Intervista a Vittorio Bitteleri, country manager di Cyber Guru.
L’AI è per voi più un’alleata o una minaccia?
Bitteleri: Direi che, dal nostro punto di vista, l’intelligenza artificiale introduce innanzitutto un’ulteriore turbativa per gli utenti. Porta con sé potenzialità molto elevate ma anche un salto di qualità delle minacce. Basta guardare che cosa sta succedendo con i deepfake, in particolare quelli basati sulla riproduzione della voce: già oggi sono inquietanti e siamo solo all’inizio. È ragionevole immaginare che nel giro di poco tempo diventeranno praticamente perfetti e sarà sufficiente pochissimo tempo e pochi dollari per realizzarli.
Noi lavoriamo sulla cultura informatica e sulle competenze legate ai comportamenti. Il nostro cavallo di battaglia è il rischio umano: cambiano i veicoli di compromissione, ma se non formi le persone su base continua non riesci a stare al passo con le nuove minacce e le nuove tipologie di attacco.
Che cosa significa, in concreto, lavorare sul rischio umano nell’era dell’AI?
Bitteleri: Significa, prima di tutto, costruire percorsi di addestramento che aiutino le persone a sviluppare un sano senso critico. Come Cyber Guru abbiamo introdotto nei nostri programmi formativi una serie di moduli specifici sui comportamenti da tenere quando ci si trova davanti a determinate situazioni, segnali o anomalie.
L’obiettivo è permettere agli utenti di rimanere allineati, giorno per giorno, con l’evoluzione delle minacce. Se non riesci a fare questo, non sei nemmeno in grado di prevederle. E di fronte a certi scenari non esiste tecnologia che possa mettersi completamente “in mezzo” al posto tuo: le persone devono sapere cosa fare e cosa non fare.
La normativa NIS2 che ruolo gioca in questo percorso culturale?
Bitteleri: La cultura della sicurezza deve partire dall’alto. È un approccio top down. La nuova normativa NIS2, recepita nel Decreto Legislativo 138, da questo punto di vista ci sta dando un aiuto importante.
L’articolo 23 del decreto stabilisce che oggi anche il management, il Board of Directors, oltre a essere responsabile penalmente per gli aspetti di cyber security, è tenuto a svolgere corsi informativi. L’articolo 24 estende poi l’obbligo a tutto il personale.
È dal management che bisogna cominciare, perché se c’è cultura a livello di management, questa cultura può propagarsi in modo coerente su tutti i livelli aziendali. In questo momento credo sia l’unica vera forma di protezione: una cultura diffusa della sicurezza che abbraccia comportamenti, processi e responsabilità, perché di fronte a certe situazioni nessuna tecnologia offre una garanzia assoluta.
Avete creato lo schema Cyber Advisor. Che cos’è e come funziona?
Bitteleri: Sul fronte formativo abbiamo voluto creare lo schema Cyber Advisor, che è un contenitore segregato pensato per la gestione dei contenuti di cyber security. All’interno di questo perimetro i contenuti possono essere alimentati solo da noi, attraverso la nostra produzione, oppure dal cliente con le proprie policy e con tutta la sua documentazione interna.
In questo ambiente abbiamo inserito un motore di intelligenza artificiale generativa. L’idea è offrire al mercato e alle aziende un ambiente certificato, in cui l’utente sa che, nel momento in cui si rivolge alla “sua” AI protetta e chiede, per esempio, qual è la policy da seguire in un determinato scenario operativo, la risposta che riceverà sarà coerente con le policy e con la governance definite dall’azienda.
Come controllate le informazioni che l’AI può usare e restituire agli utenti?
Bitteleri: Il controllo è insito nella filosofia con cui è stata pensata la piattaforma. Il motore viene alimentato esclusivamente da noi o dal cliente: questo garantisce che non possa andare all’esterno a prendere informazioni.
Piuttosto che fornire un’informazione sbagliata, la piattaforma può dichiarare che quell’informazione non è disponibile. Le informazioni immesse dal cliente vengono elaborate all’interno di un perimetro protetto e segregato, in cui il motore di AI generativa lavora esclusivamente sui dati autorizzati.
Sono previsti anche “guardrail” che limitano l’uso dell’AI a contenuti pertinenti con l’ambito della sicurezza. Se l’utente formula richieste che esulano da questo ambito, il sistema riporta l’interazione su contenuti rilevanti per la cyber security, offrendo così una garanzia ulteriore sul corretto perimetro di utilizzo e sulla non dispersione delle informazioni.
Che tipo di motore di AI utilizzate? È open source o proprietario?
Bitteleri: È un motore sviluppato da noi, nel nostro laboratorio: un motore di AI generativa proprietario. Possiamo definirlo come una sorta di ChatGPT proprietaria, sulla quale vengono caricati documenti e informazioni strettamente riferiti alla cyber security.
L’obiettivo è che l’utente inizi a dialogare con questo oggetto e possa instaurare una formazione bidirezionale. Può approfondire temi che lo incuriosiscono, fare domande, chiedere chiarimenti. Le risposte che riceverà saranno sempre risposte certificate da Cyber Guru o dal cliente stesso, in funzione dei contenuti che sono stati caricati nella piattaforma.
Su quali ambiti applicativi questo modello funziona meglio?
Si tratta di una componente che utilizziamo in tutta la parte di generazione documentale, conversione di documenti, traduzioni e attività di comunicazione. È quindi costruita in modo particolare sul mondo dei documenti e della comunicazione scritta.
L’idea di fondo nasce anche dalla volontà di superare il learning tradizionale, monodirezionale, dove qualcuno spiega e tu ascolti. Qui vogliamo instaurare un rapporto più interattivo, attraverso una sorta di chatbot con cui puoi dialogare come con un compagno di banco all’università. Gli puoi chiedere informazioni, un consiglio, oppure sottoporgli una mail che ti sembra sospetta e domandargli che cosa ne pensa, se sia il caso di fidarsi o meno.