La crescente adozione dell’intelligenza artificiale (IA) nei processi industriali, pubblici e sociali richiede lo sviluppo di un nuovo paradigma di fiducia basato sulla sicurezza informatica.
Attraverso una revisione della letteratura recente e l’analisi di framework internazionali – come il NIST AI Risk Management Framework, il Trustworthy AI Framework della Commissione Europea e le linee guida ANSSI/CCCS [2] – viene proposto un modello teorico integrato.
La fiducia nell’IA non può essere costruita esclusivamente tramite la conformità normativa, ma deve derivare da una gestione dinamica e trasparente del rischio cyber lungo l’intero ciclo di vita dei sistemi intelligenti.
Ecco un approccio sistematico al rischio cibernetico, in grado di sostenere la costruzione della fiducia nell’intelligenza artificiale, collegando i concetti di trasparenza, responsabilità, robustezza e governance.
Indice degli argomenti
I 3 pilastri della fiducia nell’intelligenza artificiale
L’intelligenza artificiale (IA) è oggi una delle tecnologie più pervasive e strategiche per la competitività globale. Dalla sanità alla finanza, dalla manifattura all’energia, l’IA consente l’automazione, la previsione e l’ottimizzazione su scala mai vista prima.
Tuttavia, la crescente dipendenza da sistemi intelligenti introduce nuovi livelli di vulnerabilità tecnica e sociale.
La fiducia diventa quindi un prerequisito per un’adozione consapevole dell’IA, ma la sua costruzione è ostacolata da rischi cibernetici, opacità algoritmica e mancanza di responsabilità.
Secondo il NIST AI Risk Management Framework, la fiducia nell’intelligenza artificiale deriva datre pilastri fondamentali: trasparenza, robustezza e governance responsabile.
Tuttavia, il consolidamento di questi elementi richiede un approccio alla sicurezza integrato che consideri l’IA come parte di un ecosistema di rischio cibernetico in continua evoluzione [3].
Ecco le risposte a tre domande di ricerca fondamentali:
- In che modo la gestione del rischio cyber può supportare la fiducia nei sistemi di IA?
- Quali lacune emergono negli attuali framework di governance dell’IA in relazione al rischio cibernetico?
- Quali strategie e modelli integrati possono favorire un approccio basato sul rischio alla fiducia nell’IA?
Background teorico e stato dell’arte
Il concetto di fiducia è multidimensionale e comprende aspetti cognitivi, emotivi e sistemici.
In ambito tecnologico, la fiducia si costruisce attraverso la percezione di sicurezza, prevedibilità e allineamento etico.
Secondo Mo, Patel e Hwang (6), la fiducia negli agenti di IA è il risultato di un equilibrio dinamico tra trasparenza del sistema, gestione del rischio e responsabilità condivisa.
La fiducia come fondamento dell’adozione dell’IA
Il Trustworthy AI Framework dell’Unione Europea definisce sette requisiti per un’intelligenza artificiale affidabile: l’agency umana, la robustezza tecnica, la privacy e la governance dei dati, la trasparenza, la diversità, il benessere sociale e la responsabilità.
Tuttavia, la sicurezza informatica, pur essendo implicita, rimane un elemento sottovalutato.
L’approccio basato sul rischio
L’approccio basato sul rischio (risk-based approach) deriva originariamente dal settore finanziario e dalla sicurezza delle informazioni.
Nel contesto dell’intelligenza artificiale, il NIST AI Risk Management Framework introduce un modello di gestione del rischio che identifica, valuta e mitiga le minacce derivanti dalle vulnerabilità tecniche e comportamentali dei sistemi di IA.
L’ANSSI e il Canadian Centre for Cyber Security (CCCS) sostengono che la fiducia nell’IA può essere costruita solo attraverso una valutazione continua del rischio cyber associato ai dati, ai modelli e alle infrastrutture.
Questa visione si allinea con la filosofia della Zero Trust Architecture (Ajish, 1), secondo la quale nessun elemento del sistema deve essere considerato affidabile in modo intrinseco.
Limiti degli approcci attuali
Nonostante l’abbondanza di linee guida, la maggior parte delle organizzazioni adotta un approccio frammentato, focalizzandosi sulla conformità e sull’auditing, piuttosto che su una gestione proattiva del rischio.
Kulothungan (5) evidenzia come la fiducia sia spesso considerata un attributo post-progettuale, invece di essere ritenuta un principio integrato nel ciclo di vita dell’IA.
Rischi cibernetici emergenti nei sistemi IA
Gli attacchi ai sistemi di IA assumono forme sofisticate: avvelenamento dei dati (data poisoning), manipolazione dei modelli (model inversion), e attacchi avversari (Holstege, Müller & Zhang, 4).
Questi vettori di rischio compromettono la robustezza e l’integrità dei modelli, erodendo la fiducia degli utenti.
Le vulnerabilità presenti nella supply chain dei modelli pre-addestrati (come GPT o BERT) generano rischi sistemici, difficili da controllare a livello organizzativo.
L’approccio basato sul rischio richiede una mappatura continua degli asset e delle dipendenze (ENISA).
Gestione del rischio come principio della fiducia
La fiducia nell’IA emerge come risultato della gestione efficace del rischio e non come condizione preesistente.
Mo et al. (6) propongono un framework Trust–Risk–Liability (TRL) secondo il quale la fiducia è una funzione della trasparenza e della prevedibilità del rischio residuo.
