La crescita e il progresso nell’intelligenza artificiale (AI) sta cambiando significativamente il panorama delle operazioni cyber, nella cyberwarfare.
Anche se non esiste un’unica definizione, il dizionario linguistico di Oxford indica la cyberwarfare come l’uso delle tecnologie informatiche per interrompere le attività di uno Stato o di un’organizzazione e, in particolare, per effettuare attacchi deliberati ai sistemi informativi per scopi strategici o militari.
In generale, la contrapposizione bellica (warfare n.d.r.) vede nella dimensione del cyberspazio un ulteriore dominio della conflittualità, come espresso anche dalla Nato nel Summit di Varsavia nel 2016.
L’uso dell’AI nella cyberwarfare, dunque, crea sia rischi sia opportunità, poiché tanto gli aggressori quanto i difensori, scoprono e usano nuovi strumenti, tecniche e procedure abilitati dall’AI per migliorare le rispettive operazioni di attacco e difesa nello spazio cyber.
Ulteriori rischi derivano dal fatto che prodotti e servizi basati su algoritmi di AI, costituiscono un’estensione della superficie di attacco perché il codice con cui sono realizzate le AI potrebbe contenere vulnerabilità e perché i dati di apprendimento delle AI possono essere soggetti ad attacchi che ne alterano e falsano il comportamento.
Inoltre, il codice stesso eventualmente prodotto dalle AI potrebbe non essere, a sua volta, sicuro. In tutto questo scenario di rischio strettamente tecnologico, AI e cyberwarfare devono essere considerati anche per il rischio e l’impatto che apportano nella politica internazionale ed estera per le conseguenze sulle dinamiche geopolitiche e fra Stati.
Indice degli argomenti
La sfida che l’AI pone nel contesto internazionale
La sfida prodotta dagli algoritmi di AI al contesto internazionale e alla politica estera trasforma il focus della cyberwarfare in un tema di sicurezza nazionale.
Questa trasformazione e le sue implicazioni sono state oggetto di dibattimento e confronto durante la Cyber Warfare Conference giunta alla sua quindicesima edizione e ospitata per quest’anno al Centro Alti Studi Difesa (CASD).
Per il Generale C.A. Stefano Mannino, Presidente del CASD, “la sfida dell’AI nelle tecnologie digitali e nella loro la crescita esponenziale”, risiede nella “difficoltà per i decisori di valutare e procedere in modo pienamente consapevole rispetto alle incertezze e insicurezza correlata alla rincorsa tecnologica per la difficoltà di accettare un rischio infinitamente superiore rispetto al livello dei rischi del passato”.
A suo parere sulle tecnologie emergenti, definite dirompenti (emerging disruptive technologies n.d.r.), che sono i big data, l’AI, e le tecnologie dei computer quantistici, non è certo che la sicurezza sarà tutelata, poiché da un punto di vista giuridico, non essendo certa l’attribuzione degli attacchi, il tema della responsabilità potrebbe restare un interrogativo a cui dare risposta”.
Di parere concorde l’on. Giorgio Mulè, Vicepresidente della Camera dei Deputati che sottolinea come “la mancanza di certezza sulla attribuzione renda globale l’impunità e le tecnologie di AI non sono controllabili come si vorrebbe”, aggiungendo che “siamo in ritardo sul fronte AI, soprattutto quella usata per scopi di disinformazione e per le conseguenze a carattere cognitivo”.
A completare il panorama della sfida concorre anche Emanuele Galtieri, Ceo di C4gate Spa, che esorta “all’attenzione verso le cyber periferie digitali, i cyber ghetti (paesi emergenti che vengono dotati di tecnologie digitali per le quali non sono pronti n.d.r.) perché è lì che si annidano problemi e minacce”.
Servono formazione, collaborazione, normazione e governance
Come risoluzione, Galtieri spiega che “poiché lo spazio cyber è oggi uno strumento di politica e lo stesso vale per l’AI, per non generare questi ghetti digitali che diventano luoghi potenziali in cui si sviluppano minacce verso tutti gli altri paesi è necessario sviluppare un approccio olistico, tanto verso la cyber security quanto verso la AI, sviluppando modelli di cyber capacity planning che tengano conto di diverse dimensioni: la cultura della cyber nella società per favorire la fiducia dei cittadini e la maturità delle tecnologie usate; lo sviluppo di know how tecnico favorendo formazione dal livello di consapevolezza fino al livello professionale; la capacità di generare framework legali e normativi e il potenziamento di tecnologie dedicate alla mitigazione del rischio. Maturità significa tenere conto di tutto questo”.
