Negli ultimi anni, la diffusione delle intelligenze artificiali (AI) ha accelerato l’adozione di tecnologie avanzate in molti settori. Tuttavia, a fianco di questa crescita tecnologica, emergono nuove e sempre più complesse minacce alla sicurezza, come il ransomware. Se fino a oggi i ransomware criptavano i dati delle vittime, il nuovo fronte di attacco si concentra direttamente sui sistemi di AI, sfruttandone i bias per alterare i risultati delle decisioni.
Un salto evolutivo che, come evidenziato da Luca Sambucci, esperto di sicurezza informatica e dell’intelligenza artificiale, rappresenta un pericolo per aziende e istituzioni. In una recente chiacchierata, Luca ci ha spiegato questa e altre faccende.
La differenza tra safety e security nell’AI
Quando si parla di sicurezza delle AI, è fondamentale distinguere tra "safety" e "security", come sottolineato da Sambucci. Nel contesto della sicurezza, in inglese si usa "safety" per riferirsi alla sicurezza fisica, come la protezione da incidenti o errori che coinvolgono direttamente la vita umana, e "security" per indicare la protezione logica, ossia la difesa da attacchi informatici, hacker e manipolazioni digitali. In italiano, il termine "sicurezza" copre entrambi questi significati, creando a volte ambiguità.
L’arrivo dell’intelligenza artificiale ha complicato ulteriormente questa distinzione, perché si tratta di una tecnologia che può influenzare entrambi gli ambiti. Le applicazioni dell’AI nella sicurezza fisica includono, per esempio, le auto a guida autonoma, mentre la sicurezza logica riguarda principalmente i rischi legati agli attacchi informatici. La possibilità che hacker sfruttino la logica di funzionamento dell’AI per attaccare i suoi sistemi è oggi al centro delle discussioni sulla cybersecurity.
Il ransomware come minaccia per le AI
Il ransomware, storicamente, è stato associato al furto e alla crittografia dei dati, con lo scopo di richiedere un riscatto alle vittime per riottenere l'accesso. Tuttavia, come spiega Sambucci, una nuova forma di ransomware sta emergendo. Questo nuovo modello non si limita a bloccare i dati, ma li manipola, alterando le informazioni utilizzate dalle intelligenze artificiali. Questi attacchi puntano a corrompere i dataset che addestrano le AI, influenzando in modo negativo il loro funzionamento e portando a decisioni errate.
Per esempio, immaginate un’azienda che utilizza un sistema di intelligenza artificiale per il forecasting, ossia per prevedere le necessità future in base ai dati storici. Se un hacker accede a questo sistema e inquina i dati su cui l’AI basa le sue previsioni, potrebbe indurre l’azienda a prendere decisioni completamente sbagliate. Non è difficile immaginare uno scenario in cui un hacker altera i dati per far credere a una compagnia di trasporti che siano necessari 500 treni invece di 5. Il risultato? Milioni di euro sprecati e decisioni aziendali devastanti.
Il bias come arma nelle mani dei criminali
Uno degli aspetti più preoccupanti di questi attacchi è l'uso strategico dei bias delle AI. Tradizionalmente, il bias è stato visto come un difetto delle intelligenze artificiali, una debolezza dovuta alla mancanza di dati rappresentativi o all’uso di informazioni sbilanciate. Oggi, però, questo bias può essere usato come un’arma criminale. Manipolando i dati o addirittura intervenendo direttamente sull’algoritmo di machine learning, gli hacker possono alterare i risultati ottenuti dall’intelligenza artificiale.
Prendiamo, ad esempio, il settore medico. Se un criminale riesce a intervenire su un sistema di intelligenza artificiale che gestisce decisioni cliniche, potrebbe far sì che un paziente riceva una diagnosi sbagliata o una terapia inadeguata. La manipolazione dei dati medici potrebbe avere conseguenze letali, e la complessità di questi attacchi li rende ancora più difficili da rilevare. "Posso inquinare un sistema di machine learning che classifica i prodotti migliori su un marketplace e favorire il mio prodotto rispetto a quello della concorrenza," spiega Sambucci. "Posso anche manipolare dati clinici, spingendo un ospedale a prendere decisioni mediche sbagliate."
Questo nuovo ransomware rappresenta un attacco più sofisticato rispetto ai metodi tradizionali. Come spiega Sambucci, una volta che l’hacker è riuscito a inquinare i dati del sistema di AI, l’algoritmo inizierà a produrre risultati errati. Ma non si tratta solo di un errore casuale: il criminale può contattare la vittima e chiedere un riscatto per rivelare dove e come i dati sono stati alterati. Se la vittima non paga, l’algoritmo continuerà a generare decisioni sempre più sbagliate, portando a fallimenti aziendali o a gravi conseguenze operative.
Una delle grandi difficoltà nella prevenzione di questi attacchi è che i dataset usati per addestrare le AI sono spesso enormi e complessi. Modifiche anche minime possono passare inosservate per lungo tempo. In più, i normali software di sicurezza, come i firewall o gli antivirus, non sono progettati per rilevare questo tipo di manipolazione. Di conseguenza, molte aziende potrebbero non accorgersi di essere sotto attacco fino a quando non è troppo tardi.
Human in the loop
Un altro rischio evidenziato da Sambucci riguarda il concetto di human in the loop. Questo termine si riferisce alla presenza di un essere umano all'interno del processo decisionale assistito dall’AI, per garantire un controllo e una supervisione umana. Tuttavia, anche questa pratica presenta dei limiti. "Gli esseri umani possono diventare il punto debole del sistema," spiega Sambucci. "Se un’AI dà la risposta giusta per 99 volte, alla centesima volta, quando sbaglia, potremmo non accorgercene. Questo problema diventa ancora più serio quando gli operatori umani non sono sufficientemente competenti."
Quest’ultimo problema è il risultato di un fenomeno noto come deskilling, che si verifica quando un operatore umano perde competenza a causa della troppa dipendenza dalla tecnologia. In futuro, molti operatori potrebbero non essere in grado di riconoscere quando l’intelligenza artificiale sta dando un risultato errato, soprattutto in contesti dove le decisioni sono critiche e complesse. La fiducia cieca nell’AI può portare a decisioni sbagliate, soprattutto se i criminali hanno manipolato i dati o alterato l’algoritmo.
Come uscire da questo circolo vizioso?
La risposta, secondo Sambucci, non è semplice. Lo possiamo fare nello stesso modo in cui abbiamo sempre affrontato le nuove tecnologie. Non esistono soluzioni perfette o completamente sicure, ma possiamo aumentare la consapevolezza e adottare pratiche di sicurezza più rigorose." Proprio come accade con le auto, in cui esistono sempre rischi di incidenti, anche con l’intelligenza artificiale bisogna convivere con un certo livello di rischio, cercando però di mitigare i danni attraverso una maggiore consapevolezza e strumenti di protezione avanzati.
Una delle sfide più grandi è che le aziende spesso hanno un falso senso di sicurezza. Molti si affidano a software di cybersecurity che, purtroppo, non sono pensati per proteggere specificamente i sistemi di AI. "Non esistono antivirus che possano rilevare se un dataset è stato inquinato", sottolinea Sambucci, "e questa è una grave lacuna nella protezione degli algoritmi di machine learning." L'adozione di soluzioni di sicurezza specifiche per l’AI è fondamentale, ma, come accade spesso in questo settore, il mercato non è ancora pronto a fornire queste risposte.