Dall’AI alle identità macchina, passando per Zero Trust e continuità operativa: la governance della sicurezza entra in una nuova fase, dove il perimetro si dissolve e il trust va ripensato dalle fondamenta. La crescente adozione dell’intelligenza artificiale, l’esplosione delle identità non umane e la convergenza tra mondo digitale e fisico stanno ridefinendo profondamente il concetto di sicurezza. È in questo scenario che si è sviluppata la Roundtable “Governare l’AI, gestire identità utenti e macchine, garantire continuità e preservare il trust”, del CISO LEADERS SUMMIT dello scorso 26 e 27 marzo a Baveno, evento che ha riunito CISO, CIO ed esperti della cybersecurity per mettere a confronto esperienze e visioni. Come ha esordito Giancarlo Calzetta, Research e Content Manager di TIG, un punto emerge con chiarezza: non si tratta più solo di difendere sistemi, ma di governare ecosistemi complessi, dove dati, identità e automazione sono il vero perimetro da proteggere.
AI e cybersecurity: prima la governance, poi il rischio
Ad aprire il confronto è stato Simone Rizzo, DT Cybersecurity Director di CCR, sottolineando come il tema del rischio legato all’AI debba essere affrontato partendo da una solida governance. Nel contesto industriale, infatti, l’AI non è solo uno strumento di produttività, ma potenzialmente un elemento che incide direttamente su processi core. Da qui la necessità di partire da alcune domande fondamentali: quali dati sono trattati? Qual è la criticità del servizio? Qual è il valore per il business?
La protezione va calata nel singolo contesto: un sistema AI che traduce documenti non ha lo stesso impatto di uno che governa processi industriali critici. E soprattutto, il vero asset da difendere rimane il dato. “Nel futuro dovremo proteggere la bontà del dato, evitando che sia ‘inquinato’ dall’esterno” ha detto Simone Rizzo.
Ruolo della cybersecurity è fornire al business e alla catena di comando i fondamentali per questa protezione dell’AI, partendo dalla criticità del dato e del servizio erogato, dal valore industriale da ottenere con queste soluzioni. Quindi, diffondere cultura sul tema in modo da cambiare il mindset, fornendo concetti e misure tecnologiche che facilitano le nuove decisioni del business.
Identità macchina: da problema tecnico a rischio operativo
Se le identità digitali degli utenti sono oggi relativamente governate, il vero punto critico è rappresentato oggi dalle identità macchina. A evidenziarlo è Simone Cucchetti, Information Security Officer di E.ON Italia. “Le identità macchina sono estremamente complicate da gestire, anche perché spesso non sono nemmeno visibili” ha detto Simone Cucchetti.
Il problema principale è proprio la mancanza di visibilità e accountability. Molte identità non umane nascono, evolvono e rimangono attive senza una reale gestione del ciclo di vita. Per affrontare questa complessità, diventa necessario cambiare paradigma: non chiedersi più “chi accede”, ma “per quale processo sono utilizzate”. Questo approccio consente di collegare ogni identità a un processo di business, rendendo possibile una valutazione del rischio più efficace, una governance coerente anche con i requisiti normativi, come quelli introdotti dalla NIS2, a garanzia di una migliore continuità operativa.
In questo contesto, anche il modello Zero Trust evolve: “Zero Trust non è più solo una misura tecnica, ma una leva di riduzione del rischio operativo” ha detto Simone Cucchetti. Un cambiamento che richiede il coinvolgimento non solo di IT e security, ma anche del business e delle funzioni HR, soprattutto per quanto riguarda la formazione delle persone e la gestione del ciclo di vita delle identità.
Identità come infrastruttura critica
Il tema delle identità si amplia ulteriormente quando si guarda alla convergenza tra digitale e fisico. Leonardo Leoni, Head of Private Market Sales di Neverhack Italy, evidenzia come questa distinzione sia ormai superata. “Le azioni digitali hanno conseguenze reali nel mondo fisico” ha detto Leonardo Leoni. Dai sistemi di building management agli impianti industriali, tutto è oggi interconnesso. In questo scenario, le identità diventano il vero punto di controllo tra i due mondi.
Il problema è che le identità macchina stanno crescendo più velocemente della capacità di governarle. Service account dimenticati, permessi accumulati nel tempo, connessioni non più tracciate: ogni elemento può trasformarsi in una vulnerabilità con impatti concreti sulla continuità operativa. “Non stiamo governando le identità macchina, le stiamo tollerando” ha detto Leoni. Da qui la necessità di un cambio di prospettiva: le identità non devono più essere considerate un semplice dominio IAM, ma vere e proprie infrastrutture critiche, con ownership chiara e processi di gestione strutturati.
Agentic AI: tra opportunità e salto di fiducia
A chiudere il confronto è Umberto Pirovano, Senior Manager Technical Solutions di Palo Alto Networks, che porta l’attenzione su un ulteriore elemento di complessità: gli agenti AI. Questi sistemi, capaci di prendere decisioni autonome, si collocano a metà tra identità umane e macchine, introducendo un nuovo livello di rischio.
“Gli agenti sono macchine che ‘scimmiottano’ l’uomo e hanno gradi di libertà che richiedono un livello di protezione specifico” ha detto Umberto Pirovano. L’adozione dell’AI, infatti, non è solo una questione di benefici, ma di maturità nella sicurezza. Delegare decisioni a sistemi autonomi implica un vero e proprio “salto di fiducia”, che deve essere supportato da nuove pratiche, come il red teaming avanzato e il controllo delle interazioni tra agenti, API e dati.
Inoltre, il dato assume una doppia valenza: deve essere protetto sia nella fase di addestramento sia in quella di inferenza, ampliando ulteriormente la superficie di attacco.
Verso una nuova governance del trust
Dalla discussione emerge un filo conduttore chiaro: il trust non è più un presupposto, ma un obiettivo da costruire. La sicurezza non può più essere pensata come un perimetro statico, ma come un sistema dinamico che deve governare:
- la qualità e l’integrità dei dati
- la proliferazione delle identità, soprattutto non umane
- l’autonomia crescente degli agenti AI
- l’interconnessione tra digitale e fisico.
In questo scenario, la governance diventa il vero elemento differenziante. Non basta introdurre nuove tecnologie: serve un cambio di paradigma che integri cultura, processi e strumenti. Perché, come emerge chiaramente dal confronto, la sfida non è solo proteggere l’AI, ma rendere affidabile un ecosistema in cui l’AI diventa parte integrante delle decisioni e delle operazioni aziendali.
Rivedi la registrazione della Roundtable “Governare AI e identità, la nuova frontiera del trust digitale” del CISO LEADERS SUMMIT dello scorso 26 e 27 marzo a Baveno:
