Il Tribunale di Siracusa, con la sentenza n. 338 del 20 febbraio 2026, traccia per la prima volta in Italia uno standard di diligenza esigibile dagli operatori del diritto che usano sistemi di intelligenza artificiale generativa. La decisione si inserisce in un filone giurisprudenziale che si sta consolidando e interroga, ben oltre l’avvocatura, chiunque produca output professionali con strumenti di generative AI.

Sentenza Siracusa 338/2026: quattro precedenti di Cassazione inventati dall’IA

Alla prima lettura sembravano tutte al loro posto. Quattro precedenti della Corte di Cassazione, gli estremi completi, la sezione, l’anno, persino il numero di ruolo. Per ognuna un passaggio tra virgolette che avrebbe dovuto dare la stoccata finale e demolire l’eccezione di decadenza che l’avvocato della controparte aveva costruito con cura. Una memoria difensiva costruita con il mestiere, sostenuta da pronunce pertinenti, apparentemente inoppugnabile.

Il Giudice Unico di Siracusa, davanti a quella memoria, ha fatto quello che ogni magistrato fa quando un argomento poggia così nettamente sui precedenti: è andato a leggerli. Le banche dati in uso alla magistratura italiana restituiscono provvedimenti autentici, con il testo integrale delle motivazioni. Di quei passaggi virgolettati, però, non c’era traccia. Alcune delle sentenze richiamate esistevano davvero, ma trattavano materie diverse, in qualche caso lontanissime dalla questione in discussione; altre non risultavano affatto. I brani riportati tra virgolette, in ogni singolo caso, non figuravano in nessuna pronuncia reale. Non erano imprecisioni né errori di trascrizione: erano testi inesistenti, costruiti ex novo.

A quel punto il giudice, prima di pronunciarsi, ha provato a mettersi nei panni di chi aveva firmato quella memoria. Poteva trattarsi di un cortocircuito delle banche dati professionali? No, perché quegli strumenti indicizzano materiale autentico, non lo generano. Un errore mnemonico? Nemmeno, perché non si trattava di un numero sbagliato o di una sezione male attribuita, ma di quattro massime inventate dal nulla. Una falsificazione deliberata? Implausibile, perché nessun professionista esperto si esporrebbe a una conseguenza disciplinare così grave per un vantaggio difensivo tanto modesto.

Restava una sola spiegazione coerente con i fatti: il difensore si era affidato a uno strumento di intelligenza artificiale generativa e aveva riportato negli atti ciò che il sistema gli aveva restituito, senza verificarlo sulle fonti primarie.

Il giudizio riguardava, in origine, tutt’altro. Una società in liquidazione chiedeva oltre centosessantacinquemila euro di risarcimento a chi aveva sottoscritto, in nome di un’associazione non riconosciuta, un contratto di sublocazione poi risolto per morosità. La questione tecnica era l’applicabilità del termine di decadenza semestrale di cui all’art. 1957 c.c. alla responsabilità personale prevista dall’art. 38 c.c., un punto su cui la Cassazione si è espressa più volte in modo univoco. Proprio per superare quell’orientamento, la difesa attorea aveva bisogno di precedenti che spingessero nella direzione opposta. Ma quei precedenti non esistevano.

La sentenza n. 338/2026 rigetta integralmente la domanda e condanna l’attrice a 14.103 euro di spese legali, ad altrettanti 14.103 euro ex art. 96, comma 3, c.p.c. e a ulteriori 2.000 euro in favore della Cassa delle ammende ex art. 96, comma 4, c.p.c. Ma il cuore della decisione non è nella cifra: è nel fatto che, per la prima volta in modo così esplicito in Italia, un giudice scrive in motivazione che cosa ci si può aspettare, nel 2026, da chi fa il suo mestiere usando un Large Language Model.

Colpa grave per uso acritico dell’IA: la nuova diligenza professionale

Il passaggio motivazionale che rende la decisione un punto di svolta è la qualificazione giuridica dell’errore. Il giudice afferma che costituisce ormai fatto notorio, acquisito alla generalità dei consociati e certamente esigibile da un operatore professionale del diritto, che i modelli di IA generativa non sono banche dati giurisprudenziali da cui estrarre precedenti, bensì strumenti di generazione automatica del linguaggio fondati su meccanismi inferenziali di natura statistica e probabilistica.

Tali sistemi, ricorda la sentenza, non sanno né ricordano alcunché, ma producono sequenze di testo statisticamente plausibili sulla base di miliardi di parametri di addestramento, senza avere accesso, ordinariamente, ad alcuna base di conoscenza verificata o verificabile. È proprio per questo che sono soggetti al fenomeno delle c.d. hallucinations, ossia alla generazione di contenuti formalmente plausibili ma sostanzialmente falsi o inesistenti.

Da questa premessa tecnica discende la qualificazione giuridica. L’utilizzo acritico di tali strumenti, senza la doverosa verifica dell’attendibilità degli output mediante consultazione delle fonti primarie, integra gli estremi della colpa grave. Il passaggio è decisivo perché sposta l’asticella della diligenza professionale: non basta più scusarsi con un malfunzionamento tecnico, perché il rischio di hallucination è, nel 2026, parte della conoscenza ordinaria che ci si attende da chi esercita una professione regolamentata.

Da Firenze a Milano: la giurisprudenza italiana sulle allucinazioni dell’IA

La decisione siracusana non nasce nel vuoto. Il primo precedente italiano conosciuto è l’ordinanza del 14 marzo 2025 del Tribunale delle Imprese di Firenze, che affrontò una comparsa di costituzione contenente alcune sentenze di Cassazione inesistenti, prodotte da una collaboratrice di studio tramite ChatGPT e non verificate prima del deposito. In quel caso il collegio fiorentino escluse la responsabilità aggravata ex art. 96 c.p.c., ritenendo assenti il dolo e il danno concreto, ma riconobbe espressamente il disvalore dell’omessa verifica.

Nei mesi successivi la giurisprudenza di merito si è fatta più rigorosa. Il Tribunale di Torino, Sezione Lavoro, con sentenza n. 2120 del 16 settembre 2025, ha censurato un ricorso redatto “col supporto dell’intelligenza artificiale” e costruito, nelle parole del giudice, su “un coacervo di citazioni normative e giurisprudenziali astratte, prive di ordine logico e in larga parte inconferenti”, riconoscendo la responsabilità aggravata ex art. 96, commi 3 e 4, c.p.c. A pochi giorni di distanza, il Tribunale di Latina con sentenza n. 1037 del 23 settembre 2025 ha deciso in senso analogo, in una serie di pronunce gemelle che hanno colpito ricorsi seriali redatti “a stampone”.

