lo studio

Bilanciare i rischi di security beneficiando di tecnologie di AI: fra opportunità e rischi



Indirizzo copiato

Il World Economic Forum, in collaborazione con Global Cyber ​​Security Capacity Centre dell’Università di Oxford, ha esplorato le soluzioni di AI, per orientare strategie e decisioni, nella consapevolezza della gestione dei rischi informatici correlati alla nuova tecnologia. Ecco l’approccio “shift left, expand right & repeat”

Pubblicato il 28 gen 2025

Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor



Bilanciare i rischi di security beneficiando di tecnologie di AI: fra opportunità e rischi

Investire e innovare mediante soluzioni di intelligenza artificiale può essere un valido volano di crescita, a patto che si abbia contezza della gestione dei rischi informatici correlati alla nuova tecnologia.

Il World Economic Forum, in collaborazione con Global Cyber ​​Security Capacity Centre dell’Università di Oxford, ha esplorato queste tematiche per orientare strategie e decisioni in modo bilanciato, fra le opportunità emergenti e i rischi di sicurezza informatica associati.

Ne è scaturito un white paper che propone un approccio più esteso del noto “shift left” della sicurezza informatica (ovvero all’approccio per cui è necessario anticipare il design della sicurezza fin dall’avvio di un qualsiasi progetto) e che si contraddistingue per l’aggiunta della necessaria tenuta sotto controllo della cyber security, anche durante le fasi implementative dei sistemi di AI, senza dimenticare gli obiettivi di miglioramento continuo.

Il nuovo termine coniato per l’occasione è quindi sintetizzato nella dicitura “shift left, expand right & repeat“.

Lo studio sui rischi legati all’AI

Pubblicato a gennaio 2025 in occasione dell’ultimo WEF di Davos, il white paper “Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards ” punta a “catalizzare la trasformazione responsabile del settore esplorando le implicazioni strategiche, le opportunità e le sfide della promozione dell’innovazione guidata dall’IA nei modelli aziendali e operativi”, tenendo conto delle implicazioni di sicurezza informatica.

Lo studio fa parte delle iniziative dell’AI Governance Alliance, un gruppo eterogeneo formato da leader del settore, governi, istituzioni accademiche e organizzazioni della società civile coinvolte in progetti e innovazioni nel campo delle AI ed interessate ad una adozione consapevole.

Esigenza di affidabilità

Per innovare in modo affidabile con le tecnologie globalmente ricomprese nella generica dicitura di intelligenza artificiale, è necessario che le aziende possano adattare il loro approccio, per trarre vantaggio in modo sicuro.

Sebbene sia necessario un approccio basato sul rischio anche in campo AI, così come è strutturato oggi, non sembra essere sufficiente, in quanto i sistemi di IA sono intimamente integrati con le altre componenti di una soluzione, di un sistema, o di un intero sistema informativo.

In effetti, l’esigenza di uno stesso approccio end-to-end all’interno dell’organizzazione, si scontra con pratiche di Segregation of duties (SoD, segregazione dei ruoli), Least priviledge (privilegio minimo) e Need-to-know sui dati (restrizione dei dati considerati molto riservati e sensibili) che sono invece abitudini e pratiche ferree di sicurezza nelle organizzazioni.

Pratiche di analisi di rischio e governance per le tecnologie di AI

Si rende quindi necessario un sistema di analisi di rischio e governance che tenga conto sia delle esigenze preventive di progettazione e realizzazione/distribuzione (deployment) sia di quelle post implementazione che possano garantire monitoraggio e resilienza ovvero continuità e ripristino ed essere in linea con le prassi di security.

A tal fine e come primo passo, lo studio propone di mutuare l’esperienza della sicurezza anticipata (secondo la ‘security shift left’) spostando le pratiche di sicurezza “a monte del ciclo di vita del sistema IA (vale a dire, nelle fasi di costruzione e pre-distribuzione) per mitigare i rischi correlati, imponendo l’uso di processi che affrontino le vulnerabilità intrinseche nei sistemi e nei servizi IA utilizzati e acquistati dalle organizzazioni”.

