L’IA avanza nelle aziende più velocemente della sua governance. Pertanto, per i CISO, la sfida è chiara: controllare una tecnologia in continua evoluzione senza rallentare l’innovazione.

Introduzione

La crescente presenza dell’IA negli ecosistemi aziendali pone i Chief Information Security Officer (CISO) di fronte a una sfida inedita: sviluppare una governance dell’IA che sia al contempo efficace e pragmatica.

È doveroso evidenziare che, se governare qualsiasi tecnologia emergente rappresenta già una complessità significativa, implementare una governance davvero efficace dell’IA si rivela ancora più arduo. Inoltre, l’approccio tradizionale adottato dalla maggior parte delle organizzazioni prevede una risposta immediata basata su politiche restrittive: elaborare documenti normativi, diffondere limitazioni operative e confidare nel contenimento del rischio. Mentre, una governance efficace dell’IA richiede un paradigma completamente diverso, che implica un ecosistema dinamico che orienta l’utilizzo quotidiano della tecnologia, accompagnando le organizzazioni attraverso una trasformazione sicura senza compromettere la velocità dell’innovazione.

Pertanto, i CISO devono dimostrare di attuare un bilanciamento tra sicurezza e agilità, considerando che l’IA incarna una maggiore opportunità. Tuttavia, è noto che un’accelerazione eccessiva di innovazione, senza adeguate protezioni, espone l’organizzazione a rischi critici, quali: dati sensibili trasformati in prompt, proliferazione di IA shadow, lacune normative che si tramutano in passività. Mentre, un approccio eccessivamente cauto consente ai competitor di acquisire vantaggi competitivi attraverso efficienze trasformative difficilmente recuperabili. Ovvero: entrambe le strategie comportano conseguenze che possono rendere complessa l’attività dei CISO.

I responsabili della sicurezza, in questo scenario, non possono permettersi di assumere un ruolo puramente ostativo, dove le iniziative di adozione dell’IA vengono sistematicamente bloccate dalla funzione security. L’imperativo strategico consiste nel tracciare un percorso verso l’approvazione, allineando la governance alla tolleranza al rischio dell’organizzazione e alle priorità di business, trasformando, di fatto, la sicurezza in un vero abilitatore di crescita.

Tre approcci strategici per una governance efficace dell’IA

Di seguito tre approcci strategici che possono supportare i CISO in questa transizione, promuovendo programmi di governance dell’IA che ne facilitino un’adozione sicura e scalabile.

1. Comprendere l’IA – È doveroso ricordare che, quando ChatGPT ha fatto la sua comparsa nel novembre 2022, la maggior parte dei CISO ha reagito pubblicando rapidamente policy restrittive che specificavano ai dipendenti cosa evitare.Tuttavia, tale approccio tradizionale dei CISO, pur nascendo da intenzioni legittime – date le preoccupazioni concrete sulla perdita di dati sensibili – ha evidenziato un limite strutturale. Ovvero, le politiche elaborate partendo dalla documentazione teorica risultano efficaci sulla carta, ma raramente si traducono in risultati pratici.

Inoltre, considerando la velocità evolutiva dell’IA, la sua governance richiede necessariamente una mentalità “orientata al mondo reale” che consideri le dinamiche operative effettive all’interno delle organizzazioni. Di fatto, tale approccio presuppone che i responsabili della cybersecurity sviluppino una comprensione approfondita dell’IA in termini di: tecnologia sottostante; ambiti di integrazione; piattaforme software che la abilitano; modalità di utilizzo da parte dei dipendenti.

Ancora, gli inventari dell’IA, i registri dei modelli e i comitati interfunzionali rappresentano meccanismi concreti per sviluppare questa competenza nell’IA.

Infine, una distinta base dell’IA (AI Bill of Materials – AIBOM), per esempio, è in grado di fornire visibilità sui componenti, sui dataset e sui servizi esterni che alimentano un modello di IA, analogamente come una distinta base del software (Software Bill of Materials – SBOM).

È doveroso evidenziare che i registri dei modelli monitorano i modelli distribuiti, la data dell’ultimo aggiornamento e le loro performance per prevenire la proliferazione di sistemi non tracciabili, oltre a supportare decisioni informate su: aggiornamenti, disattivazione o ridimensionamento dell’utilizzo.

Mentre, i comitati per l’IA assicurano che la supervisione non ricada esclusivamente sui team di sicurezza informatica o sull’area IT e sono sesso presieduti da un responsabile dell’IA o da un risk manager designato ed includono rappresentanti delle funzioni legali, conformità normativa, risorse umane e business, trasformando la governance da direttiva isolata a responsabilità condivisa che connette le questioni di sicurezza con i risultati aziendali.

