Il dilemma dell’AI per il CISO: un framework per bilanciare innovazione e rischio
Il CISO finanziario si trova intrappolato tra l’obbligo di adottare l’Intelligenza Artificiale e l’urgente necessità di difendersi dalle minacce potenziate dall’AI.
I CISO del settore finanziario negli Stati Uniti e nel Regno Unito affrontano una sfida definitoria: promuovere l’adozione dell’Intelligenza Artificiale mentre costruiscono difese contro le minacce aumentate dall’AI. La pressione da parte delle aziende per sfruttare l’AI per tutto, dal servizio clienti iper-personalizzato al trading algoritmico, è immensa. Tuttavia, i dati recenti indicano che gli attacchi informatici potenziati dall’AI, in particolare il phishing sofisticato e le frodi deepfake, stanno crescendo in frequenza e impatto. Questa dualità ha posto i CISO al centro di un complesso dilemma che richiede più di una semplice nuova tecnologia; è necessario un robusto framework strategico orientato al futuro.
Non si tratta solo di combattere il fuoco con il fuoco; si tratta di progettare l’intero servizio antincendio per un mondo in cui i fuochi possono pensare. Da un lato, le piattaforme di Security Orchestration, Automation, and Response (SOAR) potenziate dall’AI si stanno dimostrando preziose, aiutando i centri operativi di sicurezza (SOC) ad automatizzare le risposte alle minacce comuni e ad analizzare gli incidenti a velocità macchina. Dall’altro, i criminali informatici utilizzano gli stessi strumenti generativi di AI per creare messaggi di Business Email Compromise (BEC) impeccabili e audio deepfake per ingannare socialmente i dipendenti a compiere transazioni fraudolente.
Pilastri per un’adozione sicura dell’AI
Per navigare in questo panorama, i leader della sicurezza devono andare oltre una postura reattiva e implementare una strategia di governance proattiva. I seguenti pilastri formano un framework completo per sfruttare i benefici dell’AI in modo sicuro.
1. Stabilire un Comitato di Governance dell’AI
Il primo passo è formalizzare il controllo. Un Comitato di Governance dell’AI, composto da leader della sicurezza, IT, legale, compliance e unità aziendali chiave, è essenziale. Il mandato di questo organismo non è soffocare l’innovazione, ma canalizzarla in modo sicuro. Le sue responsabilità dovrebbero includere la creazione di un inventario di tutti i casi d’uso dell’AI all’interno dell’organizzazione, la definizione dell’appetito al rischio istituzionale per ciascuno e l’istituzione di chiare linee di responsabilità. Questo framework non è più opzionale; è un componente critico per dimostrare la dovuta diligenza ai regolatori.
2. Dare priorità e imporre l’‘AI Spiegabile’ (XAI)
Nel settore finanziario altamente regolamentato, i sistemi AI “nero” rappresentano un rischio inaccettabile per la compliance e le operazioni. I CISO devono diventare i più forti sostenitori interni per l’AI Spiegabile (XAI), dove il processo decisionale di un algoritmo è trasparente, tracciabile e verificabile. Considerate un’incidente in cui un sistema di rilevamento delle frodi guidato dall’AI blocca una transazione legittima e tempestiva di un cliente. Senza XAI, la banca non può spiegare perché è stata presa quella decisione, portando a frustrazione da parte del cliente e a potenziale scrutinio normativo.
3. Intensificare la gestione del rischio dell’AI dei fornitori
La realtà è che la maggior parte delle istituzioni finanziarie acquisirà capacità di AI da un vasto ecosistema di fornitori e partner fintech. Ogni nuovo fornitore rappresenta un nuovo potenziale vettore di attacco, rendendo la sicurezza della catena di approvvigionamento una preoccupazione fondamentale. Una valutazione standard della sicurezza dei fornitori non è più sufficiente. I CISO devono evolvere i loro framework di gestione del rischio dei fornitori per includere la dovuta diligenza specifica per l’AI.
4. Aggiornare e rimodellare il team di cybersecurity per l’era dell’AI
La ben documentata carenza di competenze informatiche è criticamente acuta all’intersezione tra AI e cybersecurity. Una strategia CISO orientata al futuro deve affrontare questo problema non solo formando il personale esistente, ma ripensando fondamentalmente i ruoli di sicurezza. Gli analisti di sicurezza dovranno diventare supervisori dei modelli AI, abili nell’interpretare le uscite dell’AI e identificare quando un modello si comporta in modo erratico. Questo richiede un investimento significativo in aggiornamenti delle competenze, certificazioni e collaborazioni con istituzioni accademiche per costruire una pipeline di talenti sostenibile per questi ruoli ibridi.
In definitiva, per il moderno CISO finanziario, il ruolo è evoluto da un gestore tecnico a un abilitatore strategico per il business. Comunicare efficacemente i rischi legati all’AI e giustificare gli investimenti in sicurezza al consiglio è ora una competenza centrale. I CISO che avranno successo saranno quelli in grado di articolare una visione chiara per un’adozione sicura dell’AI, bilanciando il potenziale trasformativo con una gestione del rischio disciplinata.
