Il Gioco di Azzardo della Cybersicurezza dell’AI Act dell’UE: Gli Hacker Non Hanno Bisogno di Permesso
Con l’avanzare dello sviluppo dell’AI, il suo utilizzo nella cybersicurezza sta diventando inevitabile: può aiutare a rilevare e prevenire minacce informatiche in modi senza precedenti.
Tuttavia, esiste anche il lato oscuro: i delinquenti possono utilizzare l’AI per sviluppare metodi di attacco più sofisticati, potenziando le loro attività illecite. E i criminali generalmente non si preoccupano di rispettare alcun vincolo su come utilizzare questa tecnologia.
Con l’UE che avanza con l’AI Act, molti nel settore si chiedono: questa regolamentazione aiuterà davvero a rendere l’Europa più sicura? Oppure diventerà un ostacolo, creando nuove sfide per le aziende che cercano di sfruttare l’intelligenza artificiale per proteggere se stesse?
Le misure di cybersicurezza dell’AI Act
L’AI Act dell’UE è il primo importante quadro normativo a stabilire regole chiare per lo sviluppo e l’implementazione dell’AI. Tra le sue numerose disposizioni, l’AI Act affronta direttamente i rischi di cybersicurezza introducendo misure per garantire che i sistemi di AI siano sicuri e utilizzati in modo responsabile.
Ciò avviene introducendo una classificazione basata sul rischio delle applicazioni di AI, ciascuna con requisiti di conformità diversi. Naturalmente, i sistemi ad alto rischio — quelli che potrebbero influire negativamente sulla salute e sulla sicurezza delle persone — sono soggetti a esigenze di sicurezza e trasparenza più severe.
Inoltre, i sistemi di AI devono sottoporsi a test di sicurezza obbligatori regolari per identificare vulnerabilità e ridurre le possibilità che vengano sfruttate dai criminali informatici. Allo stesso tempo, stabilisce migliori obblighi di trasparenza e reporting. Questi sono solidi primi passi per portare struttura a questo settore e legittimarlo.
Tuttavia, quando si tratta di cybersicurezza, questo approccio presenta le sue complicazioni e svantaggi.
Richiedere che i sistemi di AI subiscano così tanti controlli e certificazioni significa che, in pratica, il rilascio degli aggiornamenti di sicurezza viene notevolmente rallentato. Se ogni modifica alle misure di sicurezza basate sull’AI necessita di un lungo processo di approvazione, offre agli aggressori ampio tempo per sfruttare le debolezze conosciute mentre le aziende target sono bloccate nella burocrazia e lasciate vulnerabili.
La questione della trasparenza è anche una spada a doppio taglio, a seconda di come la si guarda. L’AI Act richiede che gli sviluppatori divulghino dettagli tecnici sui loro sistemi di AI agli organi governativi per garantire responsabilità. Un punto valido, ma ciò introduce un’altra vulnerabilità critica: se questo tipo di informazioni vengono divulgate, potrebbero finire nelle mani dei cattivi attori, fornendo loro una mappa su come sfruttare i sistemi di AI. Questo viola uno dei principi fondamentali della sicurezza: la sicurezza attraverso l’oscurità.
La conformità come fonte di vulnerabilità?
Esiste un altro livello di rischio che dobbiamo esaminare più attentamente: la mentalità di conformità prima di tutto.
Più rigorosa diventa la regolamentazione, più i team di sicurezza si concentreranno sulla creazione di sistemi che soddisfano i requisiti legali piuttosto che le minacce reali. C’è una possibilità molto alta che questo porti a sistemi di AI che sono tecnicamente conformi ma operativamente fragili.
I sistemi costruiti per la conformità condivideranno inevitabilmente schemi, e una volta che gli attori malintenzionati avranno accesso alla conoscenza di quegli schemi, sarà molto più facile per loro ingegnerizzare exploit attorno a essi. Risultato finale? Sistemi costruiti in modo simile rimangono ugualmente indifesi.
Inoltre, dato che la legge richiede la supervisione umana delle decisioni dell’AI, esiste una possibile via di sfruttamento tramite ingegneria sociale. Gli attacchi possono mirare agli stessi revisori umani, che, nel tempo, potrebbero iniziare ad approvare automaticamente le decisioni prese dai sistemi di AI. Questo è particolarmente vero per ambienti ad alto volume come il monitoraggio delle transazioni — stiamo già vedendo segni di questo nella conformità bancaria, dove la fatica da supervisione può facilmente portare a lapsi di giudizio.