Ma per una risoluzione della sfida è opportuno anche allargare ulteriormente l’osservazione e la visione.
Lo chiarisce il Generale C.A. Franco Federici, consigliere militare della PCM (Presidenza del Consiglio dei Ministri n.d.r.) quando sottolinea come “Le caratteristiche di trasversalità e di intersettorialità dell’AI rispetto alle tecnologie e rispetto ai diversi silos tecnologici e di mercato richiedono, più che mai, l’urgenza di agire per la resilienza a livello di sicurezza nazionale per addivenire ad un quadro unitario di visione e approccio”.
E aggiunge come “una adeguata preparazione a mezzo formazione sia la chiave di volta per non subire il processo bensì per saperlo governare”.
Si ricorda che anche Mario Draghi ha fornito la medesima ricetta parlando delle componenti trasversali abilitanti della crescita europea. Nonostante i sistemi si dotino di tecnologie di AI capaci di supporto alle decisioni il Generale suggerisce come “il sistema delle decisioni debba restare all’uomo nella protezione di infrastrutture critiche civili ed in special modo in quelle militari”.
Sul fronte della conflittualità nel dominio spaziale (space cyberwarfare n.d.r.) poiché lo spazio è molto conteso, “il ricorso alla space diplomacy è la risposta all’impatto dell’AI nelle politiche internazionali ed alla conseguente e accresciuta competitività che ne deriva”.
Anche la politica internazionale e la geopolitica sono impattate dalla adozione di AI “tanto che l’integrazione fra geopolitica e tecnologie diventa geotecnolopolitica”, come spiega l’ambasciatore Massimo Marotti, Capo del servizio strategie e cooperazione di ACN, che sottolinea come sia necessario “comprendere chi definisce e plasma questo nuovo terreno anche in relazione al controllo delle ingerenze digitali che resta primario”.
La sua cura risiede nelle azioni di “prevenzione e contrasto secondo due linee di intervento: lo sviluppo di tecnologie e della regolamentazione e governance di questi fenomeni”.
Facile a dirsi, ma sul piano pratico e operativo restare avanti a tutti gli altri paesi dal punto di vista dell’innovazione e della governance è complesso. “È proprio per questo fine”, ricorda l’Ambasciatore che “l’ACN ha perseguito l’obiettivo di fare sistema e collaborazione nell’ambito del G7 fra le rispettive agenzie cyber nazionali”.
Una forte esigenza di “accelerare gli investimenti nel settore digitale e delle nuove tecnologie come anche nella formazione sulle materie STEM” arriva infine dall’On. Ettore Rosato, segretario del COPASIR per il quale “le istituzioni devono operare in modo più incisivo”.
Paradossi e contraddizioni
Nel tenere conto dell’AI e della cyber security è necessario saper bilanciare le strategie. Lo suggerisce Fabio Rugge, vice rappresentante permanente presso il consiglio atlantico, che fa notare come non si posa essere “AI superior e cyber inferior, perché non ha molto senso. Le strategie dei due contesti tecnologici dovrebbero essere coerenti”.
Consiglia, inoltre, di dotarsi di “dottrine e concetti di impego, ma allineati ad una cultura militare apposita” suggerimento che vale anche per l’ambito civile. “Nella cyberwarfare” continua, “e nel cyberspazio le dinamiche sono complesse perché strettamente ibridate fa ambiti civili e militari, pubblici e privati e fra contesti citando come esempio i diversi tipi di tecnologie, il contesto nucleare, l’ambito delle trasmissioni, con un livello di ‘entaglement’ (correlazione) fra loro di cui si dovrebbe tenere conto (perché la minaccia ad una di queste influenza le altre n.d.r.). Il cyber warfare in qualche modo è superato dall’ algorithmic warfare o dal cosiddetto hyper warfare, ovvero il confronto generato fra sistemi di algoritmi su fronti opporti, che si contrappongono in frazioni di secondo”.
Ed è a questo punto che si genera un ulteriore paradosso: “mentre per arginare la minaccia nucleare la strategia è stata quella di bilanciare gli arsenali anche ai fini di una deterrenza potenziale, nella cyber security si osserva una contrapposizione basata sul predominio e come si può osservare” conclude Rugge, “le due strategie non collimano a causa di quell’entaglement di cui parlavo prima. In sostanza alcuni dilemmi sono accelerati dalle discipline digitali applicate alla cyber warfare e non possiamo risolverli se non con strategie coerenti nel loro insieme”.