2. Allineare le policy all’evoluzione dell’organizzazione – È importante evidenziare che le politiche che funzionano bene, in teoria, possono diventare rapidamente inutili se non si adattano ai cambiamenti della leadership aziendale, alle nuove funzionalità dell’IA e al modo naturale in cui i dipendenti iniziano a utilizzare nuovi strumenti nel loro lavoro quotidiano. La governance deve, quindi, essere sufficientemente flessibile per adattarsi continuamente, evitando che i team di sicurezza si trovino a dover far rispettare regole impossibili da applicare.

Di fatto, l’approccio più efficace consiste nel progettare politiche che sano “documenti viventi”, che evolvano insieme all’azienda e si basino su situazioni reali di utilizzo, con obiettivi chiari e misurabili. Ovvero, la governance dell’IA non può limitarsi solo alle politiche scritte, ma deve essere integrata negli standard operativi, nelle procedure pratiche e nelle linee guida che guidano il lavoro di tutti i giorni. Solo in questo modo i dipendenti capiscono concretamente come utilizzare IA in modo sicuro.

3. Rendere sostenibile la governance dell’IA – L’obiettivo dei responsabili della sicurezza non dovrebbe essere quello di vietare l’IA, bensì di rendere l’uso responsabile l’opzione più semplice e attraente. Ciò significa dotare i dipendenti di strumenti di IA aziendale – acquistati o sviluppati internamente – in modo che non debbano cercare alternative insicure e, al contempo, evidenziare e rafforzare i comportamenti positivi in modo che i dipendenti vedano il valore di seguire le politiche, piuttosto che aggirarle.

Secure AI Blueprint – SANS Institute: una guida di supporto alla governance dell’IA

Il SANS Institute ha recentemente pubblicato il “Secure AI Blueprint” (AI Security Blueprint) che fornisce un modello collaudato per ridurre i rischi e gestire l’IA in modo sicuro. Il documento è strutturato attorno a tre imperativi – i.e. proteggere l’IA, utilizzare l’IA, governare l’IA – e mira a supportare le organizzazioni a: salvaguardare i sistemi critici; stabilire una governance responsabile; implementare l’IA con sicurezza.

I CISO dovrebbero permettere ai loro team dei Security Operations Center (SOC) di sfruttare l’IA per rafforzare la difesa informatica. Questo significa utilizzare l’IA per automatizzare la riduzione degli allarmi falsi, raccogliere prontamente le informazioni sulla sicurezza, verificare le minacce rilevate, confrontandole con le intelligence sulle minacce conosciute e mantenere gli analisti sempre aggiornati per gestire l’escalation e rispondere agli incidenti. Allo stesso tempo, i CISO devono assicurarsi che esistano controlli adeguati a proteggere i sistemi di IA dagli attacchi esterni.

Recap strategia di governance dell’IA efficace

Un’efficace strategia di governance dell’IA deve considerare le seguenti aree e migliori pratiche.

• Istituzione di un comitato di governance interfunzionale dell’IA – Si tratta diriunire i leader del settore legale, della conformità, dell’IT, dell’ingegneria e della sicurezza in modo che si allineino ai principi guida, assegnare la proprietà e stabilire una cadenza delle riunioni per garantire il progresso e la responsabilità.
• Sviluppo e applicazione di una politica di utilizzo dell’IA – È necessario definire gli usi appropriati e vietati dell’IA all’interno dell’organizzazione. Ciò include modelli linguistici, strumenti di apprendimento automatico e sistemi decisionali automatizzati. Inoltre, la politica dovrebbe riflettere la tolleranza al rischio, i requisiti di conformità e gli impegni etici dell’organizzazione.
• Monitoraggio e verifica dell’utilizzo dell’IA – Si tratta di stabilire controlli per registrare e per rivedere il modo in cui viene utilizzata l’IA, in particolare nelle funzioni aziendali sensibile, oltre a prevedere audit interni regolari per identificare usi illeciti o le lacune di conformità prima che lo facciano le autorità di regolamentazione o i clienti esterni.

Rischio AI interno (di prima parte) – È necessario:

• Creare un processo formale di approvazione degli strumenti di intelligenza artificiale – Si tratta di standardizzare il modo in cui gli strumenti di intelligenza artificiale vengono valutati e approvati, comprese le revisioni legali, di sicurezza e di protezione dei dati prima dell’adozione.
• Implementare la formazione dei dipendenti – È fondamentale fornire una formazione al personale sull’uso accettabile dell’IA, sui rischi di gestione dei dati e sugli scenari da evitare (ad esempio, l’inserimento di dati sensibili in LLM pubblici).
• Condurre e documentare le valutazioni dei rischi dell’IA – È importante eseguire valutazioni strutturate di ogni iniziativa di IA, oltre a valutarne lo scopo, le fonti di dati, i potenziali pregiudizi e le vulnerabilità della sicurezza.
• Stabilire controlli interni sull’IA – Si tratta di implementare controlli per gestire la deriva del modello, l’uso non autorizzato e l’eccessiva dipendenza dall’automazione, oltre a rivedere regolarmente i controlli man mano che l’utilizzo si evolve.

