Le nuove minacce IA alla sicurezza informatica
Jun 30
/
Matteo Parigi
Introduzione
Nontargeted attacks = attacchi volti a indebolire la generale efficacia e robustezza del sistema.
Data Injection = introduzione di dati "prefabbricati" all'interno del dataset, al fine di indirizzare il sistema. Ciò è evidente quando sistemi AI-Enhanced manifestano particolari bias comportamentali.
Inserimento di Backdoor = una delle possibilità più infauste di un attacco da avvelenamento consiste nell'inserimento nascosto di backdoor che regalano le chiavi del sistema ad eventuali hacker esterni, consentendo l'accesso diretto all'interno del sistema IA.
Clean-label attacks = si tratta della minaccia di tipo data poisoning più subdola: si modificano in modo verosimile ed impercettibile i dati e le etichette del sistema affinché l'avvelenamento sia il più possibile "normale". Più precisamente, il trucco consiste nel far sì che dati ed etichette infiltrate non vengano percepite, usando il gergo statistico, come degli outlier, ossia valori anomali rispetto ad uno standard di riferimento.
Con l’avvento dell’Intelligenza Artificiale è finita l’epoca dell’informatica classica, vale a dire dell’informatica come l’abbiamo conosciuta finora. Oggi, infatti, per l’informatica non si tratta più di sviluppare software e sistemi digitali classici (c.d. GOFAI), bensì di creare veri e propri “cervelli” artificiali dotati di un’autonomia ed una creatività umana, troppo umana. Di conseguenza, insieme ai nuovi vantaggi offerti dalle reti neurali artificiali e dal relativo processo di Machine Learning, emergono necessariamente nuovi rischi e pericoli che riguardano tutti, nessuno escluso.
Dalla diffusione generalizzata di queste nuove tecnologie sono seguite inesorabili questioni etiche, sociali, politiche, ambientali ecc. Una prima questione da affrontare, propedeutica a molte altre, è quella della cibersicurezza. In particolare, si fa riferimento alla sicurezza (o protezione) dalle nuove minacce informatiche, più letali delle precedenti, che sono già emerse o potrebbero potenzialmente scaturire dall'unione tra tecnologie IA e pericolosi sistemi di hacking.
Tipologia delle minacce informatiche causate da e con l’IA
Preliminarmente, nella definizione di cibersicurezza rientrano classi di elementi quali i virus informatici, l’hackeraggio, l’utilizzo fraudolento di dati e la manipolazione tramite espedienti digitali. L’utilizzo di IA nel campo si manifesta, in linee generali, nell’adozione di reti neurali artificiali, ossia modelli statistico-algoritmici avanzati, capaci di elaborare in modo intelligente ed autonomo input provenienti dall’esterno, oltreché nell’adozione del c.d. Machine Learning, processo che permette alle IA di auto-addestrarsi su un set di dati per “auto-migliorarsi” e rendersi capaci “da sole” di produrre output sensati o raggiungere determinati obiettivi. Nel campo della cibersicurezza, quindi, tali tecniche possono sia integrare le classiche minacce informatiche, come, ad esempio, virus ed estrapolazione di dati, sia offrire nuovi approcci e mezzi di manipolazione finora inediti.
In primo luogo, se si prende in considerazione la direzione degli attacchi, è possibile individuare due generi:
1. Hacker contro IA;
2. IA contro sistemi informatici, dispositivi, infrastrutture, mezzi, persone o altre IA.
Verranno anzitutto descritte le minacce del primo gruppo, nella misura in cui, con l’avvento delle IA, il primo propedeutico problema da affrontare emerge dai rischi e dai danni che l’IA stessa può subire, provocando conseguentemente pericoli alla cibersicurezza generale. Infine, verranno considerati anche i pericoli cyber del secondo tipo.
1. Hacker contro IA
Avvelenamento di dati (Data Poisoning)
Durante l’addestramento ad un modello IA viene somministrata un’ingente mole di dati affinché sviluppi certe pratiche per raggiungere gli obiettivi. Un attacco da avvelenamento o data poisoning consiste nell’inserimento di dati estranei o devianti, al fine di manipolare il processo di addestramento e manomettere così il buon funzionamento del sistema, oppure indirizzarlo verso altri scopi. La pericolosità di queste manomissioni emerge chiaramente se si pensa, per esempio, al possibile inserimento di dati manipolati per non permettere ad un sistema antivirus di riconoscere un virus come tale, facendolo quindi entrare indisturbato nel sistema. In primo luogo, gli avvelenamenti possono essere di due generi:
Targeted attacks = lo scopo è indirizzare l’IA verso obiettivi precisi, devianti rispetto a quelli degli sviluppatori.