In ambito amministrativo, la sentenza n. 3348 del 21 ottobre 2025 del TAR Lombardia, Sezione V, ha affrontato un ricorso contro la bocciatura di una studentessa di liceo: nell’atto introduttivo, tutte le citazioni giurisprudenziali a sostegno dell’illegittimità dei provvedimenti impugnati risultavano inesistenti o riferite a orientamenti non noti. Il difensore, messo davanti all’evidenza in udienza, ha ammesso di essersi avvalso di strumenti di ricerca basati su IA. Il TAR ha respinto il ricorso, condannato alle spese e, soprattutto, disposto la trasmissione della sentenza all’Ordine degli Avvocati di Milano per le valutazioni disciplinari di competenza, aprendo un fronte deontologico ulteriore rispetto a quello processuale.

Vale la pena notare che anche la Terza Sezione Penale della Corte di Cassazione, con sentenza n. 25455/2025, ha annullato con rinvio una pronuncia della Corte d’Appello di Torino in materia di reati tributari, rilevando che la motivazione faceva riferimento “a principi di legittimità non affermati o a sentenze di questa Corte inesatte nel numero riportato”: un segnale che il fenomeno comincia a riguardare anche la funzione giudicante.

La pronuncia di Siracusa, dunque, si innesta su questa linea e la porta a un nuovo grado di chiarezza: la colpa grave non è un giudizio di valore, ma la conseguenza della violazione di un obbligo di verifica tecnicamente definito.

Allucinazioni IA in tribunale: oltre 1.300 casi documentati nel mondo

Che il caso siracusano non sia un episodio locale è confermato dai numeri. Il database di Damien Charlotin, ricercatore presso lo Smart Law Hub di HEC Paris, nel maggio 2025 registrava 116 casi in dodici Paesi (Stati Uniti, Israele, Regno Unito, Canada, Australia, Brasile, Paesi Bassi, Italia, Irlanda, Spagna, Sudafrica, Trinidad e Tobago); ad aprile 2026 i casi documentati superano quota 1.300, di cui circa 800 negli Stati Uniti, con rilevazioni che registrano fino a 17 decisioni statunitensi in un singolo giorno.

Le sanzioni crescono in proporzione: un tribunale federale in Oregon ha disposto 109.700 dollari di sanzioni e spese complessive a carico di un singolo avvocato in un caso di citazioni generate dall’IA, cifra riportata come record aggregato negli Stati Uniti. Un’analisi condotta dal Center for Internet and Society di Stanford su 114 casi statunitensi, sulla base degli stessi dati, mostra che il 90% degli studi coinvolti sono solo practice o piccoli studi, e che, nei casi in cui è stato possibile identificare il sistema usato, la metà riguarda una versione di ChatGPT.

Il caso fondativo resta Mata v. Avianca (S.D.N.Y., 22 giugno 2023), nel quale il giudice P. Kevin Castel sanzionò con 5.000 dollari in solido due avvocati e il loro studio per aver depositato sei precedenti inesistenti generati da ChatGPT, ritenendo che il comportamento integrasse subjective bad faith soprattutto per aver insistito sulle citazioni anche dopo che la controparte ne aveva contestato l’esistenza. È lo stesso schema che si ritrova, con variazioni, in quasi tutti i casi successivi.

Legge 132/2025 art. 13: gli obblighi per i professionisti che usano l’IA

La sentenza siracusana arriva pochi mesi dopo l’entrata in vigore della Legge 23 settembre 2025, n. 132, il primo intervento organico italiano in materia di intelligenza artificiale, che si affianca al Regolamento (UE) 2024/1689 (AI Act). L’articolo 13 della legge introduce due principi che incidono direttamente sul tema. Il primo stabilisce che l’uso dei sistemi di IA nelle professioni intellettuali è finalizzato al solo esercizio delle attività strumentali e di supporto, con prevalenza del lavoro intellettuale oggetto della prestazione d’opera. Il secondo impone al professionista di comunicare al destinatario della prestazione, con linguaggio chiaro, semplice ed esaustivo, le informazioni relative ai sistemi di IA utilizzati.

Non si tratta di un obbligo meramente formale. La disposizione, letta insieme alla giurisprudenza che si sta consolidando, disegna un modello in cui l’avvocato (ma lo stesso vale per il consulente, l’ingegnere, il commercialista) resta titolare pieno della prestazione intellettuale, e la firma sull’atto vale come assunzione di responsabilità per tutto ciò che è stato prodotto, a prescindere dal fatto che il testo sia stato redatto personalmente, da un collaboratore o da un Large Language Model.

Il Consiglio Nazionale Forense ha diffuso un modello di informativa tipo da consegnare al cliente all’atto del mandato, mentre l’Ordine degli Avvocati di Milano aveva anticipato il tema già a dicembre 2024 con la Carta dei principi per un uso consapevole dei sistemi di intelligenza artificiale in ambito forense (progetto “Horos”), richiamata per la prima volta in una sentenza proprio dal TAR Lombardia nella pronuncia n. 3348/2025.

A completare il quadro, la Guida del Consiglio degli Ordini Forensi Europei (CCBE, 2 ottobre 2025) ribadisce i doveri di riservatezza, competenza e lealtà, con particolare attenzione al rischio che l’inserimento di dati dei clienti in piattaforme di IA pubbliche violi il segreto professionale.

Shadow AI in azienda: tre livelli di rischio per CISO e compliance

Per chi si occupa di information security e governance aziendale, la vicenda siracusana è un caso da manuale di shadow AI, ossia l’uso di sistemi di intelligenza artificiale al di fuori di qualsiasi policy, autorizzazione o supervisione organizzativa. Il fenomeno presenta tre livelli di rischio concorrenti che la vicenda siracusana illustra perfettamente.

Il primo è il rischio di output inaffidabile. Gli LLM non consultano una base di conoscenza verificata: producono testo probabilisticamente plausibile. Ciò vale per le citazioni giurisprudenziali come per le citazioni bibliografiche, i riferimenti normativi, i dati numerici, gli standard tecnici, gli articoli di contratto. In un contesto professionale in cui la sottoscrizione vale come assunzione di paternità, utilizzare un output non verificato significa trasferire il rischio di hallucination dal modello al professionista.

Il secondo è il rischio di data leakage. L’inserimento di dati personali, segreti commerciali, atti processuali, pareri legali, documentazione classificata o credenziali nei prompt di sistemi consumer comporta, in assenza di garanzie contrattuali adeguate, un potenziale trasferimento illecito ex GDPR, un’erosione del segreto professionale e una perdita di controllo sul ciclo di vita dell’informazione (retention, training, accesso di terzi). Non è un rischio teorico: il Garante italiano ha già avviato procedimenti in materia, e le sanzioni del GDPR possono raggiungere il 4% del fatturato mondiale annuo.

