Cyber-security e Cyber-crimine, due facce dell’intelligenza artificiale

«I crimini informatici stanno innalzando la loro portata offensiva. Sarà uno dei maggiori rischi a livello globale. La minaccia è in continua evoluzione, il mondo crime è attento alle possibilità offerte da questi strumenti. E l’80% delle azioni criminali è commesso dalla criminalità organizzata». A dirlo è Cristiano Leggeri, Direttore della 3° Divisione della Polizia Postale e delle Comunicazioni, nel corso di un webinar dedicato all’intelligenza artificiale nel cyber-crimine e nella cyber-security, organizzato stamane dal Ministero delle imprese e del Made in Italy.

Il quadro della cybercriminalità
Leggeri ha sottolineato che nel prossimo triennio il valore economico generato dal cyber-crime sarà pari a 10,5 trilioni di euro, risorse che partono da circuiti illegali per poi finire in quelli legali. Anche per questo adesso in Italia è attiva una Direzione Centrale per la Polizia Scientifica e la Sicurezza Cibernetica voluta dal governo con Dpr del 2021, in un’organizzazione che ingaggia in ordine la difesa nazionale, l’intelligence, la polizia giudiziaria, la polizia postale, la guardia di finanza e l’agenzia nazionale per la cyber-sicurezza che si occupa infine del ripristino delle attività e della resilienza delle infrastrutture. Ma cos’è precisamente il cybercrime? Si definisce cyber-crimine un attacco a infrastrutture informatiche di servizi essenziali o contro le persone tramite la rete. Negli anni si è avvertita l’esigenza di un monitoraggio costante e di comunicazioni immediate in caso di attacco, che prima le amministrazioni non erano abituate a dare. La territorializzazione degli organismi (sono 82 le sezioni operative della Polizia Postale) e un loro preciso organigramma permette adesso di essere tempestivi, a maggior ragione che le statistiche testimoniano un costante aumento degli attacchi alle infrastrutture critiche.

I dati sugli attacchi
Questi appunto i dati, stando all’ultima relazione annuale dell’Agenzia per la Cybersicurezza Nazionale: nel 2023 il Csirt (Computer Security Incident Response Team) Italia ha gestito 1.411 eventi cyber, con un aumento all’incirca del 30% rispetto all’anno precedente. Oltre alle Pubbliche Amministrazioni, anche le
piccole e medie imprese sono state tra i principali bersagli di attacchi e violazioni; ad esempio, gli attacchi
ransomware (attacchi informatici con richiesta di riscatto) nel 2023 hanno colpito soprattutto il settore privato (84%) e, all’interno di questo contesto, hanno coinvolto, in gran parte, imprese di dimensioni medie (30,6%) o piccole (46,3%).

L’architettura normativa
Cone ha spiegato Cristiano Leggeri, a livello normativo l’azione di Cybersicurezza si articola in base alla Direttiva NIS 2016-1148. Da questa si è arrivati alla definizione del perimetro della sicurezza nazionale cibernetica con un Dl del 2019, in seguito c’è stato il varo della Direttiva NIS 2 nel 2022. L’ultimo ma non meno importante tassello in questo percorso, la costituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN). Il tutto serve a prevenire non solo gli attacchi alle istituzioni, ma anche il cyberterrorismo, l’hackeraggio e i reati in ambito finanziario, i danni ai minori come la pedopornografia, i danni alle persone fisiche, i reati commessi attraverso i social network.

Il ruolo di Europol
L’attività di cui parliamo viene implementata su scala europea grazie all’Europol, che opera sulla scorta di 54 accordi con gli Stati. Nel webinar a rappresentare Europol è intervenuto Gerard Draper, il quale ha illustrato a grandi linee quali sono i reati cibernetici che possono essere potenziati dall’uso dell’IA e allo stesso tempo come l’IA si può usare per sventarli. Proprio Europol si propone di usare l’intelligenza artificiale per smascherare i contenuti audiovisivi deep fake, per sventare le truffe con richiesta o sottrazione di denaro (spesso si mandano mail, che adesso con l’IA possono essere molto realistiche), intervenire qualora vengano manipolati i diritti d’autore e difendere i minori da reati a sfondo sessuale, quest’ultimi in rilevante aumento. Ad esempio, ha osservato Draper, quando ci si trova davanti a materiale sessuale contestualizzato in una stanza, l’intelligenza artificiale è in grado di geolocalizzare l’accaduto e perfino di identificare una eventuale stanza d’albergo.