La fiducia basata sul rischio prevede tre fasi operative:
- identificazione e classificazione delle vulnerabilità;
- mitigazione proporzionata alla criticità;
- comunicazione trasparente agli stakeholder.
Holstege et al. (4) hanno dimostrano che la gestione attiva del rischio aumenta la fiducia percepita dagli utenti finali, anche in presenza di incidenti, a condizione che le organizzazioni dimostrino resilienza e responsabilità.
Integrazione con modelli di sicurezza avanzati
L’adozione del paradigma Zero Trust (ZTA) rappresenta un pilastro fondamentale per la sicurezza dell’IA.
Secondo Ajish (1), la fiducia non deve essere presunta, ma deve essere continuamente verificata tramite autenticazione e monitoraggio adattivo.
Nel contesto dell’IA, la ZTA si traduce in:
- validazione dei modelli su pipeline sicure;
- controllo degli accessi basato su contesto e ruolo;
- audit continuo dei dati e dei comportamenti dei modelli.
Governance e responsabilità
La fiducia non può essere costruita solo su basi tecniche. Richiede una governance efficace, accountability e una cultura del rischio.
Kulothungan (5) sottolinea l’importanza di un approccio etico-strutturale, in cui la trasparenza non è solo un principio morale, ma una funzione di controllo.
Le normative emergenti, come l’AI Act europeo e la norma ISO 42001:2023, promuovono un approccio olistico alla fiducia che sia misurabile, documentabile e verificabile.
I 3 domini e i 4 livelli di maturità del modello integrato
Il modello ipotizzato abbraccia tre domini principali:
- Cyber Risk Management: identificazione, valutazione e mitigazione del rischio cyber lungo il ciclo di vita dell’IA.
- Trust Governance: definizione dei ruoli e delle responsabilità nella costruzione della fiducia, dalla progettazione alla dismissione del modello.
- Continuous Monitoring & Feedback: misurazione costante di trasparenza,
robustezza e conformità.
Il modello prevede 4 livelli di maturità:
- Reactive: risposta agli incidenti.
- Proactive: gestione preventiva dei rischi.
- Adaptive: apprendimento continuo dalle anomalie.
- Trust-Centric: fiducia integrata nella governance aziendale.
Casi di studio
Schneider Electric ha sviluppato un sistema di governance dell’IA basato su mappatura dei rischi cyber. L’adozione di audit interni periodici e di metriche di “explainability assurance” ha aumentato la fiducia interna e pubblica (Schneider Electric, 8).
Microsoft ha implementato un modello multilivello di fiducia (Microsoft Responsible AI Standard, 2023) in cui la sicurezza e la gestione del rischio cyber sono integrate nei processi di sviluppo e validazione.
L’OECD ha introdotto una matrice comparativa della fiducia che collega la governance etica alla mitigazione dei rischi cyber (OECD AI Policy Observatory, 2024).
Sfide, limiti e prospettive future
Nonostante i progressi, persistono diverse criticità:
- assenza di metriche universalmente accettate per misurare la fiducia,
- scarsa interoperabilità tra framework normativi,
- complessità tecnica nella valutazione del rischio residuo,
- mancanza di formazione specialistica sul rischio IA-cyber.
Le direzioni future includono:
- sviluppo di un “AI Trustworthiness Index” basato su KPI misurabili,
- certificazioni “AI Trust by Design”,
- integrazione tra cybersecurity e audit etico.
La fiducia nell’intelligenza artificiale come proprietà verificabile dei sistemi intelligenti
La fiducia nell’IA non è una condizione statica, ma un processo dinamico e misurabile.
Un approccio basato sul rischio cyber consente di collegare la sicurezza tecnica, la governance e le responsabilità, trasformando la fiducia in una proprietà verificabile dei sistemi intelligenti.
La gestione del rischio diventa quindi la “lingua comune” tra sviluppatori, utenti e regolatori.
Solo attraverso la trasparenza, la resilienza e la rendicontazione continua sarà possibile costruire un ecosistema di IA realmente affidabile.
Bibliografia
[1] Ajish, D. (2024). The significance of artificial intelligence in zero trust technologies: A comprehensive review. Journal of Engineering Science and Technology Innovations, 5(2), 1–18. Vulpe, S.-N., & Rotaru, D. (2024). AI and Cybersecurity: A Risk Society Perspective. Frontiers in Computer Science, 4, 1462250.
[2] ANSSI & CCCS. (2025). Building Trust in Artificial Intelligence through a Cyber
Risk-Based Approach. Paris: French National Cybersecurity Agency.
[3] European Union Agency for Cybersecurity (ENISA). (2024). AI Threat Landscape Report 2024. Athens: ENISA Publications.
[4] Holstege, B., Müller, A., & Zhang, Y. (2025). AI Creates New Cyber Risks – It Can Help Resolve Them, Too. Boston Consulting Group.
[5] Kulothungan, V. (2025). Securing the AI Frontier: Ethical and Regulatory
Imperatives for AI-Driven Cybersecurity. arXiv:2501.10467.
[6] Mo, J., Patel, A., & Hwang, Y. (2025). Toward a Unified Security Framework for AI Agents: Trust, Risk, and Liability. arXiv:2510.09620.
[7] OECD. (2024). AI Policy Observatory: Trust and Risk Management Frameworks. Paris: OECD Publishing.
[8] Schneider Electric. (2025). AI Governance through Cybersecurity: Building Trust in Digital Transformation. Corporate White Paper.
