Il fatto che nei meccanismi decisionali delle imprese vi è sempre più un impiego massiccio di modelli di intelligenza artificiale cambia radicalmente la natura dei rischi informatici. Adesso il pericolo non riguarda solo i server aziendali, ma il significato delle informazioni contenute. Fino a poco tempo fa si registrava una sicurezza concentrata sul far fronte a minacce estemporanee e passeggere, come i tentativi di ingannare l’algoritmo durante una singola conversazione in chat.
Da un po’ di tempo, invece, la criminalità informatica è dedita ad attacchi duraturi e strutturali contro il patrimonio informativo dell’azienda attraverso l’avvelenamento dei dati. Si tratta di azioni che alterano dall’interno la capacità di giudizio e di valutazione dell’intelligenza artificiale aziendale, inducendola in errore.
Il tema diventa, quindi, quello di dimostrare come l’inserimento di dati falsi o subdolamente modificati diventi la causa diretta di decisioni aziendali errate e dannose. Poiché, come è noto, le società possono rispondere dei reati commessi nel loro interesse in base alla responsabilità amministrativa degli enti, la protezione del dato diventa il pilastro fondamentale per difendere l’intera struttura societaria da pesanti responsabilità sanzionatorie.
I trucchi per ingannare i computer aziendali
Gli esperti internazionali catalogano i pericoli che possono colpire l’intelligenza artificiale in quattro grandi categorie, che comprendono il furto di informazioni riservate, l’aggiramento dei controlli, l’abuso del sistema e l’avvelenamento dei dati stessi. Se ci soffermiamo su quest’ultima attività vediamo come il malintenzionato agisce inserendo informazioni corrotte direttamente negli archivi da cui l’algoritmo attinge per imparare, alterandone così il comportamento futuro. Sabotaggio che può avvenire sia scambiando intenzionalmente le categorie corrette con risposte errate, sia definendo sicuro un programma informatico che in realtà è un virus.
Non sono infrequenti i casi dove vengono inseriti elementi del tutto nuovi per deviare le decisioni dell’algoritmo o modificare in modo impercettibile i documenti già esistenti per creare condizionamenti nascosti. Vi sono poi, considerate le minacce più subdole, i cosiddetti attacchi a etichetta pulita, dove i file alterati sembrano perfettamente normali e corretti all’occhio umano ma contengono microscopiche anomalie invisibili che mandano in confusione la macchina.
Il software Nightshade, capace di modificare i dettagli visivi delle immagini per impedire ai computer di riconoscerle correttamente, rappresenta emblematico esempio di questo tipo di attacco. .Vi sono poi gli attacchi porta sul retro, dove una parola chiave segreta viene inserita nei testi aziendali in modo che l’intelligenza artificiale continui a funzionare benissimo fino a quando non incontra quel termine specifico.
A quel punto si attiva un comando ostile preimpostato dall’attaccante. Nome suggestivo , rana bollente, viene dato a quell’attacco basato sull’inserimento lentissimo e graduale di piccole falsità che modificano la logica del sistema senza mai far scattare gli allarmi interni. La debolezza diventa clamorosa nei sistemi maggiormente impiegati dalle imprese per far consultare all’intelligenza artificiale i propri documenti interni, in quanto si tratta di programmi non in grado di distinguere tra un semplice testo descrittivo e un ordine operativo nascosto tra le righe.
Il pericolo sta nel fatto che se un dipendente infedele o un soggetto esterno inserisce un file contaminato nell’archivio condiviso, l’intelligenza artificiale lo leggerà e obbedirà ciecamente al comando ostile mascherato, fornendo risposte totalmente false ed elaborando un’allucinazione guidata che verrà presentata agli utenti con un tono di assoluta certezza logica.
Rischi per gli attaccanti e regole da seguire
L’avvelenamento dei dati ha oggi un’ampia risposta normativa grazie anche alle recenti riforme sulla sicurezza informatica e con la legge quadro sull’intelligenza artificiale. Chi penetra nei sistemi informatici di un’azienda per inserire o modificare i dati di addestramento commette innanzitutto il reato di accesso abusivo.
