L’intelligenza artificiale (AI) è oggi un potente alleato della trasformazione digitale, ma richiede un uso consapevole e regolamentato, soprattutto in ambito business e cybersecurity. In questa intervista, anticipazione del CISO Panel del 18 settembre, Paolo Cannistraro, CISO di Engie Italia, evidenzia come l’AI rappresenti una doppia sfida: da un lato abilita nuove opportunità, dall’altro introduce rischi significativi, tra cui bias, perdita di controllo sui dati, deepfake e automazione degli attacchi informatici. Tuttavia, se ben governata, può potenziare la difesa cyber grazie a funzioni predittive, analisi comportamentali e automazione delle risposte agli incidenti.
TIG. Nella tua esperienza, quali sono oggi i principali aspetti cui prestare attenzione nell’utilizzo dell’intelligenza artificiale (AI), sia in ambito business che security?
Paolo Cannistraro. L’intelligenza artificiale introduce senza dubbio una serie di complessità. Se da un lato rappresenta un potente abilitatore per nuove funzionalità di business, dall’altro costituisce anche una nuova fonte di rischio nel panorama della cybersecurity.
Per quanto riguarda il business, le principali preoccupazioni – condivise sia dall’ambito HR che da quello della privacy – riguardano il rischio di bias e discriminazioni che possono emergere dall’adozione di strumenti basati su AI. È essenziale che le applicazioni sviluppate in azienda rispettino principi di equità, evitando qualsiasi forma di discriminazione legata a genere, etnia o altri fattori sensibili. Un ulteriore elemento critico è l’opacità di molti modelli, spesso considerati delle “black box”, che rendono difficoltose le attività di audit, monitoraggio e spiegabilità. In questi casi, un approccio di sviluppo interno può offrire maggiore controllo e trasparenza.
Altre preoccupazioni in ambito business includono:
- Il rischio di perdita di posti di lavoro, che può generare timori, incertezze e resistenze nei confronti delle nuove tecnologie.
- L’utilizzo non autorizzato di strumenti AI da parte dei dipendenti, con conseguente esposizione e possibile diffusione di informazioni aziendali riservate.
Sul fronte della cybersecurity, è evidente come l’AI venga già oggi sfruttata da attori malevoli per automatizzare e industrializzare attacchi che in passato richiedevano operazioni manuali più complesse. Questa evoluzione rende lo scenario delle minacce molto più dinamico e difficile da gestire. Rilevanti sono anche i temi legati alla protezione dei dati, in particolare l’integrità delle informazioni, che rappresenta uno dei tre pilastri fondamentali della sicurezza informatica.
Un ulteriore aspetto critico riguarda la diffusione di contenuti falsi tramite deepfake e strumenti di disinformazione, utilizzati sia per truffe sia per manipolare l’opinione pubblica. In questo contesto, il recente AI Act rappresenta un passo importante verso una regolamentazione più chiara e sicura dell’utilizzo di queste tecnologie.
TIG. E dal punto di vista del contributo dell’AI, ritieni che sia comunque importante valutarlo per migliorare la cybersecurity?
Paolo Cannistraro. Assolutamente sì. Uno dei temi ricorrenti nei tavoli di lavoro e nelle conferenze cyber è proprio questo: l’intelligenza artificiale, oltre a rappresentare un rischio da governare attentamente, è anche una grande opportunità. Se adottata in modo consapevole, può offrire un contributo concreto e strategico al rafforzamento della cybersecurity.
L’AI può supportarci in diversi ambiti, ad esempio:
- Rilevamento delle minacce: affianca gli strumenti tradizionali di threat detection con algoritmi avanzati, migliorando l’efficienza nell’analisi e nella prioritizzazione degli alert.
- Automazione nei playbook di incident response: in particolare nelle casistiche più comuni e consolidate, l’AI può facilitare apertura, gestione e chiusura di incidenti minori, aumentando la velocità di risposta.
- Analisi comportamentale: consente di monitorare i comportamenti degli utenti e segnalare attività anomale, utili per identificare compromissioni, furti di credenziali o movimenti laterali all’interno della rete.
- Capacità predittive: viene già impiegata nei SOC (Security Operations Center) e in molti strumenti EDR (Endpoint Detection and Response) per anticipare scenari di rischio e rafforzare le capacità difensive.
In sintesi, l’AI è applicabile in modo trasversale a molte attività della cybersecurity e, se ben integrata, può realmente potenziare l’efficacia delle difese aziendali.
TIG. Quali sono però i punti di attenzione nell’utilizzo dell’AI in cybersecurity, in termini di affidabilità, trasparenza e interpretabilità delle decisioni?
Paolo Cannistraro. Uno dei principali punti di attenzione è che, se non governate in modo strutturato, le capacità dell’intelligenza artificiale possono trasformarsi da opportunità in potenziale fonte di problemi. È fondamentale progettare questi modelli in modo accurato, per evitare di incorrere in un eccesso di falsi positivi o, peggio ancora, falsi negativi. Questo richiede un addestramento molto preciso e mirato.
Un’altra sfida cruciale è legata all’aggiornamento continuo dei modelli: il panorama delle minacce evolve rapidamente, e senza un flusso costante di dati aggiornati o un meccanismo di retraining ben definito, l’AI rischia di diventare obsoleta o inefficace nel tempo.
