IA e Cybersicurezza, come cambiano le aziende per stare al passo con la trasformazione digitale. Intervista a Federico Guerreschi

In Italia talvolta tendiamo a fare confusione, e prendere la parte per il tutto, soprattutto quando si parla di trasformazione digitale. Quando parliamo di cybersecurity e IA non parliamo solo di settori diversi, ma di persone diverse. All’estero, la cybersicurezza e l’intelligenza artificiale (IA) si stanno sviluppando con approcci distinti all’interno delle aziende. A questo proposito Heidrick & Struggles – azienda di head hunting attiva nella selezione di c-level per le grandi aziende – ha approfondito la questione chiedendolo direttamente alle persone. Nell’ultimo anno l’azienda ha svolto un’indagine globale sull’organizzazione degli esperti di cybersecurity e IA nelle maggiori aziende in America e Asia. Ne parliamo con Federico Guerreschi, Principal Executive Search di Heidrick & Struggles per il settore tecnologico.

Come si stanno sviluppando all’estero questi due settori?

«All’estero, la cybersicurezza e l’intelligenza artificiale (IA) si stanno sviluppando con approcci distinti all’interno delle aziende. La Cybersecurity è considerata un’infrastruttura critica, che richiede una struttura di controllo rigorosa e fortemente regolamentata. La presenza di un Chief Information Security Officer (CISO) e una gerarchia ben definita evidenziano l’importanza di un sistema centralizzato per la protezione dei dati e la prevenzione di rischi legali e reputazionali. Mentre l’Intelligenza Artificiale, al contrario, segue un approccio più flessibile e innovativo. Di solito gestita da gruppi più dinamici, l’IA coinvolge diverse unità aziendali, suggerendo che venga vista come un’area strategica per creare valore e vantaggi competitivi. In questo contesto, l’HR spesso si dimostra un forte promotore interno».

Ma soprattutto come sono strutturati? E chi ci lavora?

«I dati di H&S mostrano che all’estero la responsabilità di coordinare i gruppi dedicati all’IA è spesso affidata a figure tecniche. Negli Stati Uniti, il ruolo del Chief AI Officer (CAIO) sta diventando sempre più comune, combinando competenze tecniche e leadership per guidare lo sviluppo strategico dell’intelligenza artificiale. Questo professionista può definire priorità e obiettivi aziendali, tracciando una roadmap efficace. In Italia, però, il CAIO è ancora poco diffuso. Di conseguenza, lo sviluppo dell’IA è gestito spesso da profili senza una conoscenza verticale approfondita. Questo non è dovuto a una scelta consapevole, ma dalla mancanza di una figura dedicata. Così, la responsabilità ricade sul Chief Information Officer (CIO), che può delegare al Chief Data Officer (CDO) o ad altri team specializzati. Le aziende italiane tendono a privilegiare figure manageriali per gestire l’IA, non per scelta, ma per necessità. Senza una figura dedicata, è il CIO che deve gestire anche aspetti tecnici, rischiando di portare a uno sviluppo dell’IA meno innovativo o frammentato. Con il tempo, è probabile che anche in Italia emerga la figura del CAIO, man mano che le aziende comprendano l’importanza di una leadership dedicata all’IA».

Cambiando invece discorso, può essere l’IA una sfida di cybersicurezza?

«Si, soprattutto con l’avanzare delle sue applicazioni, l’IA si configura come uno strumento potentissimo sia per difendere i sistemi informatici sia come potenziale veicolo di attacchi. La diffusione dell’Intelligenza Artificiale nelle infrastrutture aziendali e nella vita quotidiana rende essenziale adottare misure di sicurezza per proteggere questi sistemi da attacchi sempre più mirati e sofisticati. Ad esempio, l’IA può essere utilizzata dagli hacker per rendere i loro attacchi più complessi e difficili da rilevare, aumentando l’efficacia delle intrusioni. Alcuni sistemi di IA, inoltre, possono essere programmati per individuare vulnerabilità e lanciare attacchi automatizzati in modo rapido e preciso. Non va trascurata la possibilità di usare l’intelligenza artificiale per creare contenuti falsi tramite deepfake. Senza contare la manipolazione dei modelli di IA, che può avvenire tramite tecniche come il “data poisoning”: introducendo dati manipolati durante la fase di addestramento dell’IA, si compromette l’accuratezza delle sue decisioni e si influenza il suo comportamento. Inoltre, le infrastrutture basate sull’IA possono diventare bersaglio di attacchi mirati. L’IA può quindi essere tanto un’arma difensiva quanto una potenziale fonte di rischi. Tra le conseguenze di un uso improprio, va considerato il rischio di una falsa fiducia: l’affidamento eccessivo sui sistemi di sicurezza basati su IA potrebbe indurre a una sensazione di sicurezza illusoria, con conseguenze serie. Anche errori nella configurazione dei sistemi di IA possono esporre aziende e istituzioni a notevoli rischi di sicurezza».

Per concludere: qual è la percezione dell’IA in azienda, uno strumento democratico o no?

«Da un lato, l’IA può essere vista come un elemento democratico. Se sviluppata e applicata con trasparenza e inclusività, l’IA può contribuire a diffondere conoscenza e risorse, livellando le differenze tra le aziende e rendendo la tecnologia più accessibile a tutti. Il suo uso può favorire un accesso più ampio alla tecnologia, dal momento che non vi sono barriere particolarmente elevate per l’adozione di molte applicazioni. Tecnologie come chatbot o sistemi di diagnosi medica automatica offrono inoltre servizi a costi ridotti, rendendo la tecnologia accessibile a una platea più ampia. L’accessibilità dei software IA open-source consente, infine, a chiunque di contribuire all’innovazione tecnologica. Tuttavia la gestione delle risorse e delle piattaforme IA è spesso concentrata nelle mani di poche grandi aziende, creando squilibri significativi. Senza considerare come non tutti abbiano lo stesso livello di accesso alle tecnologie avanzate; le aziende con maggiori risorse economiche possono avvantaggiarsi in modo esponenziale. Se addestrati su dati non equilibrati, i sistemi IA rischiano di perpetuare e amplificare pregiudizi esistenti, aumentando il rischio di discriminazione. Per garantire che le potenzialità dell’IA si traducano in un vero beneficio per la collettività, è necessario un approccio critico che affronti questi rischi e promuova un uso etico e inclusivo della tecnologia».