Cybersecurity Italia, visionando il testo finale del disegno di legge per la cybersicurezza, quello ‘bollinato’ dalla Ragioneria di Stato, ha notato la conferma di quanto previsto nelle bozze in merito alle funzioni dell’Agenzia per la Cybersicurezza Nazionale in materia di intelligenza artificiale.
L’Agenzia per la Cybersicurezza Nazionale (ACN) può fare affidamento all’intelligenza artificiale per rafforzare la cybersicurezza dell’Italia. Sembra ovvio, essendo nell’era dell’AI. Ma non sembrava scontato nelle ore dell’approvazione da parte del Consiglio dei ministri del recente disegno di legge “in materia di rafforzamento della cybersicurezza nazionale, resilienza delle pubbliche amministrazioni, personale e funzionamento dell’Agenzia per la cybersicurezza nazionale, nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”.
In un primo momento, a ridosso dell’approvazione del Ddl, sembrava fosse saltato quest’articolo.
Ora, visionando il testo finale del disegno di legge, quello ‘bollinato’ dalla Ragioneria di Stato, abbiamo notato la conferma di quanto previsto nelle bozze in merito alle funzioni dell’Agenzia per la Cybersicurezza Nazionale in materia di intelligenza artificiale.
Ossia l’art.7 recita “l’Agenzia per la Cybersicurezza Nazionale promuove e sviluppa ogni iniziativa, anche di partenariato pubblico- privato, volta a valorizzare l’intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia”.
Questo non significa che l’ACN diventa così “l’Authority” prevista dall’AI Act come supervisore del futuro Regolamento in Italia. L’AI Act obbliga tutti i Paesi dell’Unione ad individuare almeno un’Autorità o agenzia nazionale pubblica con il compito, tra gli altri, di supervisionare la corretta applicazione dell’AI ACT. Ogni Stato membro dovrebbe anche designare un’Autorità di vigilanza del mercato per fungere da punto di contatto unico.
Significa, invece, che l’Agenzia guidata dal direttore generale Bruno Frattasi può incentivare e portare avanti iniziative, anche facendo leva sulla strategica cooperazione pubblico-privata, sull’utilizzo delle migliori soluzioni di intelligenza artificiale per aumentare la sicurezza cibernetica del nostro Paese. Ma farlo con un approccio etico e con l’obiettivo di fare affidamento su soluzioni sicure, affidabili e in linea con i princìpi, valori e diritti fondamentali tipici dei Paesi democratici.
Le vulnerabilità dell’AI
Questo perché l’AI, da una parte offre tanti vantaggi anche per la cybersecurity, dall’altra può presentare vulnerabilità appetibili ai cyber attaccanti.
I sistemi di intelligenza artificiale possono, infatti, funzionare diversamente dall’obiettivo sperato e quindi essere un rischio per l’incolumità delle persone e dei diritti fondamentali se esposti a dati inaffidabili e gli aggressori stanno sfruttando questa vulnerabilità.
Attaccare il sistema di intelligenza artificiale (poisoning) di un’auto a guida autonoma, aggiungendo come input segnaletiche stradali false (deviazioni, lavori in corso, corsie, ecc…) per far uscire di strada il veicolo o per causare un incidente contro un’altra vettura. Questo è uno degli effetti generati da cyber attacchi ai sistemi di intelligenza artificiale con la conseguente manipolazione dell’AI. Un altro tipo di attacco informatico, sferrato nella fase di implementazione del sistema basato sull’AI, può essere in grado di rubare dati sensibili su cui il chatbot è stato addestrato.
Ad individuare per la prima volta questi nuovi tipi di cyber attacchi ai sistemi di AI è stato il NIST (National Institute of Standards and Technology) nel suo più grande lavoro di ricerca svolto per lo sviluppo dell’Intelligenza Artificiale affidabile.
Per approfondire:
AI, i 4 tipi di cyber attacchi che possono manipolarla per causare incidenti di auto e rubare dati