per promuovere l'adozione, la fiducia, l'innovazione e il vantaggio competitivo, gestendo al contempo i rischi”. Detto in parole più semplici, la soluzione non è lamentarsi delle norme, ma far sì che diventino un vantaggio strategico. Secondo il manager, infatti, le aziende che adottano la governance dell'IT, della cybersecurity e dell’IA in modo tempestivo ed efficace possono ottenere un vantaggio competitivo. “Possono differenziarsi sul mercato essendo percepite come utenti di IA responsabili e affidabili. Questo può rappresentare un fattore di differenziazione chiave, soprattutto nei settori altamente regolamentati”.

Un lavoro che difficilmente si fermerà: le norme sono in continua evoluzione, e sarà necessario continuare a migliorarsi per non farsi schiacciare e riuscire a rimanere al passo. Le imprese che iniziano già oggi, si troveranno in futuro in una posizione migliore per soddisfare i futuri requisiti normativi, perché “la governance della compliance contribuisce a garantire che i progetti IT e di IA siano definiti per essere conformi fin dalla progettazione”.

IA e cybersecurity: siamo pronti per i SOC totalmente automatizzati?

L’evoluzione delle minacce, la moltiplicazione dei modelli IA e la carenza di competenze rendono imprescindibile l’uso dell’intelligenza artificiale nella cybersecurity. Ma richiedono anche una governance robusta lungo tutto il ciclo di vita dei modelli, dalla progettazione al monitoraggio. La sicurezza deve essere nativa, non aggiunta a posteriori.

L’intelligenza artificiale può ridurre drasticamente i tempi di risposta agli incidenti, passando da giorni od ore a pochi minuti. Questo accelera il rilevamento e apre la strada a Security Operation Center (SOC) sempre più autonomi. L’integrazione tra IA, threat intelligence e strumenti di risposta automatizzata consente di individuare attacchi che, senza queste tecnologie, richiederebbero un alto sforzo cognitivo da parte degli analisti. Delegare all’IA le attività ripetitive libera tempo e risorse umane per compiti a maggior valore, come la ricerca avanzata delle minacce e la gestione degli incidenti.

L’IA può anche rafforzare la sicurezza delle stesse applicazioni di IA, contribuendo alla protezione di modelli e dati. Tuttavia, l’affidamento cieco all’automazione introduce rischi: fuga di dati dai modelli, disinformazione generata da modelli linguistici, attacchi di injection e manipolazioni da parte di avversari che possono ingannare i sistemi. Serve quindi una supervisione costante per evitare risposte errate o minacce non rilevate. Gli analisti restano indispensabili per verificare e interpretare i risultati dell’IA. Governance, test, monitoraggio continuo ed escalation sono elementi essenziali per garantire l’affidabilità degli strumenti di sicurezza basati su IA, in particolare nei casi più critici. Il modello ideale è collaborativo: l’IA supporta e potenzia l’operatore umano, senza sostituirlo.