A queste attività preparatorie della progettazione, lo studio suggerisce di “implementare pratiche di sicurezza informatica che proteggano i sistemi di intelligenza artificiale una volta che sono in uso e suggerendo in particolare azioni di:

  • comprensione dei rischi più ampi affrontati dalle aziende che utilizzano e dipendono dall’intelligenza artificiale;
  • comprensione dei rischi associati alla criticità dei dati elaborati;
  • efficaci capacità di sicurezza informatica operativa per proteggere da questi rischi e rilevare gli attacchi;
  • processi di risposta e ripristino efficaci per gestire gli incidenti quando si verificano”.

Tutto questo costituisce un’espansione a valle dell’adozione di un sistema di AI che, aggiunto all’approccio a monte, si riassume in ‘shift left, expand right’. Ma non basta.

L’approccio “shift left, expand right & repeat”

Se qualcosa ci ha insegnato il Ciclo di Deming e il metodo Kaizen in tema di miglioramento continuo è che qualsiasi approccio metodologico deve tenere conto dei cambiamenti e progressivamente adeguarsi per garantire flessibilità.

Allora se le tecnologie e il suo uso evolvono nel tempo, lo stesso deve fare l’approccio di sicurezza suggerito, che quindi deve ricomprendere “una ripetuta rivalutazione dei rischi e dei controlli, insieme a prove frequenti e test regolari della preparazione dell’organizzazione”.

Lo studio chiarisce come “ciò rappresenti un’altra opportunità per integrare ulteriormente la valutazione del rischio informatico e le capacità di intelligence nel ciclo di resilienza e adattare le strategie di test in base ai profili di rischio dell’IA in evoluzione e agli sviluppi degli attori delle minacce osservati nel settore”.

Si passa quindi a completare l’approccio ‘shift left, expand right’, con la visione cicicla: ‘shift left, expand right & repeat’.

Le policy di sicurezza

Infine, poiché “i sistemi di AI sono integrati nei processi e nei sistemi aziendali l’analisi di rischio deve poter tenere conto delle policy di sicurezza, ma anche delle interconnessioni dei flussi e soprattutto degli impatti potenziali che un disservizio di tali sistemi potrebbe creare”.

Gli esperti spiegano in questo caso che “laddove la garanzia sulla sicurezza dell’intelligenza artificiale sottostante o sull’efficacia delle difese sia limitata, è fondamentale considerare come superare qualsiasi compromesso, includendo eventualmente controlli aggiuntivi all’esterno del sistema stesso o revisionando quali dati dovrebbero o non dovrebbero essere esposti all’intelligenza artificiale”.

Per arrivare, infine, all’obiettivo di un approccio end-to-end è necessario, secondo gli esperti, integrare “i rischi e i controlli in strutture di governance più ampie e processi di gestione dei rischi aziendali”.

Analisi rischio/beneficio

A valle di una analisi di rischio estesa, che ricomprenda anche la BIA per gli impatti potenziali sui dati e sui processi che coinvolgono sistemi di AI, i decisori sono invitati ad un approccio preventivo di valutazione e analisi rischio/costo/beneficio per “assicurarsi che il beneficio sia commisurato ai costi e ai rischi”.

E per esserne certi suggeriscono che “le aziende tengano conto dei potenziali rischi di guasti del sistema di IA accidentali o dovuti ad attacchi malevoli”, aggiungendo, se possibile, di rivalutare periodicamente, ad ogni ciclo evolutivo delle tecnologie di AI adottata.

Questo richiede ai leader aziendali/decisori un aggiornamento continuo della loro comprensione della tecnologia.

L’auspicio a fare una più ampia collaborazione

Il richiamo finale dello studio è un auspicio a fare una più ampia collaborazione fra stakeholder ovvero comunità IA e sicurezza informatica, gli enti regolatori e i decisori politici sia per scambiare buone prassi, sia per proteggere le catene di fornitura.

Ma fino ad oggi le logiche di concorrenza spietata e di spartizione del mercato non hanno favorito questa piena collaborazione pubblico-privata, che resta pertanto e per ora, una fulgida chimera dei nostri tempi.

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 5