Il terzo è il rischio di compliance e audit trail. Se un’organizzazione non sa quali strumenti di IA sono usati dai propri professionisti, con quali dati e per quali decisioni, non è in condizione di documentare la formazione del personale, le misure di sicurezza adottate, i processi decisionali. In caso di ispezione, di contenzioso, di due diligence M&A, l’assenza di governance sull’IA è un segnale che può compromettere l’operazione e, negli scenari peggiori, aggravare la posizione dell’ente rispetto ai rischi sopra citati.

Governance dell’IA generativa: tre lezioni per studi legali e imprese

Il caso siracusano, letto da una prospettiva di cybersecurity e risk management, suggerisce tre considerazioni di metodo che valgono ben oltre l’avvocatura.

In primo luogo, il perimetro dell’obbligo di verifica si sta definendo in concreto attraverso la giurisprudenza, non solo attraverso la normativa. Il principio di prevalenza del lavoro intellettuale dell’art. 13 della L. 132/2025 è un’enunciazione programmatica; è nelle pronunce di merito che sta emergendo il contenuto operativo di quell’obbligo. Lo standard minimo, oggi, è: conoscere i limiti degli LLM, verificare ogni citazione sulle fonti primarie, tracciare l’uso dell’IA in forma documentabile. L’ignoranza di questo standard non è un’attenuante ma, secondo il Tribunale di Siracusa, un indicatore di colpa grave.

In secondo luogo, la distinzione fra uso individuale e uso organizzativo dell’IA si sta dissolvendo sul piano della responsabilità. Un singolo professionista che usi ChatGPT nel suo studio espone sé stesso, il proprio cliente e, potenzialmente, anche l’organizzazione in cui opera. Per uno studio legale, un ente pubblico, un’impresa regolata, la shadow AI non è più un problema IT da delegare al tecnico di fiducia: è un tema di board, che coinvolge legal, compliance, privacy, security, procurement, HR, internal audit.

In terzo luogo, le misure di mitigazione sono note e non particolarmente esotiche. Censimento degli strumenti effettivamente in uso, classificazione degli usi consentiti e vietati, regole esplicite sui dati che non possono entrare nei prompt, valutazione dei fornitori di IA come critical third parties, logging delle interazioni con sistemi di IA, formazione differenziata per ruoli, gestione degli incidenti AI-related come potenziali data breach, responsabilizzazione del management. Il tutto integrato nei processi già esistenti di sicurezza, protezione dati e conformità NIS2.

La vera lezione della sentenza di Siracusa non riguarda il singolo caso e nemmeno solo l’avvocatura. Riguarda il fatto che, in un ordinamento che sta imparando a qualificare giuridicamente il rischio di hallucination, il costo dell’assenza di governance sull’IA generativa sta rapidamente superando il costo di implementarla. È un passaggio che i CISO e i compliance officer stanno già osservando in altri settori regolati: la regola ricorrente è che, quando un rischio tecnologico diventa fatto notorio, chi non lo ha presidiato paga di più di chi ci aveva investito per tempo.

https://www.ictsecuritymagazine.com/notizie/sentenza-siracusa-338-2026-ai/

“AI Italia. L’AI tra innovazione e sovranità digitale”, l’iniziativa della Sen. Ronzulli con Engineering al Senato

In un mondo sempre più interconnesso, l’intelligenza artificiale (AI) non è solo uno strumento di innovazione, ma il pilastro per una crescita autonoma e competitiva del nostro Paese. Per coglierne appieno il potenziale, però, l’Italia deve puntare con decisione sulla sovranità digitale: sviluppare infrastrutture, talenti e soluzioni proprietarie significa rompere la dipendenza da giganti esteri, garantendo sicurezza, controllo e un vantaggio strategico a livello competitivo.
A questo è stato dedicato l’evento “AI Italia. L’AI tra innovazione e sovranità digitale” che si è tenuto presso la Sala Zuccari di Palazzo Giustiniani a Roma, oggi sede di rappresentanza della presidenza del Senato della Repubblica. Un incontro organizzato su iniziativa della Senatrice Licia Ronzulli, in collaborazione con Engineering, per dare vita ad un momento di confronto istituzionale e industriale, allargato al mondo accademico, dedicato al ruolo strategico dell’intelligenza artificiale (AI) nello sviluppo del Paese, con un focus sui temi dell’innovazione tecnologica, della competitività del sistema economico e della sovranità digitale, ma soprattutto sulla necessità di sviluppare un modello di intelligenza artificiale tutto italiano.

Tantissimi gli interventi di rappresentanti politici di tutti gli schieramenti, del mondo imprenditoriale e universitario, moderati da Michelangelo Suigo, Chief Public Affairs, Corporate Communication & Sustainability Officer di Engineering Group, che hanno affrontato il tema delle condizioni necessarie per costruire una reale sovranità tecnologica, ma anche argomenti chiave come lo sviluppo di infrastrutture nazionali di calcolo e data center, la riduzione della dipendenza da provider extra-europei e il ruolo dell’AI Act e quindi della regolamentazione. L’incontro è stata anche l’occasione per presentare IS-IA – Italy’s Sovereign Intelligence Architecture, un approccio architetturale basato sul concetto di Intelligenza Artificiale italiana, governabile e sicura, basato su EngGPT 2, piattaforma italiana di Private Generative AI sviluppata da Engineering.

Sen. Ronzulli: “Dobbiamo favorire investimenti nazionali, lavorare ad una regolamentazione europea più smart e accelerare sulla formazione”

Ad aprire l’incontro è stata proprio la Vicepresidente del Senato della Repubblica, Licia Ronzulli, che ha affermato: “Una tecnologia che non possiamo subire ma che dobbiamo governare. Questa tecnologia non è neutrale, può salvare vite o minacciare la libertà, creare lavoro o generare esclusione, sta a noi decidere come usarla al meglio. Per questo oggi è fondamentale parlare di AI tra innovazione e sovranità digitale. Dobbiamo sfruttare questa tecnologia senza perdere il controllo e la sovranità. Non dobbiamo diventare dipendenti da chi fornisce questa tecnologia. Può ridurre disuguaglianze tra Nord e Sud del Paese, può migliorare i servizi sanitari, ma il controllo dei dati è fondamentale”.

