Dott.ssa Claudia Di Pirro Bellisario
Negli ultimi mesi, su Tax Atlantis abbiamo discusso di come la sicurezza aziendale stia vivendo una trasformazione epocale: dalle tecnologie applicate alla supply chain, al nuovo quadro normativo europeo con il Cyber Resilience Act, fino all’integrazione della sicurezza nella governance d’impresa. In questo percorso, l’Intelligenza Artificiale (AI) rappresenta il passo successivo.
Non parliamo più di strumenti che affiancano le funzioni tradizionali, ma di tecnologie che riscrivono le logiche stesse di prevenzione, analisi e risposta ai rischi. La domanda non è se l’AI entrerà nei sistemi di sicurezza, ma come potrà farlo senza diventare essa stessa un nuovo fattore di vulnerabilità.
L’AI sta cambiando il paradigma della sicurezza passando da un modello reattivo ad uno predittivo: la sua forza risiede infatti nella capacità di correlare dati eterogenei e spesso frammentati, come log informatici, accessi fisici, flussi logistici, transazioni finanziarie, comunicazioni interne.
Nelle infrastrutture critiche, modelli di anomaly detection permettono di individuare segnali deboli di possibili incidenti, come deviazioni nei consumi energetici o accessi anomali ai sistemi OT (Operational Technology). In ambito finanziario, algoritmi antifrode analizzano milioni di operazioni in tempo reale, intercettando pattern sospetti prima che si trasformino in danno. Nelle investigazioni aziendali, strumenti di AI forensics consentono di vagliare enormi volumi di documenti e messaggi digitali, accelerando la ricerca di evidenze e riducendo i margini di errore umano.
Questi esempi dimostrano come l’AI non sia solo uno strumento di automazione, ma un vero moltiplicatore di intelligenza operativa, capace di trasformare la sicurezza in una funzione strategica.
Accanto alle opportunità, l’adozione dell’AI porta con sé rischi nuovi, spesso sottovalutati.
Il primo riguarda la qualità e la neutralità dei dati. Se i dataset di training contengono bias o lacune, gli algoritmi produrranno risultati distorti. Non è un problema astratto: sistemi di riconoscimento biometrico hanno già mostrato tassi di errore differenziati per etnie e generi, con implicazioni etiche e giuridiche significative.
Un secondo fronte critico è quello della sicurezza dei modelli. Tecniche di model poisoning o adversarial attacks possono manipolare un algoritmo, inducendolo a ignorare intrusioni reali o a generare falsi allarmi. In uno scenario in cui la tempestività della risposta è cruciale, anche un singolo errore può tradursi in un danno sistemico.
Esiste poi la questione della dipendenza da fornitori terzi. Molti modelli di AI vengono sviluppati e gestiti da provider esterni, con il rischio che le imprese non abbiano piena visibilità su dataset, logiche decisionali e aggiornamenti. Questo solleva interrogativi non solo di sicurezza tecnica, ma anche di sovranità dei dati e continuità operativa.
Infine, vi è il rischio della sostituzione del controllo umano. L’eccessiva fiducia nell’algoritmo può spingere a delegare decisioni delicate senza la necessaria contestualizzazione, con conseguenze reputazionali e legali potenzialmente gravi.
Per evitare che l’AI diventi un rischio anziché un’opportunità, le imprese devono adottare un approccio strutturato alla governance. Non basta introdurre nuovi strumenti: occorre inserirli all’interno dei sistemi esistenti di gestione del rischio e della compliance.
NIST AI Risk Management Framework: già oggi fornisce linee guida su come valutare rischi e impatti legati all’uso dell’AI.
Questi strumenti non sono meri adempimenti, ma leve strategiche per trasformare l’AI in un asset affidabile. Una governance efficace significa audit periodici sugli algoritmi, trasparenza nelle logiche di decisione e definizione chiara delle responsabilità in caso di errore.
L’Europa si sta muovendo rapidamente per regolamentare l’AI, adottando un approccio più stringente rispetto ad altre aree del mondo. Con il Cyber Resilience Act, la sicurezza by design diventa obbligo per tutti i prodotti digitali, mentre l’AI Act, ormai prossimo all’approvazione, introdurrà una classificazione dei sistemi in base al livello di rischio.
Le applicazioni in ambito sicurezza - dal riconoscimento biometrico all’analisi comportamentale - rientreranno nella categoria “ad alto rischio”, con requisiti di trasparenza, audit e supervisione umana molto stringenti. Per le imprese europee sarà una sfida, ma anche un’opportunità: differenziarsi sul mercato globale adottando standard più elevati di affidabilità e accountability.
L’AI come leva competitiva solo se governata
L’Intelligenza Artificiale non è una moda passeggera, ma un cambio strutturale nel modo di concepire la sicurezza. Le imprese che sapranno governarla con strumenti adeguati - integrando tecnologia, compliance e responsabilità - potranno trasformarla in un vantaggio competitivo, rafforzando la fiducia di clienti, partner e istituzioni.
Il rischio maggiore, oggi, non è adottare l’AI troppo presto, ma farlo senza la consapevolezza dei suoi limiti e senza un quadro di governance robusto. Perché nella sicurezza, più che in ogni altro ambito, l’innovazione non è mai neutrale: è un acceleratore, e spetta alle imprese decidere se sarà un alleato o una vulnerabilità.
Riguardo all'autore
Esperta in Security e Risk Management, con una formazione nella Guardia di Finanza e un’esperienza consolidata nella prevenzione delle frodi, nelle investigazioni aziendali e nella compliance normativa. Attualmente ricopre il ruolo di Senior Manager, Risk – Global Investigations & Security Operations presso Amazon, dove è responsabile di attività investigative su scala globale, protezione degli asset aziendali e sviluppo di strategie di mitigazione del rischio.