Parimenti è punita la diffusione di programmi o codici creati appositamente per violare le barriere digitali o per danneggiare il funzionamento dei sistemi informativi. Questo particolare tipo di sabotaggio trova la sua norma principale nel delitto di danneggiamento di dati e informazioni, che consente di sanzionare l’alterazione del contenuto logico degli archivi aziendali pur senza distruggere fisicamente i computer. Si può incorrere nel reato di frode informatica quando l’inganno provocato dall’algoritmo manipolato viene utilizzato per deviare un pagamento in banca o per far approvare un finanziamento.
Se ci troviamo di fronte ad un utilizzo dell’intelligenza artificiale come mezzo per compiere reati o per camuffare l’attacco scatta un aggravante, mentre configura il reato di illecita diffusione di contenuti alterati la corruzione dei dati che costringe l’assistente virtuale dell’azienda a diffondere notizie false o deepfake per colpire i membri del consiglio di amministrazione.
Si tratta di un assetto normativo in linea con i regolamenti europei a partire dall’AI Act, che impone obblighi rigidissimi sulla gestione dei dati e sulla sicurezza dei sistemi aziendali considerati ad alto rischio. L’impresa che subisce un attacco di questo tipo deve fare i conti anche con le regole sulla protezione dei dati previste dal GDPR, poiché l’inserimento di informazioni personali false o distorte costituisce una violazione della privacy che obbliga la società a denunciare l’accaduto all’Autorità Garante.
Si ricorda , altresì, che le normative europee destinate ai settori critici e al mondo finanziario impongono severi test periodici per verificare la resistenza degli algoritmi di fronte a questi tentativi di contaminazione.
Come difendere l’intelligenza artificiale aziendale dall’avvelenamento dei dati
Per proteggere la struttura societaria e i tecnici da responsabilità giuridiche per questo tipo di sabotaggi diviene necessario adottare un modello di difesa chiamato scudo giuridico adattivo. La strategia difensiva poggia su quattro pilastri fondamentali. In primo luogo occorre la tracciabilità crittografica dei documenti, che impone di conferire una vera e propria impronta digitale e una firma elettronica a ogni file che entra in azienda, così da impedire da subito l’uso del documento se qualcuno prova a modificarlo di nascosto.
In secondo luogo, bisogna creare una zona di “quarantena informatica”, ovvero determinando divieti ai sistemi aziendali di potersi collegare direttamente a internet o a servizi esterni senza un controllo intermedio. Si crea così uno spazio protetto dove tutti i file vengono analizzati per scovare istruzioni nascoste, scritte invisibili o anomalie nel testo prima che possano fare danni. Vi è poi l’utilizzo di controlli matematici avanzati in grado di analizzare il comportamento logico dei dati all’interno del sistema, così, eventualmente, da individuare e isolare quei file ingannevoli che cercano di farsi consultare continuamente dall’intelligenza artificiale per condizionarne le risposte.
Infine, forse il baluardo più importante, è quello che si concentra sulla supervisione umana attiva, una misura che si collega direttamente ai modelli organizzativi per escludere la responsabilità amministrativa delle società. E’ evidente che consentire a un’intelligenza artificiale di prendere decisioni economiche o legali in totale autonomia finisce con l’esporre l’azienda a rischi legali, e non solo, enormi.
Ecco perché la presenza ,ovviamente, documentata di un dipendente esperto, incaricato di verificare la correttezza delle risposte fornite dal computer prima che queste diventino operative, serve per interrompere il legame logico tra il sabotaggio informatico e il danno finale. Una prova fondamentale per dimostrare l’assenza di colpa dell’azienda è quella da un lato di dimostrare il controllo umano, dall’altro la conservazione di registri digitali non modificabili
Avvocato penalista e cassazionista, noto anche come docente di Diritto Penale dell'Informatica, ha rivestito ruoli chiave nell'ambito accademico, tra cui il coordinamento didattico di un Master di II Livello presso La Sapienza di Roma e incarichi di insegnamento in varie università italiane. E' autore di oltre cento pubblicazioni sul diritto penale informatico e ha partecipato a importanti conferenze internazionali come rappresentante sul tema della cyber-criminalità. Inoltre, collabora con enti e trasmissioni televisive, apportando il suo esperto contributo sulla criminalità informatica.
Aree di competenza: Diritto Penale Informatico, Cybercrime Law, Digital Forensics Law, Cybercrime Analysis, Legal Teaching, Scientific Publishing
Visita il sito web dell'autore