Nontargeted attacks = attacchi volti a indebolire la generale efficacia e robustezza del sistema.
In secondo luogo, esistono molteplici tattiche da adottare per l’avvelenamento:
Label Flipping = vengono cambiate le etichette (label) attraverso cui l'IA riconosce e classifica i dati ad essa affidati. Per esempio, la categoria «cane» con la quale l'IA etichetta le immagini contenenti cani viene sostituita con l'etichetta erronea «gatto».
Data Injection = introduzione di dati "prefabbricati" all'interno del dataset, al fine di indirizzare il sistema. Ciò è evidente quando sistemi AI-Enhanced manifestano particolari bias comportamentali.
Inserimento di Backdoor = una delle possibilità più infauste di un attacco da avvelenamento consiste nell'inserimento nascosto di backdoor che regalano le chiavi del sistema ad eventuali hacker esterni, consentendo l'accesso diretto all'interno del sistema IA.
Clean-label attacks = si tratta della minaccia di tipo data poisoning più subdola: si modificano in modo verosimile ed impercettibile i dati e le etichette del sistema affinché l'avvelenamento sia il più possibile "normale". Più precisamente, il trucco consiste nel far sì che dati ed etichette infiltrate non vengano percepite, usando il gergo statistico, come degli outlier, ossia valori anomali rispetto ad uno standard di riferimento.
Attacchi antagonisti (Adversarial Attacks)
Sono tra le minacce più pericolose nelle quali possono incorrere le IA, soprattutto quando impiegate in contesti sensibili, quali la guida autonoma di veicoli o l’utilizzo automatizzato di mezzi dall’alta carica di pericolosità. Si tratta di dati o input disturbanti che vengono presentati alle IA per mandarle in malfunzionamento o deviarle verso obiettivi divergenti. Sebbene possano sembrare identici, come tipologia, agli avvelenamenti di cui sopra, in realtà si differenziano in quanto quest’ultimi agiscono durante la fase di addestramento. Gli adversarial attacks invece intervengono contro l’IA già sviluppata ed utilizzata sul campo. Esempi di questo tipo sono:
Fast Gradient Sign Method (FGSM) = interferenza di un input disturbante, come ad esempio un input di rumore o dati visivi sfocati che ostacolano la corretta percezione delle IA.
Projected Gradient Descent (PGD) = si tratta di un input di disturbo molto piccolo ma reiterato, che amplifica gradualmente il margine o gradiente di errore del sistema.
Membership Inference
Metodo a basso grado di percezione immediata che permette di ottenere informazioni da un modello IA semplicemente osservando il suo comportamento. Detto altrimenti, per ottenere informazioni tramite membership inference non c’è bisogno dell’accesso al sistema o al suo dataset: viene sfruttata la discrepanza che si viene a creare tra i risultati che l’IA raggiunge durante l’addestramento e quelli che manifesta su dati nuovi non presenti nel dataset iniziale. Quindi, analizzando le differenze tra gli output, è possibile inferire quali tipi di dati stanno all’interno del modello. Il danno di questo particolare genere di espediente risiede nella estrapolazione indiretta di dati e informazioni che non dovrebbero venire bypassati, causando in tal modo una fuga di dati e una correlata violazione della privacy.
Data Leakage
Una volta terminato l’addestramento, il modello IA è tenuto a saper utilizzare i nuovi input che riceve dall’esterno in modo conforme alle capacità imparate con il machine learning. Tuttavia, può succedere che i dati e gli input che il modello sarebbe tenuto a riconoscere durante il suo corretto funzionamento nel mondo reale, ossia dopo l’addestramento, entrino invece nel dataset per il machine learning. Anche qui, il danno consiste nello scambio erroneo o fraudolento di dati dall’esterno, con tutte le conseguenze nefaste per la privacy e la sicurezza digitale.
Rilascio non autorizzato di dati personali
Si tratta forse del pericolo più noto ed evidente delle IA. È ormai di dominio pubblico il fatto che l’intero mondo delle IA si sia sviluppato, in questi anni, grazie all’ottenimento di dati privati, di qualsiasi tipo. Il problema è prima di tutto legale, in quanto fino a poco tempo fa non erano ben chiari, in nessuna nazione, quali socio-giuridici rapporti le nuove tecnologie IA instaurassero con i vari ordinamenti. In ogni caso, sebbene le questioni legali che concernono privacy e diritti fondamentali sono in fase di regolazione (e già regolati) proprio in questo momento, rimane comunque la verità nuda e cruda che le tutti i grandi sviluppatori di IA sono in possesso di una enorme mole di dati personali. Pertanto, il principale pericolo che le IA possono causare e allo stesso tempo subire consiste nel regime di pratiche che all’interno del mondo IA si decide di instaurare. È necessario quindi garantire un regime pubblico di trasparenza e sicurezza affinché gli attori sul campo non giochino con le informazioni sensibili e i dati privati di tutti noi.
