In occasione di Kaspersky Horizons, la conferenza europea che si è tenuta dal 30 giugno al 2 luglio 2025 a Madrid, gli esperti di cybersecurity chiedono una maggiore trasparenza riguardo all’utilizzo dell’intelligenza artificiale. L’IA è un’arma a doppio taglio: se da un lato permette un significativo aumento dell’efficienza e consente di attivare nuove potenzialità sia per le aziende che per gli utenti, allo stesso tempo può essere utilizzata in modo improprio dai cybercriminali per agevolare la creazione di malware e molto altro. Da una recente ricerca condotta da Kaspersky risulta che il 52% delle aziende a livello globale teme di perdere la fiducia se non migliorano la protezione contro gli attacchi informatici basati sull’intelligenza artificiale. Allo stesso tempo, il 41% dichiara di non avere le competenze necessarie per affrontare le minacce esterne e proteggersi efficacemente da questi scenari. Grazie alle “Linee guida per lo sviluppo e l’implementazione sicuri dei sistemi di IA”, Kaspersky fornisce indicazioni specifiche che le aziende possono seguire per implementare l’IA in modo sicuro e responsabile. Inoltre, il documento “Principi di utilizzo etico dei sistemi di IA nella cybersecurity” integra queste linee guida con principi etici per lo sviluppo e l’utilizzo dell’IA nella cybersecurity.
L’intelligenza artificiale si sta sviluppando rapidamente e, sebbene il suo potenziale sia prevalentemente indirizzato a effetti favorevoli per le aziende e gli utenti, i cybercriminali meno esperti stanno già utilizzando l’IA per aumentare le loro abilità criminali.
Dallo studio di Kaspersky emerge che la maggior parte delle aziende è consapevole di questi pericoli: il 58% delle aziende a livello globale teme una violazione dei dati sensibili e il 52% la perdita di fiducia, oltre a subire danni finanziari (52%), nel caso in cui non dovessero migliorare la propria protezione contro gli attacchi guidati dall'intelligenza artificiale. Tuttavia, spesso mancano le conoscenze necessarie: il 41% degli intervistati dichiara di non disporre di informazioni rilevanti da parte di esperti esterni riguardo alle attuali minacce derivanti dagli attacchi supportati dall'IA.
Kaspersky propone quindi linee guida chiare per lo sviluppo e l'utilizzo etico dell'IA, al fine di prevenire efficacemente eventuali abusi e manomissioni. Nel 2024, Kaspersky ha firmato l'AI Pact della Commissione Europea, un'iniziativa finalizzata a preparare le aziende alla realizzazione dell'AI Act, il primo quadro normativo completo sull'IA a livello mondiale, adottato dall'Unione Europea (UE). Nel dicembre dello stesso anno, Kaspersky ha anche presentato le sue linee guida per lo sviluppo e l'implementazione sicura dei sistemi di IA durante un workshop all'Internet Governance Forum (IGF) 2024 a Riyadh. Trasparenza, sicurezza, controllo umano e protezione dei dati sono i principi e le basi di questo impegno.
"L'IA etica si basa sulla fiducia, sulla conformità e sul successo aziendale sostenibile. Consente alle aziende di minimizzare efficacemente il rischio di violazione dei dati e di minacce basate sull'IA, rispettando al contempo in modo affidabile i requisiti normativi come la legge europea sull'IA. In un mondo sempre più digitalizzato, l'utilizzo responsabile dell'IA non è solo una questione tecnologica, ma anche di integrità aziendale e di redditività sul lungo termine. Le nostre linee guida per lo sviluppo e l'implementazione sicura dell'intelligenza artificiale, così come i nostri principi per l'uso etico dei sistemi di IA nella cybersecurity, consentono alle aziende di utilizzare l'IA in modo responsabile e sicuro, per proteggersi dalle minacce legate all'IA senza sacrificare i vantaggi offerti dalla tecnologia", ha commentato Jochen Michels, Director Public Affairs Europe di Kaspersky.
"L'intelligenza artificiale viene sempre più utilizzata per rafforzare la sicurezza informatica, dal rilevamento delle minacce alla previsione degli attacchi. Ma chi decide fino a che punto questi strumenti dovrebbero spingersi? Quando si verificano delle violazioni, il problema spesso ricade più gravemente sui singoli individui e sui gruppi vulnerabili, mentre le aziende più grandi subiscono meno ripercussioni. Abbiamo bisogno di sistemi non solo efficaci, ma anche equi ed etici, per garantire che il controllo, la responsabilità e i danni siano condivisi in modo equo nel nostro mondo digitale", ha dichiarato Liliana Acosta, Founder e CEO di Thinker Soul, una società di consulenza che applica l'etica, il pensiero critico e la filosofia per guidare le aziende nella trasformazione digitale.