“L’AI può ridurre gli sprechi delle fabbriche intelligenti, ma gli algoritmi che controllano i processi sono sviluppati altrove. Si stima che sia in grado di generare 15 trilioni di dollari di PIL fino al 2030, ma oggi il 90% die modelli di AI sono dominati da Stati Uniti e Cina, motivo per cui Europa e Italia rischiano di diventare una colonia digitale. La sovranità non è un lusso, ma una necessità strategica. Dobbiamo agire su 3 pilastri – ha precisato Ronzulli – il primo sono gli investimenti nazionali, potenziando il supercomputer Leonardo, il Gaia di Bologna e il supercalcolatore di Napoli. L’Italia ha bisogno di implementare il Polo strategico nazionale per creare un’IA al 100% made in Italy, addestrata sui nostri dati sanitari, aziendali e culturali, che pensi in italiano e sia ospitata in data center nazionali per evitare fughe di dati sensibili all’estero. Il secondo pilastro è l’Europa, che necessita di una regolamentazione smart. Da una parte abbiamo l’AI Act con oltre 300 pagine, un mattone burocratico che rischia di frenare ogni reazione rapida, dall’altra paesi come il Giappone, dove l’autoregolamentazione delle aziende fa volare l’innovazione. Regolamentare è giusto, ma la burocrazia europea non può essere la zavorra che affonda il futuro dell’Italia. Il terzo pilastro è la formazione e il lavoro. Molti temono che l’AI porti via il lavoro, in alcune professioni purtroppo sarà così, ma allo stesso tempo incrementerà tantissimo la produttività, generando si stima 97 milioni di nuovi lavori globali entro il 2027. Fondamentale – ha sottolineato Ronzulli – è che l’essere umano sia sempre al centro, con le sue competenze e la sua intelligenza. Dobbiamo trattenere i cervelli italiani, altrimenti non ci sarà né innovazione, né crescita. E oggi la vera competizione globale non è solo sulle tecnologie, ma sulle persone. Per questo serve un cambio di passo: investire seriamente in formazione, creare condizioni di lavoro competitive, sostenere ricerca e università e costruire un ecosistema in cui i giovani possano scegliere di restare e crescere in Italia”.

Barachini: “Più saremo sovrani dei nostri dati, più saremo liberi”

“Siamo allo stesso tempo potentissimi e fragilissimi. Sono stati bombardati dei data center nel Bahrein e negli Emirati Arabi, ci sono stati problemi per alcune Big Tech. Con la vicepresidente del Senato Licia Ronzulli eravamo a Valencia nel momento del blackout e tanti servizi non erano più disponibili. C’è stato un giudice della Corte penale internazionale la cui presenza digitale è stata spenta dagli Stati Uniti. Stiamo pattinando su un ghiaccio sottile, che è la nostra democrazia”, ha dichiarato Alberto Barachini, Sottosegretario alla Presidenza del Consiglio dei Ministri all’Informazione e all’Editoria. “Più saremo liberi e indipendenti dal possesso dei dati, più saremo liberi da punto di vista democratico. Ci sono state diverse iniziative, come la legge sull’intelligenza artificiale, ed è stato positivo l’intervento della presidente della Commissione europea, Ursula von der Leyen, sulle gigafactory – ha aggiunto Barachini – ma abbiamo bisogno che gli studiosi vengano supportati perché le loro invenzioni abbiano sviluppo sul mercato. L’indipendenza digitale è un tema esponenziale, più saremo sovrani dei nostri dati, più saremo liberi democraticamente. I tentativi tedeschi e francesi sono positivi, in questo senso, ma dobbiamo evitare l’iper-regolamentazione e allo stesso tempo ridurre la tecno-dipendenza”.

L’ammiraglio Andrea Billet, capo del Servizio Certificazione e Vigilanza dell’Agenzia per la cybersicurezza nazionale (Acn), ha approfondito il legame sempre più stretto tra intelligenza artificiale e cybersecurity. L’attenzione è stata posta sulla necessità di integrare tecnologie avanzate con una solida cultura digitale, in grado di sostenere cittadini e organizzazioni: “La sovranità digitale passa innanzitutto dalla riduzione della dipendenza da forniture estere. Parliamo di data center, chip, terre rare per quanto riguarda le infrastrutture; ma anche di servizi, come il cloud, che raggiungono gli utenti attraverso le reti di comunicazione. A questo si aggiungono le applicazioni di intelligenza artificiale, dove la scala è un fattore determinante: non avere la capacità di sviluppare modelli propri comporta inevitabilmente dei costi e delle vulnerabilità. Non si può parlare di sovranità tecnologica senza conoscere e presidiare l’intera pila tecnologica, cercando di costruire una reale autonomia. È un tema che riguarda anche l’energia. La scala, infatti, è fondamentale, e per affrontare questa sfida sono necessari partenariati molto ampi, coinvolgendo anche il settore privato. Un esempio concreto arriva dal nuovo modello Mythos – ha proseguito Billet – che ha individuato vulnerabilità sconosciute anche in sistemi ritenuti sicuri, generando una forte preoccupazione a livello globale, inclusi gli Stati Uniti, tanto che il prodotto non è stato immediatamente immesso sul mercato. Secondo Anthropic, entro 18 mesi altri operatori raggiungeranno le stesse capacità, con il rischio che questi strumenti possano finire nelle mani sbagliate. In questo contesto si inserisce il progetto Glasswing, avviato da Anthropic per individuare vulnerabilità nei software critici, con l’obiettivo di prevenire scenari peggiori. L’iniziativa punta a mettere insieme i principali operatori del settore, insieme anche a grandi istituzioni finanziarie americane, particolarmente esposte alle minacce cyber. Oggi si registra uno sbilanciamento a favore delle capacità offensive dell’intelligenza artificiale rispetto a quelle difensive. La domanda è quindi come muoversi in questo scenario. Per contrastare queste minacce servono soluzioni controllabili e governabili. Le dipendenze da fornitori esteri, in questo senso, possono rappresentare un ulteriore elemento di rischio. L’Agenzia sta lavorando per reclutare esperti di intelligenza artificiale entro l’estate, con l’obiettivo di metterli subito al lavoro nello sviluppo di soluzioni avanzate basate sull’AI. Parallelamente, stiamo sostenendo la candidatura italiana per ospitare una gigafactory avanzata”.

Bisio (Engineering): “Un’AI sovrana dichiara su quali dati è stata addestrata ed è ispezionabile, anche dai cittadini”

Nel suo intervento dal titolo “Sovereign AI Architecture“, il CEO di Engineering Group, Aldo Bisio, ha spiegato che “un sistema AI sovrano dichiara su quali dati è stato addestrato e i parametri che determinano i comportamenti, e può essere ispezionato, anche dai cittadini”.
Riguardo l’intelligenza artificiale sovrana, Bisio ha illustrato le tre condizioni fondamentali: “chiarezza e piena trasparenza sui dati, dati di addestramento e capacità di essere trasparente”.