Furto di modelli (Model Theft)
L’ottenimento, soprattutto fraudolento, dei componenti di un modello IA sblocca l’accesso ai dati che contiene o che ha utilizzato. Vale a dire che lo scambio o il furto di modelli IA favorisce una illegittima fuga e diffusione di dati che non dovrebbero entrare in possesso di terzi. Inoltre, le forme di c.d. reverse engineering permettono di conoscere l’intera struttura ed il funzionamento dell’IA di cui si è in possesso, ma allo stesso tempo regala la capacità di bypassare le difese, manipolare o danneggiare i modelli dello stesso tipo. Oltre a problemi di dati e privacy ciò comporta anche problemi di carattere economico, nella misura in cui il furto di modelli influenza le pratiche di mercato a danno della concorrenza ben regolata, favorevole a ricerca e sviluppo.
2. IA contro sistemi informatici, dispositivi, infrastrutture, mezzi, persone o altre IA
A differenza delle minacce del primo gruppo, che riguardano il malfunzionamento delle stesse IA, gli attacchi del secondo gruppo sono della stessa natura dei virus che hanno impegnato i tecnici IT sin dalle origini della sicurezza informatica. Tuttavia, ciò non significa che l’IA non apporti alcuna innovazione, tutt’altro: oltre a potenziare esponenzialmente la pericolosità dei classici virus informatici, l’IA rende possibili nuove forme di manipolazione ed ingegneria sociale, indirizzate direttamente contro le persone fisiche.
Distributed Denial of Service (DDoS)
Si tratta di uno degli attacchi più temuti da chi lavora nel mondo dell’informatica. In pratica, l’attacco mira a causare un sovraccarico nella richiesta di dati ad un server, fino a che questo non subisce un blocco totale. La portata letale di questo tipo di attacchi è dovuta alla difficoltà nel risalire alla fonte (anzi, alle fonti, che spesso sono dell’ordine delle migliaia), nonché ai responsabili dell’attacco. A maggior ragione, coadiuvare il funzionamento di un DDOS con l’IA, attraverso la potenza del machine learning, darebbe al virus la letale capacità di sapersi auto-rimodellare autonomamente in vista di bypassare le azioni di cyber-difesa ed ulteriori scudi antivirus che ne ostacolano la diffusione.
Phishing
A chiunque sarà capitato almeno una volta di ricevere e-mail o messaggi apparentemente pubblicitari o commerciali che invitano a cliccare su dei link o a seguire determinate procedure per ottenere vantaggi, sconti, opportunità ecc. Dietro gli innumerevoli messaggi ingannevoli si celano hacker o malintenzionati pronti ad estrapolare informazioni sensibili, soprattutto bancarie, per azioni di furto e criminalità. Il contributo delle IA in questo campo consiste nella automazione intelligente dei messaggi da inviare, insieme alla preliminare facilità di raggiungimento dei destinatari attraverso i miliardi di dati a cui può accedere. Anche qui inoltre il machine learning consente alle IA di “imparare” le abitudini, le caratteristiche degli obiettivi, per poi auto-migliorarsi e agire in modo ancora più letale.
Malware
I virus che cadono sotto il nome di Malware sono una eterogenea serie di minacce, tra le quali si trovano soprattutto i c.d. Trojan, ossia codici o software che si cerca di installare nei sistemi presi di mira per infettarli, Ransomware, virus il cui scopo è impedire l’accesso stesso al dispositivo e Spyware, ossia virus di spionaggio. Solitamente questi virus vengono neutralizzati dai software antivirus. Tuttavia, la facoltà di machine learning permette alle IA di addestrarsi sui modelli di antivirus, diventando quindi capace di bypassare tutte le difese messe in atto da dispositivi di sicurezza. L'IA ha infatti il potere di "riscriversi" da sola i codici dei programmi a cui si applica, in modo appunto da deviare le misure di difesa. Va da sé che, se il processo, come accennato sopra, è potenzialmente replicabile all’infinito, non esiste allora antivirus che possa garantire una reale e definitiva sicurezza contro i malware AI-Enhanced.
Ingegneria Sociale
In questa categoria rientrano tutte quelle misure atte a manipolare, controllare, influenzare gli esseri umani nella loro vita sociale, intesa nel suo complesso di interazioni, appartenenze, azioni collettive, idee e convinzioni. Sebbene in tal senso l’ingegneria sociale rappresenti un approccio che può assumere infinite sembianze, è possibile comunque identificare tre metodi strettamente collegati alle IA:
Deepfakes = si tratta di contenuti totalmente artificiali creati da modelli di IA generative. Possono essere suoni, immagini, testi ecc. ma le principali minacce sono causate soprattutto da video e foto che apparentemente riproducono il mondo reale, con una precisione tale da non rendere possibile la distinzione tra la realtà e la finzione.