Clément Domingo, Cybersecurity Expert ha condiviso le proprie esperienze e scoperte: "Negli ultimi mesi ho assistito a un aumento significativo di utilizzo dell'IA da parte dei cybercriminali che si sono resi conto di quanto questa tecnologia possa cambiare le carte in tavola e la utilizzano già con successo per potenziare i loro attacchi. È quindi estremamente importante che anche le aziende inseriscano l'IA nelle loro strategie di difesa, per rafforzare le misure di sicurezza complessive. Nel farlo, è fondamentale comprendere le tattiche dei cybercriminali - a volte anche mettendosi nei loro panni - per diventare più efficaci nel combatterli. In questo contesto, l'IA può essere utilizzata come un potente strumento - se usata in modo consapevole e responsabile - per proteggere i dati sensibili, le infrastrutture, la privacy e le aziende in generale".
Trasparenza, sicurezza, controllo e protezione dei dati sono gli elementi fondamentali dell'utilizzo etico dell'IA.
Per promuovere l’adozione etica dell'AI, Kaspersky ha sviluppato delle linee guida e dei principi per il suo utilizzo responsabile.
Le “Linee guida per lo sviluppo e l'implementazione sicuri dei sistemi di IA” riguardano gli aspetti chiave dello sviluppo, dell'implementazione e del funzionamento dell'IA, tra cui la progettazione, le best practice di sicurezza e l'integrazione, oltre a focalizzarsi sullo sviluppo di modelli fondamentali. Tra questi rientrano:
· Consapevolezza e formazione in materia di cybersecurity: Kaspersky evidenzia la necessità di supportare il management e di fornire una formazione specializzata ai dipendenti. Il personale deve comprendere le minacce legate all'IA attraverso corsi regolari di formazione che riflettano i nuovi rischi.
· Tipologia di minaccia e valutazione del rischio: la gestione proattiva delle minacce (ad esempio STRIDE, OWASP) aiuta a identificare precocemente le vulnerabilità. Kaspersky evidenzia l'importanza di valutare rischi come l'housing dei dati e l'uso improprio dei modelli.
· Sicurezza dell'infrastruttura (cloud): è fondamentale una solida sicurezza del cloud. Kaspersky suggerisce la crittografia, la segmentazione della rete, i principi zero-trust e le patch regolari per prevenire le violazioni.
· Sicurezza della supply chain e dei dati: gli strumenti di IA di terze parti comportano rischi per i dati e la privacy. Kaspersky consiglia controlli rigorosi, l'uso di safe tensor e politicy rigorose sulla privacy per evitare violazioni.
· Test e verifica: la verifica continua dei modelli consente di individuare problemi come la fuga dei dati e gli attacchi esterni. Kaspersky raccomanda il monitoraggio, la suddivisione dei set di dati e la revisione delle decisioni strategiche.
· Difesa da attacchi specifici di ML: per difendersi da attacchi come prompt injection o input avversari, Kaspersky suggerisce la formazione attraverso esempi di attacchi esterni, il rilevamento di anomalie e la diversificazione dei modelli.
· Aggiornamenti e manutenzione regolari della sicurezza: le frequenti patch degli strumenti di intelligenza artificiale e la partecipazione a programmi di bug bounty aiutano a risolvere le vulnerabilità e a rafforzare la resilienza.
· Conformità agli standard internazionali: Kaspersky evidenzia la necessità di rispettare gli standard globali (ad esempio, GDPR, EU AI Act) e di effettuare audit regolari per garantire l'allineamento legale, etico e di privacy.
I “Principi di utilizzo etico dei sistemi di IA nella cybersecurity” invitano a una maggiore formazione ed alla definizione di standard chiari incentrati su trasparenza, sicurezza, controllo umano e protezione dei dati, per prevenire efficacemente la violazione e l'uso improprio delle applicazioni di IA. Questi principi includono:
· Trasparenza: informare i clienti sull'uso di AI/MLdivulgare, spiegarne il funzionamento, sviluppare sistemi il più possibile comprensibili e adottare misure di controllo che garantiscano risultati adeguati.
· Sicurezza: privilegiare la sicurezza durante tutto lo sviluppo e l'implementazione; effettuare controlli di sicurezza specifici e red-teaming; ridurre al minimo l'affidamento a dati di formazione esterni; implementare strategie di protezione multilivello; prediligere soluzioni basate su cloud con protezioni adeguate.
· Controllo umano: assicurarsi che tutti i sistemi di IA/ML siano supervisionati dall'uomo, che gli specialisti effettuino un monitoraggio continuo e che gli algoritmi vengano affiancati da competenze umane.
· Protezione dei dati: rispettare la privacy dei dati personali; limitare e ridurre il trattamento dei dati; possibilità di cancellazione o l'anonimizzazione; assicurarsi di garantire l'integrità dei dati; applicare misure tecniche e organizzative per salvaguardare la privacy.
