In occasione di Kaspersky Horizons, la conferenza europea che si è tenuta dal 30 giugno al 2 luglio 2025 a Madrid, gli esperti di cybersecurity chiedono una maggiore trasparenza riguardo all’utilizzo dell’intelligenza artificiale. L’IA è un’arma a doppio taglio: se da un lato permette un significativo aumento dell’efficienza e consente di attivare nuove potenzialità sia per le aziende che per gli utenti, allo stesso tempo può essere utilizzata in modo improprio dai cybercriminali per agevolare la creazione di malware e molto altro. Da una recente ricerca condotta da Kaspersky risulta che il 52% delle aziende a livello globale teme di perdere la fiducia se non migliorano la protezione contro gli attacchi informatici basati sull’intelligenza artificiale. Allo stesso tempo, il 41% dichiara di non avere le competenze necessarie per affrontare le minacce esterne e proteggersi efficacemente da questi scenari. Grazie alle “Linee guida per lo sviluppo e l’implementazione sicuri dei sistemi di IA”, Kaspersky fornisce indicazioni specifiche che le aziende possono seguire per implementare l’IA in modo sicuro e responsabile. Inoltre, il documento “Principi di utilizzo etico dei sistemi di IA nella cybersecurity” integra queste linee guida con principi etici per lo sviluppo e l’utilizzo dell’IA nella cybersecurity.
Cresce sempre più l’uso dell’Intelligenza Artificiale nelle aziende
L’intelligenza artificiale si sta sviluppando rapidamente e, sebbene il suo potenziale sia prevalentemente indirizzato a effetti favorevoli per le aziende e gli utenti, i cybercriminali meno esperti stanno già utilizzando l’IA per aumentare le loro abilità criminali.
Dallo studio di Kaspersky emerge che la maggior parte delle aziende è consapevole di questi pericoli: il 58% delle aziende a livello globale teme una violazione dei dati sensibili e il 52% la perdita di fiducia, oltre a subire danni finanziari (52%), nel caso in cui non dovessero migliorare la propria protezione contro gli attacchi guidati dall’intelligenza artificiale. Tuttavia, spesso mancano le conoscenze necessarie: il 41% degli intervistati dichiara di non disporre di informazioni rilevanti da parte di esperti esterni riguardo alle attuali minacce derivanti dagli attacchi supportati dall’IA.
Kaspersky e l’AI Pact
Kaspersky propone quindi linee guida chiare per lo sviluppo e l’utilizzo etico dell’IA, al fine di prevenire efficacemente eventuali abusi e manomissioni. Nel 2024, Kaspersky ha firmato l’AI Pact della Commissione Europea, un’iniziativa finalizzata a preparare le aziende alla realizzazione dell’AI Act, il primo quadro normativo completo sull’IA a livello mondiale, adottato dall’Unione Europea (UE). Nel dicembre dello stesso anno, Kaspersky ha anche presentato le sue linee guida per lo sviluppo e l’implementazione sicura dei sistemi di IA durante un workshop all’Internet Governance Forum (IGF) 2024 a Riyadh. Trasparenza, sicurezza, controllo umano e protezione dei dati sono i principi e le basi di questo impegno.
Trasparenza, sicurezza, controllo e protezione dei dati sono gli elementi fondamentali dell’utilizzo etico dell’IA.
Le Linee guida per lo sviluppo e l’implementazione sicuri dei sistemi di IA
Per promuovere l’adozione etica dell’AI, Kaspersky ha sviluppato delle linee guida e dei principi per il suo utilizzo responsabile.
Le “Linee guida per lo sviluppo e l’implementazione sicuri dei sistemi di IA” riguardano gli aspetti chiave dello sviluppo, dell’implementazione e del funzionamento dell’IA, tra cui la progettazione, le best practice di sicurezza e l’integrazione, oltre a focalizzarsi sullo sviluppo di modelli fondamentali. Tra questi rientrano:
- Consapevolezza e formazione in materia di cybersecurity: Kaspersky evidenzia la necessità di supportare il management e di fornire una formazione specializzata ai dipendenti. Il personale deve comprendere le minacce legate all’IA attraverso corsi regolari di formazione che riflettano i nuovi rischi.