Voice Synthesis = un giorno potremmo rispondere ad una chiamata telefonica e credere di star parlando con un famigliare. Alla fine, si scopre che la chiamata era stata orchestrata interamente da una IA e la voce ascoltata, sebbene totalmente verosimile, era stata prodotta da un modello LLM addestrato a simulare la conversazione umana. Il pericolo è evidente.
Interazioni umanoidi = avvengono ogni volta che un essere umano interagisce con una IA. Motivo per cui rientrano nella categoria anche le tecniche di social engineering sopra descritte. Ma il punto risiede nel fatto che, a dire il vero, anche una (apparentemente) innocua interazione con una IA linguistica (un esempio che fa da sineddoche per tutte le forme possibili di interazioni) è intrinsecamente suscettibile di essere sfruttata per l’ottenimento di dati. Ciò avviene quindi in modo inconscio, anche se l’utente è cosciente di interagire con un mezzo artificiale. Le IA, infatti, sono costruite per poter reagire nel modo più intelligente possibile agli input che riceve e per farlo necessità di ogni più sottile informazione che riesce a registrare. Quindi, anche quando ci si comporta in modo da “non dare troppo” alle IA, non è detto che si sia riusciti a controllare tutto ciò che l’IA ha registrato.
Conclusione
L’umanità è, in questo esatto momento, alle porte di una rivoluzione scientifico-tecnologica analoga alla rivoluzione copernicana-galileiana fondata sull’utilizzo scientifico del telescopio e il correlato cambiamento del paradigma astronomico. Non è più possibile oggi lavorare nell’informatica, ed in particolare nella cibersicurezza, senza volersi aggiornare sulle novità che l’avvento delle IA ha comportato. Sarà necessario apprendere la natura delle reti neurali, affinché non soltanto si sia in grado di affrontare le nuove minacce per la cibersicurezza, ma per poter, a maggior ragione, utilizzare le stesse IA come alleate contro pericoli sempre meno alla portata del singolo umano. Ragioni per le quali le principali istituzioni politiche e giuridiche si sono adoperate per codificare una normativa adeguata al fine di regolare e limitare il potenziale nefasto nell’utilizzo di tecnologie IA.
Riferimenti bibliografici
Direttiva UE 2555/2022 c.d. NIS2.
Regolamento UE 1689/2024 c.d. AI Act.
Regolamento UE 2847/2024 c.d. Cyberresilience Act.
NIST AI 100-2 E2023 Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations.
UK National Cybersecurity Center: The near-term impact of AI on the cyber threat.
S. Krasser, Attacchi di Adversarial Machine Learning: come riconoscerli e contrastarli.
ENISA: Foresight Cybersecurity Threats for 2030 – Update.
ENISA: Threat Landscapes 2024
T. Krantz, A. Jonker, What is Data Poisoning?
H. Hu, Z. Salcic, G. Dobbie, X. Zhang, Membership Inference Attacks on Machine Learning: A survey.
T. Mucci, What is data leakage in machine learning?
M. & L. Ivezic, The Dark Art of Model Stealing: What You Need to Know.
M. Fiordalisi, Cybersecurity, Fastweb: “AI nuova frontiera”. Attacchi Ddos ad alto impatto a +32%.
D. De Angelo, The dark side of AI in cibersecurity – AI generated Malware.
S. Shea, A. Krishnan, How AI is making phishing attacks more dangerous.
S. Sjouwerman, How AI Is Changing Social Engineering Forever.
DIGITAL TALENT ACADEMY è una piattaforma dedicata all'apprendimento di competenze digitali, basata sui valori della didattica della scuola tradizionale e sul lavoro.
DTA aiuta ad acquisire ed esprimere il proprio talento digitale.
DTA aiuta ad acquisire ed esprimere il proprio talento digitale.
Copyright © 2025 Digital Talent Academy
Grazie per averci contattato!
Se desideri ulteriori informazioni o dettagli scrivi a
supporto@digitaltalentacademy.it
supporto@digitaltalentacademy.it
Benvenuto!
Siamo entusiasti di ricevere la tua candidatura. Compilando questo modulo potrai creare un workshop per la nostra community. Inserisci le tue informazioni personali, un membro del nostro staff ti contatterà per una call conoscitiva e ti illustrerà nel dettaglio il funzionamento dei nostri workshop live. A presto!
Grazie per averci contattato!
*Inserendo la tua eMail dichiari di accettare la Privacy.
Creato con