Rischio di IA esterno (di terze parti) – Si tratta di:

• Condurre valutazioni strutturate del rischio dei fornitori di intelligenza artificiale – È importante inserire verifiche specifiche sull’IA nel processo di valutazione del rischio di terze parti, in termini di: uso dell’IA; dati di addestramento; governance dei modelli; verificabilità.
• Includere termini contrattuali specifici per l’IA– È necessario includere clausole contrattuale che richiedano ai fornitori: l’obbligo di esplicitare l’uso dell’IA; l’accettazione delle clausole di protezione dei dati di audit periodici.; allineamento alla politica interna dell’organizzazione sull’utilizzo dell’IA.
• Monitorare la conformità dei fornitori – Si tratta di stabilire un sistema per la valutazione continua dei rischi. Ovvero, se un fornitore aggiorna i propri modelli di IA o lancia nuove funzionalità, è necessario rivalutare il rischio in base alle modifiche.

Normative e conformità –Si tratta di:

• Allineare la governance ai framework NIST AI RMF e ISO 42001 – SI consiglia di utilizzare questi standard globali come base per strutturare politiche e documentazione, oltre a adattare le loro linee guida alle specificità del proprio contesto operativo.
• Implementare il monitoraggio continuo della conformità – È opportuno sfruttare l’automazione (implementando piattaforme GRC) per tracciare in tempo reale le metriche di conformità, mantenere aggiornata la documentazione e generare audit trail automatici.
• Costruire fiducia attraverso la trasparenza – Si tratta di stabilire un dialogo aperto e proattivo con i clienti, condividendo in modo chiaro e accessibile le proprie metodologie di gestione dell’IA, mediante portali dedicati che pubblicano regolarmente aggiornamenti sui controlli, audit e best practice adottate per garantire un utilizzo etico e sicuro della tecnologia.

Governance ed etica dell’IA – La governance dell’IA non è completa senza una solida base etica. Ne consegue che le considerazioni etiche devono essere integrate nel momento in cui l’IA viene progettata, addestrata e implementata all’interno dell’organizzazione. Non si tratta solo di conformità normativa, ma anche di fiducia del pubblico e sostenibilità a lungo termine.

Pertanto, si tratta di:

• Allineare l’uso dell’IA ai valori dell’organizzazione – Si tratta di rivedere le decisioni dell’IA per verificarne l’equità, la responsabilità e la trasparenza, oltre a documentare le decisioni che hanno un impatto su persone, clienti e comunità.
• Creare un comitato etico per l’IA – È necessario formare un gruppo di valutazione composto da persone con competenze diverse (tecnici, legali, etici) per esaminare e approvare gli utilizzi dell’IA che comportano rischi elevati.
• Mantenere sempre il controllo umano – È importante utilizzare solo sistemi di IA trasparenti e comprensibili, garantendo che ogni decisione automatica importante possa essere verificata, spiegata e, se necessario, modificata dall’essere umano.
• Formare dipendenti e fornitori – È fondamentale organizzare programmi di sensibilizzazione e workshop ricorrenti che aiutino sia i team interni sia i partner esterni a comprendere le politiche e gli standard dell’IA

Conclusione

I CISO si trovano ad affrontare oggi la sfida strategica di armonizzare innovazione e sicurezza attraverso una governance dell’IA che è passata da un’attività di conformità a una strategia aziendale principale. Non si tratta solo di un quadro di politiche; è un modo per portare struttura, responsabilità e chiarezza nell’uso dell’IA in tutta l’organizzazione. Di fatto, i CISO, definendo standard, stabilendo linee guida etiche chiare e implementando la supervisione, possono assicurarsi che i sistemi di IA siano sviluppati e implementati in modo sicuro e responsabile. Ciò è essenziale per prevenire i pregiudizi, proteggere i dati sensibili e garantire che i risultati dell’IA rimangano spiegabili e allineati con i valori aziendali.

Inoltre, una forte governance dell’IA crea anche un vantaggio competitivo. Ancora, le aspettative normative sono sempre più severe: leggi come l’AI Act dell’UE, l’ISO 42001 e l’AI Risk Management Framework del NIST stanno plasmando il modo in cui le aziende devono operare.

In breve, si tratta di garantire che l’innovazione possa avvenire rapidamente, senza sacrificare la sicurezza, l’etica o l’integrità del marchio.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.