- Tipologia di minaccia e valutazione del rischio: la gestione proattiva delle minacce (ad esempio STRIDE, OWASP) aiuta a identificare precocemente le vulnerabilità. Kaspersky evidenzia l’importanza di valutare rischi come l’housing dei dati e l’uso improprio dei modelli.
- Sicurezza dell’infrastruttura (cloud): è fondamentale una solida sicurezza del cloud. Kaspersky suggerisce la crittografia, la segmentazione della rete, i principi zero-trust e le patch regolari per prevenire le violazioni.
- Sicurezza della supply chain e dei dati: gli strumenti di IA di terze parti comportano rischi per i dati e la privacy. Kaspersky consiglia controlli rigorosi, l’uso di safe tensor e politicy rigorose sulla privacy per evitare violazioni.
- Test e verifica: la verifica continua dei modelli consente di individuare problemi come la fuga dei dati e gli attacchi esterni. Kaspersky raccomanda il monitoraggio, la suddivisione dei set di dati e la revisione delle decisioni strategiche.
- Difesa da attacchi specifici di ML: per difendersi da attacchi come prompt injection o input avversari, Kaspersky suggerisce la formazione attraverso esempi di attacchi esterni, il rilevamento di anomalie e la diversificazione dei modelli.
- Aggiornamenti e manutenzione regolari della sicurezza: le frequenti patch degli strumenti di intelligenza artificiale e la partecipazione a programmi di bug bounty aiutano a risolvere le vulnerabilità e a rafforzare la resilienza.
- Conformità agli standard internazionali: Kaspersky evidenzia la necessità di rispettare gli standard globali (ad esempio, GDPR, EU AI Act) e di effettuare audit regolari per garantire l’allineamento legale, etico e di privacy.
I “Principi di utilizzo etico dei sistemi di IA nella cybersecurity”
I “Principi di utilizzo etico dei sistemi di IA nella cybersecurity” invitano a una maggiore formazione ed alla definizione di standard chiari incentrati su trasparenza, sicurezza, controllo umano e protezione dei dati, per prevenire efficacemente la violazione e l’uso improprio delle applicazioni di IA. Questi principi includono:
- Trasparenza: informare i clienti sull’uso di AI/MLdivulgare, spiegarne il funzionamento, sviluppare sistemi il più possibile comprensibili e adottare misure di controllo che garantiscano risultati adeguati.
- Sicurezza: privilegiare la sicurezza durante tutto lo sviluppo e l’implementazione; effettuare controlli di sicurezza specifici e red-teaming; ridurre al minimo l’affidamento a dati di formazione esterni; implementare strategie di protezione multilivello; prediligere soluzioni basate su cloud con protezioni adeguate.
- Controllo umano: assicurarsi che tutti i sistemi di IA/ML siano supervisionati dall’uomo, che gli specialisti effettuino un monitoraggio continuo e che gli algoritmi vengano affiancati da competenze umane.
- Protezione dei dati: rispettare la privacy dei dati personali; limitare e ridurre il trattamento dei dati; possibilità di cancellazione o l’anonimizzazione; assicurarsi di garantire l’integrità dei dati; applicare misure tecniche e organizzative per salvaguardare la privacy.
Il parere dell’esperto
“L’IA etica si basa sulla fiducia, sulla conformità e sul successo aziendale sostenibile. Consente alle aziende di minimizzare efficacemente il rischio di violazione dei dati e di minacce basate sull’IA, rispettando al contempo in modo affidabile i requisiti normativi come la legge europea sull’IA. In un mondo sempre più digitalizzato, l’utilizzo responsabile dell’IA non è solo una questione tecnologica, ma anche di integrità aziendale e di redditività sul lungo termine. Le nostre linee guida per lo sviluppo e l’implementazione sicura dell’intelligenza artificiale, così come i nostri principi per l’uso etico dei sistemi di IA nella cybersecurity, consentono alle aziende di utilizzare l’IA in modo responsabile e sicuro, per proteggersi dalle minacce legate all’IA senza sacrificare i vantaggi offerti dalla tecnologia”, ha commentato Jochen Michels, Director Public Affairs Europe di Kaspersky.