Di Alessio Jacona*
«Oggi, accanto agli attacchi informatici tradizionali, vediamo moltiplicarsi quelli condotti utilizzando intelligenza artificiale, che non solo migliorano l’efficacia degli attacchi stessi, ma aumentano anche il numero di persone che possono condurli». A parlare è Pierguido Iezzi, CEO e co-founder di Swascan, società di cyber security fondata assieme a Raoul Chiesa. Ex Ufficiale di carriera presso l'Accademia Militare di Modena, laureato in Scienze dell'Informazione, Iezzi ha alle spalle oltre 30 anni di esperienza nel mondo della tecnologia, dell’innovazione, della cyber security e gestione aziendale.
Del suo lavoro parla con passione, innanzitutto per sottolineare quali rischi comporti il credere, ancora oggi, che la sicurezza informatica «sia qualcosa di scollegato dal mondo reale, quando invece va intesa come la continuazione e l’evoluzione della sicurezza nel mondo fisico». Scherzando, ricorda che il primo caso di phishing documentato è quello in cui in un film Totò vende a qualcuno la Fontana di Trevi; un esempio semiserio e utile a chiarire che, quando si parla di come viene commesso un crimine, si parla soprattutto di mezzi, opportunità e motivazioni: «Nel passaggio dal mondo analogico a quello digitale - spiega - le motivazioni sono rimaste le stesse, mentre i mezzi e le opportunità a disposizione di chi vuole delinquere sono cambiati. Rispetto ai mezzi, basta un pc collegato a Internet, mentre le opportunità risiedono in una doppia vulnerabilità: dei sistemi che usiamo, e delle persone, che possono essere manipolate e tratte in inganno».
Come accennato all’inizio, a complicare questo quadro interviene ora l'intelligenza artificiale che, per riprendere ad esempio la truffa della Fontana di Trevi, può prendere il posto di Totò nel costruire l’inganno. O, peggio, può generare tanti Totò e tante truffe quanti sono coloro che la utilizzano con cattive intenzioni, perdipiù senza che siano necessarie conoscenze tecniche specifiche. «Mettiamo il caso che io non sia uno sviluppatore ma voglia creare un codice malevolo - chiarisce il CEO di Swascan - basta fare le richieste giuste, utilizzare dei bypass, e ChatGPT crea un buon testo di phishing da inviare per mail, il codice per creare la pagina di atterraggio, dove indurre il malcapitato a inserire le proprie username e password e, infine, anche quello con cui automatizzare l’invio di tali credenziali a un mio server». Mentre parla, Iezzi mostra in tempo reale come fare, e il risultato è stupefacente.
Sia chiaro, l’intenzione qui non è demonizzare ChatpGPT, i Large Language Model (LLM) e l’IA in generale: la questione è che tali sistemi danno a chiunque accesso a potenti strumenti che possono essere usati sia al servizio del bene, sia per delinquere. La cosa paradossale, poi, è che questa improvvisa “democratizzazione” dell’IA rischia di danneggiare economicamente anche gli stessi criminali: «Chatgpt finirà con il mettere in crisi il mercato del cybercrime - osserva infatti Iezzi - perché anche lì vige la legge della domanda e dell’offerta, e se l’IA aumenta il numero di persone che può creare software malevoli e usarli o metterli in vendita, assieme al rischio per le aziende cresce anche la concorrenza tra cybercriminali». Insomma, un argomento in più, e forse inatteso, per chi teme che l’IA ci ruberà il lavoro.
Se chi attacca usa l’intelligenza artificiale, allora anche chi difende si ritrova obbligato a farlo, in una sorta di continua rincorsa: «Tornando alla metafora cinematografica iniziale - gioca Iezzi - se i cybercriminali sono Totò, allora noi siamo una sorta di Aldo Fabrizi al loro costante inseguimento. In più dobbiamo essere capaci di prevedere quali saranno i prossimi trend per definire strategie e anticipare gli attacchi».
Restando dal lato di chi difende, anche qui l’IA svolgerà un ruolo sempre più rilevante nella gestione delle minacce: parlando di aziende, ad esempio, l’intelligenza artificiale potrà essere utilizzata per fare “sicurezza predittiva”, cioè «per scoprire quali sono le informazioni che un attaccante potrebbe raccogliere dall’esterno al fine di un attacco, quindi anche per simulare il modo in cui potrebbe avvenire tale attacco». E poi per fare “sicurezza preventiva”, ovvero la verifica della vulnerabilità dei sistemi hardware e software, così come la vulnerabilità delle persone, misurando ad esempio quanto queste siano soggette a cadere in trappole di social engineering. «Con l’IA si potrà anche creare dei corsi di formazione sulla sicurezza con un livello di personalizzazione che arriva al dettaglio del singolo dipendente, creato in base alla funzione che ha in azienda, al suo profilo personale e alla sua storia. E allo stesso modo si potranno creare policy di sicurezza su misura per ogni settore dell’azienda», spiega Iezzi.
Infine l’IA potrà essere utilizzata (e in parte già lo è) per fare “sicurezza proattiva”, cioè ad esempio per sorvegliare il traffico dei dati, individuare le anomalie e intervenire autonomamente mentre si evolve nel tempo, imparando. «In questo momento l’IA viene utilizzata per automatizzare processi manuali e ripetitivi - conclude infatti Pierguido Iezzi - ma è ovvio che a tendere l’uomo resterà fuori dal loop».
*Giornalista, esperto di innovazione e curatore dell’Osservatorio Intelligenza Artificiale ANSA.it
Riproduzione riservata © Copyright ANSA