L’adozione accelerata dell’IA, tra le varie conseguenze (anche negative) che si porta dietro, sta esponendo una fragilità strutturale ancora poco compresa. Secondo i dati del report Cisco 2025 AI Readiness Index, meno di un terzo delle aziende ritiene di avere gli strumenti adeguati per difendersi dalle minacce legate all’IA e solo una minoranza ha definito una strategia chiara per un utilizzo responsabile. Non si tratta tra l’altro di una semplice estensione della cybersecurity tradizionale, considerando che i sistemi di intelligenza artificiale introducono un livello di imprevedibilità che mette in crisi i modelli di gestione del rischio consolidati.

Molti dirigenti hanno maturato una solida esperienza nella protezione di reti, endpoint e applicazioni, ma faticano ad affrontare sistemi che apprendono, si adattano e prendono decisioni in modo autonomo. I rischi dell’IA non derivano esclusivamente da vulnerabilità tecniche, bensì da comportamenti emergenti, interazioni complesse tra modelli e dati, e da catene decisionali che possono sfuggire al controllo umano. È in questo contesto che Cisco ha sviluppato l’AI Security Framework, con l’obiettivo di offrire una chiave di lettura unitaria a un panorama di minacce sempre più frammentato.

Negli ultimi anni, le aziende hanno cercato di orientarsi affidandosi a una molteplicità di linee guida e tassonomie tra MITRE ATLAS per le tattiche avversarie, i framework NIST per la sicurezza del machine learning e le raccomandazioni OWASP per i modelli linguistici, affiancate da pratiche interne elaborate dai principali attori del settore. Ognuno di questi riferimenti affronta una porzione del problema, ma nessuno riesce a restituire una visione complessiva, anche perché nel mondo reale gli attacchi non seguono confini teorici e i rischi non si manifestano in compartimenti stagni. Un attacco di prompt injection, ad esempio, può avere implicazioni di sicurezza, di conformità normativa e di reputazione nello stesso momento.

Cisco sicurezza IA

Il framework di Cisco nasce proprio dalla necessità di superare questa frammentazione, proponendo un paradigma che tenga insieme sicurezza e responsabilità. Da un lato c’è la protezione dei sistemi di IA da attacchi, accessi non autorizzati e compromissioni lungo l’intero ciclo di vita. Dall’altro, c’è la garanzia che tali sistemi operino in modo affidabile, trasparente e coerente con i valori e gli obiettivi dell’organizzazione. Trattare queste dimensioni come inseparabili consente di affrontare il rischio in modo più realistico, riducendo la distanza tra aspetti tecnici e implicazioni operative.

Il cuore dell’approccio sta nella capacità di osservare l’IA come un sistema dinamico, che evolve dalla fase di sviluppo all’addestramento, dalla distribuzione all’uso quotidiano. Visto infatti che le vulnerabilità cambiano nel tempo, così come cambiano gli attaccanti e le loro tecniche, il framework integra questa prospettiva con una particolare attenzione agli scenari emergenti, come l’orchestrazione di più agenti intelligenti che condividono memoria, informazioni e obiettivi. In questi contesti, le minacce possono nascere dalle interazioni stesse tra sistemi, rendendo inefficaci i controlli pensati per modelli isolati.

Un altro elemento distintivo è l’attenzione alla multimodalità. I moderni sistemi di IA elaborano testo, immagini, audio, video, codice e dati provenienti da sensori, spesso all’interno della stessa applicazione. Questa convergenza amplia enormemente la superficie di attacco e rende necessario un modello di analisi capace di trattare in modo coerente rischi eterogenei, particolarmente rilevanti in ambiti come la robotica, la guida autonoma o le piattaforme di sorveglianza avanzata.

Il Cisco AI Security Framework si propone anche come strumento di allineamento organizzativo. Fornisce infatti un linguaggio comune che può essere utilizzato da dirigenti, responsabili della sicurezza, ingegneri e team di governance, riducendo le ambiguità e migliorando la comunicazione interna. La sua classificazione unificata delle minacce collega inoltre le motivazioni degli attaccanti alle tecniche utilizzate e agli impatti concreti sui sistemi e sul business, includendo scenari che vanno dalla compromissione della supply chain alla generazione di contenuti dannosi, fino alla violazione della proprietà intellettuale.

(Immagine in apertura: Shutterstock)