Proteggersi oggi significa comprendere che l’AI è diventata parte integrante della superficie d’attacco e che la difesa deve spostarsi sulla protezione dell’integrità non solo dei dati ma anche dei processi.

Il processo di “weaponization” dell’intelligenza artificiale

“Oggi dobbiamo prendere atto di un cambiamento profondo nel modo in cui l’intelligenza artificiale entra nelle organizzazioni e nei sistemi digitali. Non si tratta più di strumenti tecnologici isolati o sperimentali, ma di componenti sempre più integrate nei processi operativi, nelle infrastrutture e nei meccanismi decisionali di aziende e pubbliche amministrazioni”, ha spiegato Diego Fasano, CEO di Ermetix, nel suo intervento alla quinta edizione della Conferenza Internazionale “CyberSEC – Cybercrime e Cyberwar: Norme, Geopolitica e Cybersecurity per una Difesa Comune”, promossa e organizzata da Cybersecurity Italia in collaborazione con la Polizia di Stato a Roma.

“All’interno delle organizzazioni, infatti, esiste oggi un patrimonio di valore enorme. Parliamo innanzitutto di dati, spesso estremamente sensibili: informazioni sui processi aziendali, dati riservati della pubblica amministrazione, conoscenze strategiche che rappresentano un vero capitale informativo. Ma accanto ai dati c’è un altro elemento fondamentale: la potenza di calcolo e l’insieme delle infrastrutture tecnologiche che permettono di elaborare queste informazioni. Automazioni, piattaforme digitali, sistemi di analisi e modelli di intelligenza artificiale costituiscono oggi una sorta di deposito di capacità e conoscenza all’interno delle organizzazioni. In altre parole, sono veri e propri depositi di intelligenza.
Se guardiamo alle organizzazioni da questa prospettiva, comprendiamo anche come l’intelligenza artificiale stia diventando progressivamente una nuova superficie di attacco. Per proteggersi in maniera efficace bisogna comprendere questo processo strutturale. Tuttavia il punto non riguarda soltanto l’AI in sé, ma tutto l’ecosistema di sistemi che la circondano: infrastrutture cloud, console di gestione, piattaforme di automazione, sistemi fisici connessi. Sempre più spesso questi ambienti vengono orchestrati o supportati da sistemi di intelligenza artificiale, che contribuiscono a gestire processi complessi e a prendere decisioni operative”, ha dichiarato Fasano.

Pilotare i processi all’interno di un’organizzazione, incidere sulla capacità dell’AI di prendere decisioni

“Questo cambia profondamente anche la natura delle minacce. Fino a qualche anno fa l’obiettivo principale di un attacco informatico era compromettere un server, violare un’infrastruttura o sottrarre dati. Oggi il rischio è più sottile e più profondo. Se un avversario riesce a influenzare il sistema decisionale, oppure a orientare l’operatore che utilizza questi strumenti, non sta più semplicemente violando un sistema informatico: sta di fatto pilotando un processo all’interno dell’organizzazione.
L’attacco, in questo caso, non colpisce soltanto la tecnologia ma incide sulla capacità dell’intelligenza artificiale di prendere decisioni, di eseguire determinate operazioni o di orientare i processi in una direzione piuttosto che in un’altra.
Qui entra in gioco un altro elemento cruciale: i dati. Spesso tendiamo a considerarli come entità neutre, ma i dati non esistono mai senza contesto. Senza una storia, senza una corretta interpretazione, rischiano di essere incompleti o distorti. Questo fenomeno può generare una sorta di disallineamento informativo: dati che apparentemente sono corretti ma che, inseriti in un contesto manipolato o parziale, possono portare a decisioni sbagliate”, ha spiegato Fasano.

I dati al centro di tutto, ma che succede quando le fonti informative vengono manipolate?

“Anche quando sono imperfetti, i dati restano la materia prima su cui si costruiscono i sistemi di intelligenza artificiale. Alla base di tutto c’è sempre la tecnologia digitale, fatta di sequenze di 0 e 1, ma sopra questa struttura si sviluppano algoritmi sempre più complessi capaci di apprendere, analizzare e prendere decisioni. Se le fonti informative vengono manipolate, se i dati disponibili online vengono alterati o costruiti in modo tale da orientare il modello, l’intelligenza artificiale potrebbe iniziare a interpretare la realtà in modo diverso da quello previsto. In questo caso il sistema non guarderebbe più nella direzione per cui era stato progettato, ma verrebbe progressivamente orientato verso interessi diversi. In altre parole, qualcuno potrebbe influenzare il comportamento del modello, modificando il modo in cui prende decisioni o interpreta le informazioni. È una forma di attacco molto diversa da quelle tradizionali: non si colpisce direttamente l’infrastruttura, ma si agisce sul processo di apprendimento e sull’algoritmo stesso”, ha proseguito Fasano.