Un altro esempio di blocchi alla sicurezza causati involontariamente dall’AI Act sarebbe la tecnologia biometrica. Sebbene le restrizioni sul riconoscimento facciale siano destinate a proteggere la privacy dei cittadini, limitano anche la capacità delle forze dell’ordine di rintracciare e catturare criminali utilizzando metodi di sorveglianza avanzati.
Ciò influisce anche sulle tecnologie a doppio uso — sistemi sviluppati sia per applicazioni civili che militari. Sebbene i sistemi di AI militari siano formalmente esclusi dalla legge, l’ecosistema circostante che contribuisce al loro sviluppo è ora gravemente ristretto. Questo frena lo sviluppo di strumenti di difesa di nuova generazione che potrebbero avere ampi benefici per i civili.
Le sfide che le aziende dovranno affrontare
Tornando al lato aziendale, dobbiamo accettare che l’AI Act presenta ostacoli quando si tratta di rispettare queste regole. Per le PMI, in particolare, questo può essere un compito arduo, poiché spesso mancano delle risorse delle grandi aziende da dedicare alla conformità.
I test di sicurezza, le verifiche di conformità, le consulenze legali — tutti questi richiedono investimenti sostanziali. Questo rischia di creare uno scenario in cui molte aziende sono costrette a ridurre l’adozione dell’AI, ostacolando l’avanzamento di questo settore. È molto probabile che decidano di lasciare l’UE, scegliendo di far avanzare le loro operazioni in giurisdizioni più amichevoli.
Dal punto di vista della cybersicurezza, tale retrocessione sarebbe molto pericolosa. Non credo sia necessario dirlo, ma i criminali ovviamente non si preoccupano della conformità — sono liberi di innovare con l’uso dell’AI a qualsiasi velocità desiderino, il che, a questo ritmo, supererà rapidamente le aziende legittime.
Come la vedo io, non passerà molto tempo prima che il processo di scoperta e sfruttamento delle vulnerabilità possa avvenire in poche ore, se non in pochi minuti. Nel frattempo, le parti difensive sarebbero bloccate a ri-certificare i loro sistemi per giorni o settimane prima che gli aggiornamenti di sicurezza possano essere attivati.
Anche l’ingegneria sociale è destinata a diventare più pericolosa che mai. Con il potere dell’AI dalla loro parte, gli aggressori potrebbero estrarre dati sui dipendenti da profili pubblici, quindi creare messaggi di phishing mirati o persino generare chiamate telefoniche deepfake in tempo reale per sfruttare il lato umano dei sistemi di sicurezza. Questi non sono scenari ipotetici — i deepfake sono già stati sempre più utilizzati come arma.
Come possono le aziende integrare le linee guida dell’AI Act – senza perdere terreno?
Quindi, come possiamo vedere, ci sono molte sfide davanti a noi. Eppure, nonostante le sue imperfezioni, l’AI Act non è qualcosa che le aziende possono semplicemente ignorare. Cosa si può fare, quindi? La mia visione è che la conformità deve diventare più intelligente, non più difficile. Un approccio più proattivo sarebbe quello di costruire sistemi di AI tenendo conto delle normative fin dal primo giorno, piuttosto che adattarli successivamente.
Questo include l’utilizzo di strumenti basati sull’AI per automatizzare il monitoraggio della conformità e interagire regolarmente con gli organi di regolamentazione per rimanere informati. Ha anche senso partecipare a eventi di settore, condividendo le migliori pratiche e le tendenze emergenti nella cybersicurezza e nella conformità in generale.
In ultima analisi, l’AI Act mira a portare ordine e responsabilità nello sviluppo dell’AI. Ma quando si tratta di cybersicurezza, introduce anche frizioni e rischi seri. Se l’obiettivo è mantenere l’Europa al sicuro, allora la regolamentazione deve evolversi tanto rapidamente quanto la tecnologia che cerca di governare.
Perché in questo momento, i difensori stanno giocando a rincorrere.
