La sicurezza informatica non è più una questione da tecnici in sala server. È diventata una materia che riguarda i consigli di amministrazione, i legislatori europei e, sempre più spesso, i sistemi di intelligenza artificiale che le aziende adottano ogni giorno. A raccontare questa trasformazione profonda è Dolman Aradori, esperto di cybersecurity di NTT Data, che offre una prospettiva concreta su come stia cambiando il rapporto tra imprese, normative e nuove tecnologie.
Per decenni, la sicurezza informatica è stata trattata come una lista della spesa: installare l'antivirus, configurare il firewall, spuntare le voci e passare oltre. Un approccio che Aradori definisce "da checklist", utile forse per dimostrare la conformità formale, ma insufficiente a garantire una protezione reale. La differenza tra essere compliant ed essere davvero sicuri è stata a lungo uno dei grandi paradossi del settore.
Oggi quel paradosso si sta, almeno in parte, ricomponendo. Le nuove normative europee, in particolare la NIS 2 e la DORA, hanno cambiato radicalmente il paradigma. Non si tratta più di seguire un elenco prestabilito di misure, ma di adottare un approccio basato sull'analisi continua del rischio. Come spiega Aradori, queste normative impongono alle aziende di valutare ogni attività in funzione dei rischi che genera, di farlo in modo periodico e iterativo, e di considerare anche i fornitori e le terze parti nella catena della sicurezza.
Un elemento particolarmente significativo introdotto dalla NIS 2 riguarda le responsabilità dei vertici aziendali. I membri dei consigli di amministrazione non possono più delegare completamente la cybersecurity ai reparti IT: devono comprenderne le implicazioni, conoscere i possibili impatti di una gestione inadeguata e farsi carico di una consapevolezza diretta. NTT Data lavora proprio su questo fronte, portando casi pratici ai board aziendali per rendere tangibile ciò che altrimenti resterebbe un problema astratto.
C'è poi il tema che sta ridisegnando l'intero settore: l'intelligenza artificiale. Usata in difesa, consente di analizzare reti, individuare vulnerabilità nel codice e automatizzare il rilevamento delle minacce con una velocità impensabile per un team umano. Ma la stessa tecnologia è nelle mani di chi attacca, con effetti già visibili. Il caso più evidente, secondo Aradori, non è il ransomware classico, ma il phishing: i messaggi fraudolenti inviati via email o SMS sono diventati molto più sofisticati, personalizzati, privi degli errori grammaticali che un tempo li rendevano riconoscibili. Deepfake audio e video generati dall'AI rendono ancora più difficile distinguere il reale dal falso, abbassando le difese anche di chi è normalmente attento.
Gli attacchi di tipo DDoS, quelli che mirano a paralizzare un servizio sommergendolo di traffico, beneficiano anch'essi della potenza di calcolo dell'AI, che consente di orchestrare offensiva su scala molto più ampia. La risposta, in questo caso, deve arrivare a monte: dai provider di connettività e hosting, che possono filtrare il traffico malevolo prima che raggiunga l'infrastruttura aziendale.
Sul fronte dei rischi interni legati all'uso aziendale dell'AI, Aradori offre una lettura tutto sommato rassicurante, almeno per il momento. Le aziende che stanno adottando l'intelligenza artificiale in modo davvero maturo sono ancora pochissime. La fase attuale è prevalentemente esplorativa: si sperimentano automazioni, si testano strumenti di machine learning per compiti rutinari, ma le potenzialità dell'AI generativa sono ancora lontane da un'integrazione sistematica nei processi aziendali. E questa prudenza, per quanto dettata anche dall'incertezza, ha finora evitato grandi incidenti legati a fughe di dati.
Il nodo più delicato rimane quello della governance. Uno dei rischi concreti è trattare l'AI come una "scatola magica": si inseriscono dati in ingresso, si ottengono risultati in uscita, senza capire cosa accada nel mezzo. Per Aradori, la strada da percorrere è quella della spiegabilità e della trasparenza: costruire sistemi che rendano tracciabile ogni decisione dell'AI, in modo da poter individuare errori, correggerli e impedire che comportamenti scorretti si consolidino. Un rischio specifico in questo senso è il cosiddetto data poisoning, ovvero l'introduzione intenzionale di dati alterati per condizionare il comportamento del sistema.
Un terzo della strada è ancora da fare, però. Studi di settore indicano che molte imprese si aspettano un ritorno sull'investimento in AI pari a tre volte e mezzo il capitale impiegato, ma circa la metà di quelle intervistate sta già valutando di ridimensionare gli investimenti se quei ritorni non arriveranno. Siamo in una fase in cui le aspettative sono alte, i risultati ancora parziali, e la maturità tecnologica e organizzativa delle aziende fa fatica a tenere il passo con la velocità dell'innovazione. Non si tratta di essere pessimisti: si tratta di riconoscere che nessuno strumento, per quanto potente, può essere semplicemente innestato in un'organizzazione senza un percorso di adattamento, formazione e governance adeguata.