Ad ulteriore riprova delle contraddizioni possibili nel campo delle AI, Fabio Roli dell’Università di Genova titolare del sAIfer Lab (laboratorio di test sulla sicurezza delle AI n.d.r.) sottolinea come a discapito degli usi in contesti critici o sensibili, le AI ancora non garantiscono piena robustezza e sicurezza se non per applicazioni giocattolo o nei casi di test in cui si conosce bene il tipo di attaccante e le sue tecniche. Anche la normazione in materia di AI è ancora imperfetta, spiega Matteo Sironi della Humint consulting think thank, perché “le normative sono tante, stratificate a volte confliggenti fra loro e a volte imprecise. Quindi siamo lontani da un set normativo veramente efficace”.
Calare le esigenze e i modelli strategici nel day by day
Tutti i discorsi di approccio strategico devono successivamente trovare una applicazione pratica che possa permeare il day-by-day delle aziende italiane piccole e grandi.
Questi stessi soggetti percepiscono infatti i temi di cyber warfare come distanti dalla loro quotidianità ritenendo che gli effetti delle minacce digitali o i rischi delle AI non li tocchino. Abbiamo chiesto a Paolo Lezzi, chairman della CWC2024 ed Executive Vice President di EUCACS come si può intervenire in proposito. Spiega che “la questione è legata alla necessità di mettere in sicurezza il paese realmente e non formalmente. La minaccia digitale si dota di AI per estendersi. Gli effetti della normativa NIS2 (la sua implementazione prevede passi cadenzati n.d.r.) non tarderanno a farsi sentire per l’allargamento dell’obbligatorietà a diversi settori e tutta la catena di fornitura (cosiddetta supply chain security n.d.r.). Se non si agisce le tecnologie avanzate degli attaccanti saranno in grado di minare la sopravvivenza del business”.
Affinché le aziende possano davvero avviare una seria implementazione di sicurezza Lezzi auspica “una defiscalizzazione degli investimenti cyber che potrebbe forse incentivare l’adozione di tecnologie processi e persone”.
Ma si dovrebbe premiare anche chi mette in atto una certa qualità che dovrebbe vincere rispetto al solito nepotismo e scelta al prezzo più basso.
In questo caso, la proposta del manager è di “dichiarare perseguibile anche la non protezione delle aziende utilizzando lo strumento giuridico perché”, spiega “la percezione di questi rischi è una sottostima endemica nel nostro Paese che causa mancanza di investimenti a lungo termine su qualcosa che non si percepisce come immediatamente monetizzabile. La valutazione del rischio consente invece una previsione dell’impatto economico e una preparazione per tempo e nel tempo”.
Suggerisce, quindi, “di adottare il metodo americano per cui nelle due diligence delle aziende, il rischio cyber diventi uno dei capitoli di valutazione della capacità aziendale di restare operativa nel mercato sotto qualunque condizione”.
Cyberwarfare nelle Forze Armate
Anche le diverse Forze Armate si preparano ad adottare le AI come strumenti tecnologici di potenziamento delle loro attività operative. Per Giovanni Galiano di SME le principali sfide sono legate al tempo per la formazione e agli investimenti.
Mentre operativamente si approcciano gli scenari nell’ambito di una cosiddetta bolla tattica entro la quale si dispiegano gli strumenti di AI ritenuti necessari. Sandro Sanasi, comandante della 3° divisione del Comando Logistico di AMI parla di un cambiamento della Information superiority, legata al monitoraggio del territorio, ovvero alla capacità di ricevere informazioni dal territorio ed alla esigenza di analisi in tempo reale dei tanti eventi percepiti dai sensori che richiedono verifiche ed elaborazione in tempo reale, tanto da rendere cruciale l’esigenza di una adeguata capacità elaborativa della mole di dati.
L’AI, in questi contesti, può essere di grande supporto per la velocità che apporta a tali raccolta e analisi di dati. In ambito marittimo è Francesco Saladino del 7mo reparto Navi dello SMM a spiegare la difficoltà di adozione di AI da addestrare in relazione all’ambiente marittimo ed una ancor maggiore difficoltà legata all’ambiente subacqueo che richiede di acquisirli mantenerli per lunghi periodi e scaricarli elaborandoli con analisi anche di tipo storico.
Un uso molto efficace delle AI in mare è l’utilizzo nella correlazione di dati derivanti da più banche dati a supporto delle attività di riconoscimento natanti in mare che per un singolo operatore è una operazione time consuming, mente per una AI è quasi immediato.
Ma la complessità dell’adozione dei sistemi di AI è anche legata al consumo energetico, che su una nave va limitato per ovvie ragioni di auto sostenibilità energetica.
Quindi, l’uso stesso dei sistemi di AI è governato da altri sistemi basati su AI che ne efficientano l’utilizzo e le spengono se non necessarie ai fini di efficienza energetica.