AI e cybersecurity, un binomio necessario secondo il nuovo report ENISA
L’Intelligenza Artificiale con le sue applicazioni è fra i temi più discussi nel panorama politico e mediatico contemporaneo: come dimostra la recente vicenda legata a ChatGPT e utenti italiani, non passa giorno senza che gli innumerevoli utilizzi dell’AI nei vari campi della vita umana siano protagonisti della cronaca locale o internazionale.
Oggi l’Agenzia dell’Unione europea per la cybersecurity (ENISA), creata quasi 20 anni fa al fine di istituire e rafforzare criteri comuni di sicurezza informatica nell’area comunitaria, affronta organicamente la questione con il report “Cybersecurity of AI and standardisation”.
Pur ammettendo la rilevanza di alcuni elementi hardware o infrastrutturali – nonché il fatto che molti sistemi d’intelligenza artificiale siano ancora in fase sperimentale – l’Agenzia parte dall’assunto “AI is software”, evidenziando come numerose misure e protocolli di software security possano essere applicati anche agli ecosistemi ML/AI. Il modello di riferimento resta infatti la celebre triade “confidentiality, integrity and availability” (CIA), manifestando tuttavia l’intenzione di aggiornarlo alla luce dei nuovi sviluppi tecnici e dell’inedita complessità dei sistemi in esame.
A tale scopo il documento offre una sintesi delle fonti normative e degli standard tecnologici più rilevanti per la materia, alcuni già vigenti (come i noti ISO/IEC 27001 – 27002 – 9001) e altri in divenire, richiamando l’opportunità di proseguire nel solco di una regolamentazione che mantenga la sicurezza come proprio perno centrale.
Prevedere una standardizzazione solida e condivisa in tema di cybersecurity dell’AI è del resto necessario per evitare che le iniziative legislative dedicate, come gli attesi AI Act e Cyber Resilience Act (CRA) in corso d’esame presso le istituzioni comunitarie, finiscano per essere vanificate da lacune o disparità nei sistemi giuridici dei vari Stati UE.
Il report ENISA si pone quindi come un contributo agli sforzi europei verso un quadro regolatorio comune, raccomandando di coinvolgere ogni soggetto interessato – governi, piccole o grandi industrie del comparto tecnologico, standards-developing organisations (SDOs) ed enti di ricerca – nella definizione dei criteri necessari a sviluppare sistemi di AI robusti, affidabili e sicuri.