“L’intelligenza sovrana è, in sostanza, un’intelligenza artificiale governata – ha aggiunto Bisio – mira a evitare la dispersione del patrimonio cognitivo di aziende o istituzioni. In termini semplici: l’intelligenza artificiale assorbe dati e apprende da questi. Se qualcun altro, dopo di voi, accede allo stesso modello, finisce per nutrirsi e arricchirsi del vostro know-how e del vostro patrimonio cognitivo. È quindi fondamentale che l’AI riesca a mantenere al proprio interno il nucleo informativo di un’azienda o di un’istituzione, senza condividerlo con concorrenti o soggetti non desiderati. Questo rappresenta un vantaggio competitivo rilevante. L’altro tema che stiamo affrontando è quello della trasparenza, ciò che tecnicamente viene definito “open weights”. I pesi sono i parametri numerici attraverso cui funziona questa gigantesca funzione dell’intelligenza artificiale. Il problema è che, tipicamente, i grandi modelli sono delle scatole nere: si conoscono gli input, si conoscono gli output, ma non è chiaro perché venga presa una determinata decisione o fornita una certa risposta. Avere “open weights” significa disporre di un controllo completo su tutti i dati, rispondendo così a questa seconda grande esigenza. C’è poi una questione di proporzionalità nell’uso dell’intelligenza rispetto alla dimensione e alla complessità dei problemi da affrontare. I modelli molto grandi consumano molta energia – ha precisato il CEO di Engineering – alcuni possono essere utilizzati per risolvere determinate problematiche, altri invece dovrebbero essere impiegati per compiti molto più specializzati, con un consumo energetico e un’intensità decisamente inferiori. Non significa che non sia opportuno utilizzare modelli di grandi dimensioni, ma che questi vadano impiegati solo quando necessario. Ad esempio, quando non vi è un patrimonio cognitivo o una proprietà intellettuale da difendere. Se invece il know-how di un’azienda o di un’istituzione, oppure i dati di clienti e cittadini sono a rischio, è meglio adottare un approccio più prudente”.

“Non voglio dire che non sia opportuno usare i grandi modelli, ma che bisogna usarli solo quando è il caso, quindi, ad esempio, quando non c’è un patrimonio cognitivo o un intellectual property da difendere, se è a rischio il know how di un’azienda, di un’istituzione, i dati di clienti o di cittadini è meglio fare attenzione. La nuova architettura lanciata dal progetto – ha spiegato Bisio – riempie il bisogno delle imprese di dare risposta a quelle sfide di cui vi stiamo parlando. Crediamo di aver sviluppato tramite questa progettazione un large model, e su questa base abbiamo poi costruito tutta una struttura che in qualche modo aiuta le aziende o le istituzioni a costruire gli agenti, a dare perfetta visibilità sulla compliance, per cui il modello e tutta l’architettura è nativamente compliant con il Gen Ai Act europeo, intendiamo in questo modo dare una risposta a tutte queste esigenze”.

“Sicuramente l’attenzione deve ricadere sul tema legato alla protezione della proprietà intellettuale – ha infine sottolineato Bisio – e sull’evoluzione, per esempio, della normativa sui data leaks, sia per quanto riguarda l’accesso ai modelli di Ai sia per la protezione; un secondo tema riguarda chi fa le regole. I modelli devono essere perfettamente ispezionabili in hand to hand quindi non devono essere solo chiari i parametri del modello stesso, ma devono essere chiari e aperti anche i dati di training su cui è stato allenato quel modello perché in funzione dei dati acquisisce determinati modi di pensare certi comportamenti”. “Non si tratta solo di governare la meccanica del modello ma anche il suo tipo di comportamento. Bisogna definire questo set di regole e confortare chi le utilizzerà e chi sarà oggetto delle decisioni di queste macchine”.

Pastorella: “Non bastano le regole, è necessario creare le condizioni affinché queste tecnologie vengano effettivamente utilizzate”

La Capogruppo di Azione alla Commissione Trasporti, Poste e TLC Camera dei Deputati, On. Giulia Pastorella, ha aperto la prima tavola rotonda dal titolo “AI sovrana, sicura e sostenibile“, sostenendo che “lo sviluppo di un LLM italiano rappresenta uno dei pilastri della strategia nazionale sull’intelligenza artificiale, e il modello che viene presentato si inserisce pienamente in questa direzione, contribuendo all’attuazione di un obiettivo chiave: favorire l’adozione e la diffusione della tecnologia, stimolando al tempo stesso sia l’offerta sia la domanda. Non bastano le regole: è necessario creare le condizioni affinché queste tecnologie vengano effettivamente utilizzate. L’iniziativa è infatti orientata sia alla pubblica amministrazione sia al tessuto produttivo, con un approccio che si allontana dalla logica dei grandi modelli generativi, spesso critici sotto il profilo della privacy e della sicurezza. In questo scenario, i data center restano un elemento fondamentale, ma assume un ruolo sempre più centrale l’edge cloud, dimensionato in modo coerente con le specificità dei territori e con le reali esigenze delle imprese. Per sostenere questo ecosistema servono infrastrutture adeguate: connettività e disponibilità energetica. La sovranità digitale, inoltre, non può limitarsi alla semplice localizzazione dei dati. È necessario puntare con decisione sulla trasparenza dei sistemi, elemento imprescindibile per costruire fiducia e garantire sicurezza”.

“Il tema dell’energia e dell’autonomia strategica in questo settore sono argomenti chiave che ci fanno ragionare anche sull’AI. dal punto di vista del mercato non possiamo raggiungere gli LLM americani e cinesi, perché investono molto di più e investono ancor prima miliardi sulle loro startup. Modelli come quello di Engineering possono funzionare perché possiamo declinare queste tecnologie sulle nostre filiere, come quella dell’aerospazio, dei servizi, dei software e delle app. capacità computazioni e di calcolo non ci mancano, abbiamo supercomputer sul territorio nazionale. La partita è aperta perché quasi all’inizio, possiamo giocarcela, ma a certe condizioni. C’è chi sta pensando anche agli small language models, una nuova forma, perché possiamo utilizzare quelle tecnologie e declinarle sulle nostre filiere. In Italia, per esempio, abbiamo una filiera dell’aerospazio che è più completa rispetto anche a quella degli altri grossi player europei. Ecco quindi che quelle tecnologie possiamo declinarle qui: possiamo diventare una powerhouse per quanto riguarda la costruzione di servizi, software e applicazioni. L’altro angolo sotto cui possiamo vedere il nostro possibile vantaggio competitivo è la capacità computazionale e di calcolo. Licia Ronzulli, in apertura, parlava di supercalcolatori e quantum computing: quello può essere il nostro ambito. Possiamo cominciare a svilupparci da lì, la partita è aperta, è quasi all’inizio e possiamo giocarcela”, ha dichiarato l’On. Giulio Centemero, Componente Lega della Commissione Finanze Camera dei Deputati. Ù

Basso: “La priorità è la formazione, il vero nodo resta la diffusione capillare delle competenze a livello sociale”

“Nel libro Il Secolo dell’AI invito i cittadini a sviluppare una maggiore consapevolezza nell’utilizzo di queste tecnologie, con l’obiettivo di migliorare la qualità della vita senza metterla a rischio. È fondamentale comprendere quando e come regolamentare, così come quando e in che modo utilizzare questi strumenti, per salvaguardare le libertà individuali e il know-how delle imprese. Riuscire a spiegare il funzionamento dell’intelligenza artificiale è alla base di un uso proporzionato e responsabile della tecnologia. L’AI ha un impatto su società ed economia persino superiore a quello avuto dall’elettricità e da altre grandi innovazioni del passato, perché rappresenta un abilitatore trasversale dei cambiamenti tecnologici futuri, dalla computazione quantistica alle neuroscienze, fino alla robotica umanoide. La priorità, dunque, è la formazione. Il nostro Paese dispone di eccellenze di primo piano in questo ambito, ma il vero nodo resta la diffusione capillare delle competenze a livello sociale, necessaria per promuovere un uso più responsabile e consapevole dell’intelligenza artificiale”, ha affermato il Sen. Lorenzo Basso, Componente PD della Commissione Ambiente Senato della Repubblica.

