Oggi la sicurezza informatica non è più un tema confinato al reparto IT: è una questione organizzativa che riguarda il consiglio di amministrazione, i manager e l’operatore in prima linea. Le pratiche tradizionali — come l’enfasi sulle password lunghe o le classiche regole sul cliccare con cautela — restano utili, ma non bastano più a fronte delle nuove capacità offerte dall’AI. Serve un cambiamento di prospettiva: non solo tecnologie più robuste, ma un modello di governance che includa la valutazione del rischio, l’accountability e la capacità di reagire agli incidenti in modo strutturato.
Questa trasformazione implica anche un diverso approccio alla formazione: non più un corso conclusivo per ottenere un attestato, ma un percorso continuo e differenziato per ruoli che costruisca una alfabetizzazione diffusa. In pratica, occorre che ogni persona sappia riconoscere segnali anomali, comprenda quali sistemi trattano quali dati e sia incoraggiata a dubitare quando qualcosa sembra fuori contesto. La cultura organizzativa diventa così la prima linea di difesa insieme a misure tecniche e contratti di fornitura adeguati.
Perché le regole tradizionali non bastano
L’avvento dell’AI ha alzato la posta: gli attacchi si evolvono in scala, velocità e credibilità. Il fenomeno del phishing evoluto è emblematico: messaggi costruiti con cura, personalizzati sul destinatario e scritti con uno stile impeccabile riducono drasticamente l’efficacia delle vecchie raccomandazioni. Ma non è tutto: tecniche come la prompt injection e la model extraction mirano direttamente ai sistemi, inducendo chatbot o API a rivelare informazioni non previste. In questo contesto, non è sufficiente chiedere agli utenti di evitare errori elementari: serve che l’organizzazione riconosca e monitori pattern anomali e che gli strumenti siano configurati con controlli pensati per rischi nuovi.
Attacchi ai sistemi intelligenti
Quando l’obiettivo diventa il sistema e non solo la persona, emergono rischi specifici: endpoint sovrautilizzati che perdono informazioni, modelli che vengono replicati o estratti e assistenti che, con la domanda giusta, aggirano le regole interne. Inoltre i deepfake e le imitazioni vocali rendono più credibili chiamate e richieste urgenti, mettendo alla prova le procedure di verifica. In questi scenari, la resilienza non si misura solo sui firewall ma sulla capacità dell’azienda di rilevare anomalie, isolare componenti compromesse e comunicare in modo trasparente con stakeholder e autorità.
Norme e governance per l’era AI
Il quadro normativo europeo fornisce strumenti concettuali utili: il GDPR ha già introdotto il principio della valutazione del rischio e dell’obbligo di misure proporzionate allo stato dell’arte, mentre l’AI Act estende obblighi su robustezza, cybersecurity e responsabilità lungo il ciclo di vita dei sistemi ad alto rischio. Queste regole non vogliono essere solo vincoli formali: mirano a spostare l’attenzione dalla semplice conformità alla gestione attiva del rischio. Applicarle significa documentare scelte, dimostrare processi decisionali e creare responsabilità chiare tra fornitore e utilizzatore.
Valutazione del rischio come pratica centrale
La DPIA e le analisi preliminari dei rischi non sono burocrazia se integrate nel ciclo di sviluppo e acquisto: aiutano a capire quali dati vengono trattati, quali decisioni automatizzate impattano persone e dove è necessario adottare contromisure. Un sistema di valutazione del rischio efficace combina competenze tecniche, legali e di business per stimare probabilità di eventi dannosi e impatti reputazionali, e per definire controlli proporzionati. Questo approccio limita l’adozione cieca delle tecnologie e favorisce scelte consapevoli.
Competenze, ruoli e pratiche operative
La nuova sicurezza richiede tre competenze chiave: conoscere, cioè avere un’alfabetizzazione sufficiente sui rischi; comprendere, ovvero saper leggere il contesto operativo dei sistemi; e dubitare, inteso come scetticismo operativo utile a fermare procedure quando emergono segnali sospetti. Questo si traduce in ruoli definiti: il CdA deve saper porre domande strategiche, i responsabili di funzione devono tradurre rischi in decisioni operative, e gli operatori devono disporre di strumenti per segnalare anomalie senza timore di ripercussioni.
Segnalazione, strumenti e formazione continua
Per attuare tutto ciò servono canali sicuri di segnalazione, una formazione continua calibrata per ruolo e l’adozione di framework di riferimento come OWASP, il NIST AI RMF o lo standard ISO/IEC 42001 per strutturare le scelte. Questi strumenti aiutano a porre le domande giuste e a documentare le decisioni; non sostituiscono la responsabilità, ma rendono più semplice dimostrare e migliorare la governance nel tempo. Le organizzazioni che investono in cultura e processi saranno più resilienti e meno esposte al costo crescente dell’inerzia.
