L’Intelligenza Artificiale sta trasformando la sicurezza informatica da problema tecnico a questione di potere, responsabilità e governo d’impresa. Ma continuiamo a fingere che l’errore sia sempre “del sistema”. Oltre un terzo degli attacchi informatici che diventano critici nasce da comportamenti umani. L’AI può aiutare, amplificare, accelerare. Ma non può firmare. E soprattutto non può prendersi la colpa.
Per anni la cybersecurity è stata raccontata con un linguaggio tanto rassicurante quanto tecnico. Firewall, antivirus, patch, policy. Insomma, una narrazione che ha avuto un enorme pregio: ha permesso alle aziende di pensare alla sicurezza come a qualcosa di delegabile, come un optional…come un lusso. Bastava acquistare la tecnologia giusta, nominare un responsabile, magari scrivere una procedura, e il problema veniva archiviato come “gestito”. Se poi qualcosa andava storto, si parlava di attacco sofisticato, di minaccia imprevedibile, di fatalità digitale, di hacker geni del cyber-crime che avevano usato le più spinte tecnologie per “bucare i nostri sistemi”.
Poi è arrivata l’Intelligenza Artificiale. E quella narrazione ha iniziato a scricchiolare. Prima da una parte, poi dall’altra, lentamente, per poi crollare.
Perché oggi i sistemi non si limitano a difendere. Osservano, correlano, prevedono, decidono. Decidono se un accesso è legittimo, se un pagamento è sospetto, se un comportamento è anomalo o se il traffico è regolare. In altre parole, esercitano potere. E quando un sistema esercita potere, la cybersecurity smette di essere una questione tecnica e diventa una questione di governance, nel senso più aziendale del termine: chi decide cosa, con quali limiti e, soprattutto, con quale responsabilità.
Qui, a mio avviso, sta il vero blind spot di molte organizzazioni. Abbiamo introdotto sistemi sempre più autonomi senza ridefinire il perimetro della responsabilità e, in alcuni, casi delegando al sistema stesso la scelta delle policy da applicare e dei livelli di sicurezza standard da utilizzare. Quando un algoritmo blocca una transazione legittima o non intercetta un attacco, la risposta è quasi sempre la stessa: “ha sbagliato il sistema”. Come se il sistema fosse un’entità astratta, neutrale, priva di catena decisionale. Ma un sistema non nasce da solo. È progettato, addestrato, configurato e autorizzato da noi…che, per fortuna, siamo tutt’altro che cyborg. Eppure la “firma”, nel momento dell’errore, sembra evaporare.
Il paradosso dell’Intelligenza Artificiale applicata alla cybersecurity è che, contemporaneamente, rappresenta la miglior difesa possibile e il miglior attaccante mai concepito. Le stesse tecniche che permettono di rilevare anomalie in tempo reale consentono di costruire attacchi perfettamente credibili, customizzati, adattivi. Il phishing non è più una mail scritta male, ma una conversazione contestuale, educata, spesso più coerente di quella di un collega in carne e ossa. Perché quella mail è frutto di un addestramento fatto con dati reali, conversazioni vere, toni originali. Il risultato è che il perimetro della sicurezza non è più la rete, ma diventa la fiducia. E la fiducia, per definizione, è fragile.
A rendere questo quadro ancora più fastidioso c’è un dato che il settore conosce bene, ma che raramente viene messo al centro del dibattito pubblico. Oltre un terzo degli attacchi informatici che vengono poi classificati come “high” o “critical” ha origine da un errore umano. Non in una vulnerabilità sconosciuta, non in un attacco sofisticato, ma in comportamenti quotidiani, in quella che viene definita oggi una errata “postura digitale”: una password riutilizzata o condivisa con qualche collega, un link cliccato con troppa leggerezza, una procedura aggirata “perché dobbiamo essere rapidi, te lo mando su WhatsApp”. È il dato che rovina la festa a chi spera che l’AI possa risolvere tutto così, come un trucco di magia a una festa di compleanno per bambini.
Ed è qui che il racconto diventa quasi ironico. Stiamo investendo milioni in sistemi di intelligenza artificiale capaci di analizzare miliardi di eventi al secondo, mentre continuiamo a tollerare pratiche organizzative che rendono vana metà di quella tecnologia. L’AI non clicca sui link “da sola”, non manda documenti sensibili via chat “da sol”, non condivide credenziali “solo per oggi, poi non lo faccio più” e non lo fa “da sola”. Lo facciamo noi. E nessun modello, per quanto sofisticato, potrà mai compensare un’organizzazione che confonde velocità con leggerezza, urgenza con superficialità.
Il rischio più grande, oggi, non è la AI. È l’illusione che quest’ultima possa sostituire la responsabilità umana. Automatizzare senza governare non elimina il rischio, non lo mitiga e non ne riduce il potenziale danno: semplicemente, lo sposta. Un sistema che “decide da solo” non rende l’azienda più sicura, la rende più opaca e, in un contesto normativo che va dal GDPR all’AI Act passando per la NIS2, non è un dettaglio: è un moltiplicatore di rischio legale, reputazionale e manageriale. Tradotto diventa: rischio di perdita economica!
Il legislatore europeo, su questo punto, è stato sorprendentemente (si, ho scritto “sorprendentemente”) chiaro, soprattutto con le nuova Direttiva NIS2 e con l’AI Act: non basta dire che un sistema è intelligente. Bisogna poter spiegare perché prende una decisione, chi l’ha autorizzata, chi la controlla e chi ne risponde. La sicurezza non è più solo una questione di prevenzione, ma di attribuzione. E questo sposta il tema direttamente sul tavolo dei vertici aziendali.
La cybersecurity del futuro non sarà vinta dagli algoritmi più potenti o da infrastrutture più corazzate, ma dalle organizzazioni più mature. Aziende che sanno spiegare una decisione automatica senza rifugiarsi nel linguaggio tecnico. Aziende che mantengono il controllo umano sui processi e sui fornitori critici che espongono al rischio cyber. Aziende che hanno il coraggio di spegnere un modello quando diventa opaco, senza viverlo come una sconfitta tecnologica. In questo scenario, i ruoli di CIO, CTO, CISO e DPO non sono più paralleli, ma convergenti: proteggere dati, persone, sistemi, finanze e decisioni è ormai lo stesso problema.
C’è poi un ultimo punto, forse il più scomodo di tutti. L’Intelligenza Artificiale sta abbassando il costo dell’attacco molto più rapidamente di quanto stia abbassando il costo della difesa. Questo significa che la sicurezza non può più essere solo reattiva. Serve una nuova alfabetizzazione manageriale. Capire cosa un modello può fare, cosa non deve fare e, soprattutto, dove non dovrebbe essere usato. Perché non tutto ciò che è tecnicamente possibile è organizzativamente sostenibile. E non tutto ciò che è automatizzabile è governabile.
In definitiva, la vera sfida non è tecnologica. È culturale, manageriale e giuridica. La cybersecurity non riguarda più solo la protezione dei dati, ma la protezione delle scelte aziendali: chi, cosa, come, dove, quando e perché. In un mondo in cui le macchine suggeriscono, prevedono e decidono, il vero vantaggio competitivo non sarà avere l’Intelligenza Artificiale più avanzata o il sistema di cybersecurity più efficiente, ma avere il coraggio di assumersi la responsabilità delle decisioni.
Perché arriverà il giorno in cui l’algoritmo sbaglierà. Non è un “se arriverà”, ma “quando arriverà”. E quel giorno, la vera domanda non sarà quanto fosse intelligente il sistema, ma “Chi avrà il coraggio di firmare?”.
Serve vision, serve governance.