“Nelle aree più marginali, dove la presenza dello Stato e dei servizi è più debole — dagli ospedali ai trasporti fino alle scuole — si tende a dimenticare che tra le infrastrutture critiche rientrano anche le reti digitali, attraverso cui transitano i flussi informativi. Dobbiamo considerare l’intelligenza artificiale come una grande opportunità, ma è necessario governarla, non subirla. Questo significa, innanzitutto, avere il controllo dei dati, che rappresentano una leva competitiva e al tempo stesso democratica. Lo Stato, quindi, deve essere in grado di proteggere efficacemente il proprio patrimonio informativo”, ha ricordato il Sen. Guido Liris, Capogruppo FdI nella Commissione Bilancio Senato della Repubblica.

La seconda tavola rotonda dal titolo “AI everywhere: le applicazioni dell’AI nei verticali di mercato“, è stata aperta dalla Professoressa Ordinaria di Computer Science all’Università Milano-Bicocca, Stefania Bandini, che ha detto: “L’intelligenza artificiale è ormai pervasiva, ma è con l’avvento dell’AI generativa che si è verificato un vero cambio di paradigma. Oggi più che mai è fondamentale riconoscere il valore della sperimentazione, che rappresenta il primo passo verso un’adozione consapevole e strategica di queste tecnologie. In Italia esiste già una forma diffusa di sperimentazione “di base”, che coinvolge cittadini, imprese e pubbliche amministrazioni. Tuttavia, questa pratica deve essere maggiormente valorizzata e strutturata, trasformandosi in progettualità concreta e in innovazione sistemica. C’è infatti un livello di sperimentazione di cui spesso non si ha piena consapevolezza, un patrimonio diffuso ancora in gran parte inesplorato. È proprio da qui che bisogna partire: riconoscere, mettere a sistema e far crescere queste esperienze, collegandole a una visione più ampia che tenga insieme sviluppo tecnologico, sovranità digitale, sicurezza e sostenibilità. Solo così la sperimentazione potrà diventare un vero motore di innovazione e competitività per il Paese”.

Momola (Engineering): “EngGPT 2 assicura una riduzione dei consumi che può arrivare dal 60% all’80% in meno rispetto a un modello su larga scala”

Più tecnico è stato l’intervento di Fabio Momola, EVP ENG Digital di Engineering Group, considerato assieme a Bisio l’artefice di EngGPT 2: “Con IS-IA, l’architettura di intelligenza sovrana italiana, proponiamo un sistema aperto che consente di integrare modelli provenienti da diverse fonti, governando al contempo l’intero flusso di utilizzo delle API associate a tali modelli. Grazie a questo approccio, è possibile raggiungere la redditività in tempi rapidi: entro un massimo di 12-18 mesi. Per quanto riguarda la sostenibilità, si tratta di una questione fondamentale quando si parla di intelligenza artificiale. Se consideriamo che i grandi modelli americani consumano, nella sola fase di addestramento, quanto decine di famiglie europee in un anno, comprendiamo quanto sia cruciale affrontare questo problema. Soprattutto quando le fonti energetiche utilizzate provengono dal carbone o, più in generale, da combustibili fossili. In questo contesto, EngGPT2 cerca di offrire una soluzione, essendo basato su un’architettura “Mixture of Experts”, capace di garantire consumi molto più bassi nella fase di utilizzo, l’inference, rispetto alla media dei modelli esistenti quando il sistema è chiamato a svolgere un compito. Parliamo di una riduzione dei consumi che può arrivare dal 60% all’80% in meno rispetto a un modello su larga scala. Infine, soffermandosi sugli effetti dell’AI Act, la mia posizione è chiara: la legislazione non ha mai bloccato l’evoluzione; al contrario, rappresenta un ostacolo solo per chi non si mette nelle condizioni di sfruttarla per innovare meglio. Credo che, con la nostra architettura Is-Ia e con EngGPT 2, ci siamo messi nelle condizioni di considerare l’AI Act come un acceleratore dell’innovazione, e non come un freno per noi, per l’Italia e per l’Europa nel suo complesso”.

“L’università opera su più livelli — famiglie, studenti e stakeholder — e si trova oggi ad affrontare una duplice sfida: intervenire sia sui contenuti sia sui metodi, perché è in atto una trasformazione profonda del modo di insegnare e apprendere. Si dice spesso che l’intelligenza artificiale sostituisca il pensiero critico, ma il tema è più complesso. L’AI, in realtà, agisce come un amplificatore per chi ha già sviluppato capacità critiche. È quindi fondamentale distinguere tra performance e apprendimento: nel primo caso l’AI può essere estremamente efficace, mentre nel secondo può rappresentare un rischio, se utilizzata in modo passivo. Una delle sfide principali è stata introdurre l’intelligenza artificiale in tutti i percorsi di studio. La formazione è lenta? Forse, ma va ricordato che si muove all’interno di sistemi regolati e strutturati per discipline. Proprio per questo, la vera sfida è innanzitutto pedagogica. Dobbiamo costruire uno spazio in cui l’essere umano resti centrale. L’AI, in ambito universitario, deve diventare soprattutto uno strumento di riflessione, più che di semplice produzione. In questo senso, la sovranità non è solo tecnologica o digitale, ma anche cognitiva: un valore che non può essere disperso né delegato”, ha detto invece Enzo Peruffo, Pro Rettore e Professore Ordinario di Strategie d’Impresa della Luiss.