“Un attore malevolo potrebbe cercare di fare esattamente il contrario: in qualche modo sussurrare all’orecchio dell’algoritmo, orientandolo verso obiettivi diversi. Questo può avvenire attraverso la manipolazione delle informazioni, attraverso dati guidati o ambienti informativi distorti, che ricordano in parte le dinamiche che osserviamo nel dark web, dove i contenuti e le informazioni vengono spesso costruiti con finalità precise. Le conseguenze possono essere molto concrete. Pensiamo a un ambito ormai diffuso in tutte le organizzazioni: la sicurezza delle email. Sempre più spesso i sistemi di filtraggio e prevenzione del phishing utilizzano modelli di intelligenza artificiale che analizzano contenuti, linguaggio e comportamenti sospetti.
Se qualcuno riuscisse a manipolare il modo in cui questi modelli interpretano le informazioni, potrebbe alterare i criteri con cui il sistema riconosce le minacce. Il risultato sarebbe che messaggi di phishing potrebbero essere considerati legittimi – ha precisato Fasano – abbassando la guardia delle difese e aprendo la strada a nuovi attacchi. Esistono già casi che mostrano quanto questo scenario sia concreto. Un esempio molto discusso riguarda Claude, il modello sviluppato da Anthropic, che è stato indotto da un attore esterno a comportarsi in modo anomalo, arrivando a simulare l’estrazione di dati sensibili legati al governo messicano. È un episodio che ha attirato molta attenzione perché dimostra come un sistema di AI possa essere persuaso o manipolato, aprendo scenari nuovi anche nel campo del cyber spionaggio”.

Considerare l’AI come un nuovo dominio strategico

Le organizzazioni devono iniziare a sviluppare un nuovo approccio alla sicurezza dell’intelligenza artificiale, ha sostenuto Fasano: “Il primo passo è sapere con precisione cosa esiste all’interno dei propri sistemi: quali dati possediamo, quali modelli utilizziamo, quali algoritmi sono impiegati nei processi aziendali e quali piattaforme fanno uso dell’AI. Serve poi una gestione rigorosa dei privilegi di accesso. I sistemi di intelligenza artificiale devono essere accessibili solo a chi ne ha realmente bisogno. Questo significa utilizzare ambienti controllati, infrastrutture dedicate e, quando possibile, macchine temporanee a bassa durata, riducendo al minimo la superficie di esposizione.
Accanto a questo è necessario costruire livelli di protezione aggiuntivi, veri e propri layer di sicurezza che permettano di isolare i modelli, proteggere i dati e limitare le interazioni non controllate con l’esterno. Una parte importante di questo lavoro riguarda anche la protezione delle informazioni nel momento in cui vengono generate o elaborate dall’intelligenza artificiale, evitando che possano essere estratte o diffuse senza controllo”.

Tutto questo porta a una riflessione più ampia, ha sottolineato ancora Fasano: “Dobbiamo iniziare a considerare l’intelligenza artificiale come un nuovo dominio strategico, esattamente come lo sono oggi il cyberspazio o lo spazio extra-atmosferico. È un dominio conteso, in cui operano attori economici, tecnologici e geopolitici, e in cui esiste una competizione reale tra chi sviluppa queste tecnologie e chi cerca di sfruttarle o manipolarle. In questo scenario emerge anche il tema della sovranità tecnologica. Come Europa, e in parte anche come singoli paesi, abbiamo probabilmente perso il primo grande treno nello sviluppo delle grandi piattaforme di AI. Gli investimenti più massicci sono stati fatti altrove e oggi il panorama globale è dominato da pochi grandi attori.
Ma questo non significa che il tema non ci riguardi. Anzi. L’utilizzo di queste tecnologie nei sistemi pubblici, nelle imprese e nelle infrastrutture critiche diventerà sempre più centrale. Per questo dobbiamo imparare a considerare l’intelligenza artificiale per ciò che sta diventando: un terreno di competizione e di sicurezza, dove si incrociano innovazione tecnologica, interessi strategici e capacità di governo dei sistemi digitali.

Perché oggi difendere un’organizzazione non significa più soltanto proteggere le reti o i server. Significa soprattutto proteggere i dati, i modelli e i processi decisionali che alimentano l’intelligenza artificiale su cui sempre più spesso si fondano le scelte e le operazioni del nostro sistema economico e istituzionale”.

Vai al sito di Cybersecurity Italia.

L'articolo CyberSEC2026. Fasano (Ermetix): “Considerare l’AI come un nuovo dominio strategico” sembra essere il primo su CyberSecurity Italia.