L’obiettivo a livello europeo
Secondo Europol è indubbio che l’AI porterà benefici generali ma sarà anche usata molto dai criminali. I rilevamenti di abusi potranno aumentare tramite IA e le investigazioni saranno comunque rese più efficaci dall’intelligenza artificiale. Le istituzioni agiranno in conformità con i regolamenti europei sull’IA e sulla privacy cercando ad ogni modo di avvantaggiarsi nel contrasto alla criminalità. Europol sta inoltre lavorando alla stesura dei termini e condizioni per un uso responsabile dell’intelligenza artificiale nelle investigazioni.

I risvolti sul piano sociale
I reati informatici si consumano tramite dispositivi che in parte replicano quelli di intelligenza artificiale più conosciuti che in molti usano. Ma la loro natura è a metà tra questi tool e il loro “equivalente manipolativo”. Utilizzando appunto le conoscenze cibernetiche non solo si consumano i crimini classici, ma si può anche influenzare l’opinione pubblica con importanti risvolti su piano politico e dell’informazione. Ne ha parlato Gianluigi Me, Professore aggiunto presso la Luiss, autore del libro “OSINT in the Intelligence Era”, Edizioni Themis. Osint sta per Open Source Intelligence. Il professore ha rilevato che per trovare applicazioni disoneste ad un livello più psicosociale e culturale, i criminali fanno leva sui “bias cognitivi”, cioè le scorciatoie del ragionamento mentale molto spesso erronee. Come il bias di conferma, che ci spinge a cercare solo conferme delle nostre idee nella vastità delle informazioni disponibili. Di conseguenza altri fenomeni molto impattanti sono la echo-chamber e il bandwagon effect, ovvero quei casi in cui le convinzioni e le relative azioni della gente sono influenzate dall’amplificazione di certi messaggi all’interno di spazi virtuali ristretti (che apparentemente sembrano aperti) e dalla tendenza della massa ad uniformarsi all’opinione più forte in un dato momento (“salire sul carro dei vincitori”). Un altro bias centrale è il bias di autorità, quando si tende a dare valore all’opinione di un soggetto percepito come autorevole e carismatico nello spazio pubblico.

Le istanze delle aziende private
Una volta messo a punto il campo attinente alle realtà istituzionali sulla cybersicurezza, si deve riflettere su quale debba essere il raggio d’azione e il margine di manovra relativo agli stessi scopi per i privati. Di ciò ha parlato nel webinar Antonio Iannamorelli, Government Affairs Director di “Telsy”, che è il centro di competenza del Gruppo Tim per la sicurezza delle comunicazioni, la cybersecurity e la quantum security. Iannamorelli crede che la Cybersecurity possa dare una svolta solo nel caso vengano definite bene le competenze di attori pubblici e attori privati. In sostanza, chi produce strumenti di IA per la sicurezza cibernetica potrà liberamente venderli a terzi o dovrà fornirli allo Stato in regime di monopolio? E cosa le aziende private potranno fare da sole per difendersi con i tool già in loro dotazione, senza incorrere in illeciti? Le domande di Iannamorelli originano dal fatto che nella Cybersicurezza odierna non è contemplata solo la difesa ma anche il contrattacco, talvolta preventivo. Per contrattaccare, le aziende private devono sapere dettagliatamente cosa è permesso e cosa no. Su tale punto, secondo il dirigente l’Ai Act non dà risposte esaustive, anche “nella versione” legislativa italiana, concentrandosi invece sull’eticità dell’IA e sulla sua aderenza ai nostri valori costituzionali, rafforzando il codice penale e individuando meglio le potenziali offese. Ma i privati desiderano comprendere in che misura saranno vincolati al NIS 2 e quali atti sono concretamente percorribili nella lotta all’interno del dark web e deep web.