Donatella Proto, Direttore Generale Nuove Tecnologie Abilitanti Mimit, ha affermato che “il vero punto di forza risiede nella differenziazione: nella capacità di valorizzare dati di qualità e la lingua italiana per sostenere concretamente le filiere produttive del Paese, che esprimono esigenze profondamente diverse tra loro. È in questa direzione che devono svilupparsi strumenti di intelligenza artificiale sempre più verticali, capaci di tenere conto delle specificità dei singoli settori e di rispettare l’identità del patrimonio imprenditoriale e industriale italiano”.
“Servono modelli modulari, trasparenti e scalabili, in grado di generare fiducia e consapevolezza nelle imprese rispetto al loro utilizzo. Oggi, tuttavia – ha aggiunto Proto – le PMI non hanno ancora sviluppato appieno le competenze necessarie per affrontare l’adozione di sistemi di AI. Esiste un evidente problema di formazione, ma anche di accompagnamento: non bastano incentivi economici, è necessario supportare le imprese lungo tutto il percorso di integrazione di queste tecnologie. Parallelamente, bisogna lavorare alla costruzione di un vero ecosistema industriale abilitante, capace di accogliere e sviluppare l’innovazione. Un processo che richiede uno sforzo trasversale, che coinvolga università, istituzioni e sistema produttivo, chiamati a comprendere come l’intelligenza artificiale sia ormai uno strumento imprescindibile per la produttività e la resilienza del tessuto economico nazionale. È necessario superare le dipendenze di mercato e compiere un salto culturale, mettendo le imprese nelle condizioni di governare l’innovazione, anziché subirla. In questo senso, la sovranità non è solo una questione tecnologica, ma anche la capacità di affrontare e guidare il cambiamento che il nostro tempo impone”.

Nobile: “Un’AI sovrana per far emergere i talenti nazionali”

Mario Nobile, direttore Generale dell’Agenzia per l’Italia Digitale (Agid), ha affrontato il tema delle politiche pubbliche necessarie a sostenere lo sviluppo dell’AI in Italia. Il focus è sull’equilibrio tra regolamentazione e innovazione, con particolare attenzione al rischio di over-regulation e alla frammentazione normativa europea. L’intervento approfondisce la necessità di passare da un approccio prevalentemente prescrittivo a modelli più agili, capaci di accompagnare la crescita tecnologica senza comprometterne la competitività, mantenendo al tempo stesso elevati standard di sicurezza e tutela dei dati. 
“Il modello di LLM sovrano proposto da Eng rappresenta un passaggio importante, anche per la sua capacità di far emergere e valorizzare i talenti, un aspetto che ritroviamo chiaramente anche nelle linee guida attualmente in consultazione. Abbiamo parlato di sovranità cognitiva – ha precisato Nobile – un concetto che si fonda su consapevolezza e competenze. Ma questa riflessione va inserita all’interno dell’intera pila tecnologica, che oggi comprende data center, infrastrutture, applicazioni e servizi. La domanda, quindi, è strategica: qual è la nostra visione in termini di energia, semiconduttori, infrastrutture e servizi? A livello europeo, la politica ha compreso la necessità di intervenire, come dimostra l’AI Act, mentre l’Italia ha promosso una propria iniziativa normativa. Il punto ora è capire come integrare in modo efficace le autorità pubbliche con il mondo delle imprese e quello accademico, costruendo un percorso condiviso. Come AgID faremo la nostra parte per intercettare e coinvolgere l’intero ecosistema. In questo contesto, Eng rappresenta già oggi un passo avanti concreto verso la sovranità cognitiva. L’obiettivo è crescere insieme, individuando le traiettorie più efficaci e contribuendo a orientare le politiche pubbliche verso una strada certamente più lunga e complessa, ma necessaria per ricomporre tutti gli elementi della sovranità tecnologica”.

Butti: “Uno Stato è tecnologicamente sovrano se fa un uso attento della risorsa più importante che è il dato”

Le conclusioni sono state affidate al Sen. Alessio Butti, Sottosegretario alla Presidenza del Consiglio dei Ministri all’Innovazione Tecnologica e Transizione Digitale. “Sul tema della regolamentazione dell’intelligenza artificiale ritengo che non solo gli hyperscalers e le Big Tech si siano adeguati sostanzialmente al Gdpr, ma si siano adeguati anche all’AI Act. Tutti, a eccezione di Meta, hanno fatto la fila per siglare i codici di condotta a Bruxelles”, ha dichiarato Butti.

“È il risultato di un grande lavoro svolto anche dal Governo italiano, ma soprattutto dalla Commissione Europea. A proposito di scenario europeo, l’ingegner Nobile ha ricordato il lavoro dell’Edic, il Consorzio per un’infrastruttura digitale europea. Non solo noi abbiamo indicato l’Edic, ma ne abbiamo scritto anche il programma, raccogliendo l’adesione immediata di alcuni degli Stati e delle imprese più importanti. Esprimiamo la vicepresidenza esecutiva di questo importante contesto tecnico europeo e non ci limitiamo esclusivamente a questo, poiché stiamo lavorando su una serie di altre per noi importanti questioni. L’AI di Eng è un servizio on demand e certamente anche tecnicamente è accessibile e semplice che guarda al futuro. Uno Stato è tecnologicamente sovrano se fa un uso attento della risorsa più importante che è il dato, ma anche se garantisce la sicurezza delle proprie infrastrutture per consentire uno scambio di dati in sicurezza. Un ecosistema intelligente vive di dati calcolo e energia e anche di infrastrutture e filiere produttive, anche in condizioni di scarsa adozione da parte delle piccole imprese. Oggi il dato sta migliorando”, ha proseguito Butti.

“A proposito di dipendenza quando un Paese usa modelli, strutture e capacità di calcolo progettate altrove, si intravede inevitabilmente un rischio di dipendenza e di lock-in. Questa non è solo una tragedia per il mondo economico del Paese, ma lo è anche per chi, come questo Governo, rivendica fortemente un concetto di sovranità digitale e tecnologica, ed è un rischio per tutta la filiera di imprese che dipendono da questo concetto di sovranità. Noi abbiamo settori assolutamente strategici, come la sanità, i trasporti e la manifattura, che fanno un uso importante dell’IA, e abbiamo voluto consentire loro di avere qualche garanzia in più rispetto a quelle già offerte dall’AI act e dal mercato. Non è stato un atto di presunzione o supponenza: abbiamo voluto dotare il Paese di una legge nazionale sull’IA coerente con i principi tecnici dell’AI Act, ma che dedicasse grande attenzione a quella filiera manifatturiera che non ha eguali a livello europeo. Se continuiamo a ripetere che non ha eguali, dobbiamo valorizzarla, proteggerla e cullarla; è ciò che stiamo facendo con questa legge, che ha una governance solida. La tecnologia è una questione trasversale alle forze politiche – ha sottolineato Butti – ma abbiamo voluto raccogliere tutti i contributi dal mondo parlamentare, industriale, universitario e imprenditoriale. Abbiamo messo un miliardo di euro di risorse pubbliche che agisce come volano per gli investimenti privati che sono in aumento. Un altro sviluppo che stiamo impostando prevede una grande attenzione per la valorizzazione del territorio, senza la quale le cose raccontate finora non avrebbero senso. Per questo, abbiamo recentemente promosso Reg4AI e finanziato, come dipartimento per la Trasformazione digitale, 4 grandi progetti che riguardano le filiere della sanità, del turismo, dei trasporti e della pubblica amministrazione. Abbiamo coinvolto le Regioni e le società in house. La settimana scorsa, a un tavolo tecnico di confronto con Assinter, abbiamo colto la positività e la concretezza del nostro lavoro, fondato sulla collaborazione continua e costante con il territorio. L’obiettivo di Reg4AI è creare le migliori pratiche che, in seguito, dovranno essere estese e scalate a livello nazionale”.