Altri punti critici da considerare includono:
- Difficoltà di integrazione con sistemi legacy: molte infrastrutture esistenti potrebbero non essere compatibili con le nuove logiche basate su AI, rischiando di rimanere escluse da questi benefici o addirittura diventare vulnerabilità.
- Competenze non sempre disponibili: l’utilizzo efficace dell’intelligenza artificiale richiede skill specifici. L’assenza di figure con le giuste competenze, sia nello sviluppo che nella governance dei modelli, può rappresentare un rischio, simile a quanto già visto in passato con la diffusione della cybersecurity.
- Costi operativi e di mantenimento: in alcuni casi, i modelli AI risultano così complessi da generare costi elevati, che non sempre sono giustificati dai benefici reali. È importante valutare con attenzione il rapporto tra complessità, valore generato e sostenibilità nel tempo.
In sintesi, l’adozione dell’AI nella cybersecurity offre enormi potenzialità, ma richiede un approccio maturo, competente e ben strutturato per garantire affidabilità, trasparenza e capacità di interpretare le decisioni in modo efficace.
TIG. Sostanzialmente l’approccio da seguire nell’adozione di questa tecnologia, che è potente ma va calibrata bene e portata in azienda in modo consapevole e con una governance opportuna, è un vero e proprio percorso, durante il quale è necessario farsi accompagnare dagli specialisti. Come dovrebbe essere adottata secondo te?
Paolo Cannistraro. Sicuramente l’AI Act rappresenta un passo importante nel fornire un quadro normativo utile a guidare l’adozione e lo sviluppo responsabile dell’intelligenza artificiale. Se ci focalizziamo sul contesto della cybersecurity, il primo passo è comprendere chiaramente i bisogni dell’organizzazione e gli obiettivi che si vogliono raggiungere. È fondamentale strutturare una strategia ben definita, individuando quali processi aziendali – sia di business che di sicurezza – si intendono potenziare con il supporto dell’AI.
Ad esempio, può essere utile concentrarsi su specifiche aree, come il rilevamento delle anomalie, la gestione degli incidenti o il miglioramento delle capacità predittive. È però importante procedere con gradualità: partire con un progetto pilota, circoscritto e sotto controllo, permette di valutare l’impatto e gestire i rischi prima di una diffusione più ampia.
Un’adozione non controllata, infatti, può generare fenomeni di “Shadow IT“, dove soluzioni AI “ready to use” vengono introdotte direttamente dalle linee di business senza alcuna supervisione dell’IT o del risk management. Questo approccio non solo è rischioso, ma spesso porta all’abbandono delle tecnologie per mancanza di integrazione o formazione adeguata.
L’adozione dell’AI deve avvenire all’interno di un framework chiaro di governance, compliance, gestione del rischio e formazione. Non possiamo mettere a disposizione strumenti così potenti senza assicurarci che gli utenti abbiano le competenze per utilizzarli in modo efficace e sicuro. Serve creare un ecosistema che ruoti attorno all’utente e lo accompagni nell’intero percorso di adozione.
Personalmente, credo che l’introduzione dell’AI debba avvenire in maniera progressiva e strutturata – come stiamo facendo anche nella mia azienda – dove ogni iniziativa passa attraverso un canale centralizzato, evitando iniziative isolate. Solo così si può garantire un’adozione sostenibile, sicura e realmente utile per il business.
TIG. Voi, per esempio, avete realizzato dei gruppi misti con persone diverse sedute al tavolo di lavoro?
Paolo Cannistraro. Sì, assolutamente. Abbiamo creato un team multidisciplinare che coinvolge rappresentanti delle aree legal, privacy, cybersecurity e una componente IT dedicata specificamente al monitoraggio delle soluzioni di intelligenza artificiale. Questo gruppo lavora in sinergia per valutare i potenziali sviluppi, con l’obiettivo di identificare soluzioni che possano portare un reale beneficio all’azienda, nel rispetto degli standard etici e normativi.
Inoltre, utilizziamo un tool fornito dalla nostra capogruppo che ci supporta nella fase di valutazione preliminare: ci aiuta a determinare se il progetto AI che intendiamo sviluppare è conforme alle linee guida aziendali. Il tool analizza aspetti come il rischio di bias, potenziali discriminazioni (ad esempio su base razziale o di genere), e la pertinenza delle risposte rispetto agli obiettivi d’uso. Questo approccio ci consente di avere un controllo più rigoroso fin dalle prime fasi del ciclo di vita della tecnologia.
TIG. Quindi, in pratica, si tratta di un’AI etica e trasparente.
Paolo Cannistraro. Esattamente. Puntiamo a sviluppare e utilizzare un’intelligenza artificiale che sia etica, trasparente e controllabile.
Il tema di come BILANCIARE AI E CYBERSECURITY nei percorsi di trasformazione digitale sarà trattato e discusso, in un momento ristretto dedicato ai Responsabili della cybersecurity aziendale, organizzato da The Innovation Group il prossimo 18 settembre a Milano, il “CISO Panel 2025: NIS2, Cyber Resilienza e Sicurezza della Supply Chain“
(Posti limitati e riservati ai Responsabili Cybersecurity).