“Nella PA abbiamo 400 progetti di AI previsti per il 2026 previsti dalle Linee guida dell’Agenzia digitale per promuovere l’adozione dell’AI nella Pubblica amministrazione, vuol dire che sta maturando grazie ad una guida politica che ha una visione chiara orientata a modelli di AI ispezionabili e aperti. Questo vale per la Pa e le imprese e la dimostrazione di questa impostazione è proprio il modello di AI lanciato da Engineering. Non c’è solo Leonardo ma c’è molto altro che sta emergendo dalla strategia del Quantum che abbiamo rilasciato assieme all’Europa. Dall’incontro con la Virkkunen, in occasione delle celebrazioni di Alessandro Volta, nasce un centro di sviluppo per AI e quantum che accoglierà anche le imprese, anche europee, dando vita alla Quantum Alliance. La Camera sta discutendo sul disegno di legge delega sull’Energia, che prevede la realizzazione degli SMR, che consentano la sostenibilità dei data center e delle infrastrutture tecnologiche avanzate. Entro l’estate avremo il disegno di legge delega sull’energia come ha dichiarato il ministro Pichetto Fratin. L’AI arriverà a svilupparsi anche nello Spazio. C’è chi già ci sta lavorando. La legge che governa lo Spazio è del 1967, un tempo in cui i privati non agivano nello Spazio. Un Paese in raccordo agli altri Stati dovrebbe raggiungere un minimo comun denominatore per capire a chi spetti la gestione di un certo livello dello Spazio, serve l’intervento pubblico in questo settore così strategico”, ha concluso Butti.

Per approfondire in modo tecnico: la scheda dell’AI di Engineering

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/lai-italiana-aperta-e-trasparente-di-engineering-apprezzata-da-ronzulli-butti-barachini-e-nobile/570597/

Una ricerca sistematica di UC Santa Barbara, UC San Diego, Fuzzland e World Liberty Financial ha analizzato 428 router commerciali e gratuiti, individuando intermediari che riscrivono attivamente le tool-call degli agenti di coding ed esfiltrano credenziali. L’incidente LiteLLM del marzo 2026 conferma, su scala industriale, che la minaccia non è più teorica.

Sicurezza AI a rischio: perché i router LLM stanno diventando il nuovo punto debole negli attacchi informatici

Ogni volta che un agente LLM, un Claude Code, un Codex o un Cursor, invia una richiesta a un provider di modelli, il traffico attraversa quasi sempre uno o più intermediari applicativi. Si chiamano router, o API gateway, e aggregano decine di provider dietro un’unica interfaccia compatibile con OpenAI. Gestiscono fallback, bilanciamento di carico e ottimizzazione dei costi; un singolo cambio di base URL e una nuova chiave API bastano per instradare un’intera flotta di agenti attraverso un servizio terzo.

La scelta è così banale che, in molte organizzazioni, viene presa al livello di una configurazione di sviluppo. Il fatto che, una volta puntato quel percorso, il client non abbia alcun modo di verificare crittograficamente cosa abbia davvero prodotto il modello a monte è un dettaglio che, fino a poco tempo fa, quasi nessuno ha considerato.

Un gruppo di ricercatori guidato da Hanzhi Liu (UC Santa Barbara), con Chaofan Shou (Fuzzland), Hongbo Wen (UCSB), Yanju Chen (UC San Diego), Ryan Jingyang Fang (World Liberty Financial) e Yu Feng (UCSB), ha deciso di misurarlo. Il paper «Your Agent Is Mine» (arXiv:2604.08407v1, cs.CR, 9 aprile 2026) è il primo studio sistematico sull’ecosistema dei router LLM visti come confine di fiducia della supply chain dell’IA. Il risultato è meno rassicurante del previsto.

Un man-in-the-middle “legittimo” nella sicurezza AI

Il modello di minaccia formalizzato dagli autori parte da un’osservazione architetturale semplice: il router, per sua natura, termina la sessione TLS lato client e ne apre una nuova verso il provider. Occupa quindi una posizione di man-in-the-middle applicativo non accidentale, ma intenzionalmente configurata dall’utente. Nessun TLS downgrade, nessuna forgery di certificati: basta che il client abbia puntato l’endpoint a quel servizio. Da lì il router vede in chiaro tool definition, prompt di sistema, chiavi API, output dei tool e, soprattutto, le tool-call che l’agente sta per eseguire. Può leggerle, trattenerle, riscriverle o fabbricarle ex novo.

La chain-integrity, notano gli autori, è una proprietà del tipo weakest link: in una catena di k hop (utente -> rivenditore -> aggregatore -> OpenRouter -> provider, tanto per restare su uno scenario realistico), un singolo router malevolo in qualunque posizione è sufficiente a compromettere l’intera traiettoria. Gli hop onesti a valle non possono né rilevare né annullare la modifica, perché non hanno alcun riferimento alla risposta originale prodotta dal provider.

Attacchi hacker AI: le 4 tecniche che sfruttano i router LLM

Su questa base, il team costruisce una tassonomia di quattro classi. Le due primitive di base sono AC-1, ovvero response-side payload injection, in cui il router riscrive gli argomenti JSON di una tool-call dopo che il modello ha risposto ma prima che il client la esegua, e AC-2, ovvero passive secret exfiltration, in cui il router si limita a leggere il traffico e a conservare asincronamente chiavi API, PAT GitHub, token AWS, chiavi private Ethereum, chiavi PEM.

A queste si aggiungono due varianti di evasione adattiva. AC-1.a (dependency-targeted injection) sostituisce nel comando di installazione un nome di pacchetto legittimo con un typosquat preregistrato su PyPI o npm, lasciando invariato il resto della riga di comando e ingannando così le approval UI basate sui domini. L’esempio che figura nel paper è istruttivo: pip install requests
viene riscritto in pip install reqeusts
, una singola lettera invertita, un pacchetto preregistrato dall’attaccante, una dipendenza che viene memorizzata nella cache locale e reimportata in ogni sessione futura.

Un foothold di supply chain durevole ottenuto in uno scambio JSON. AC-1.b (conditional delivery) attiva la riscrittura solo quando un predicato di sessione è verificato: dopo N richieste benigne, per client in modalità autonoma (cosiddetta YOLO, in cui l’agente esegue i tool senza chiedere conferma comando per comando), in determinate finestre orarie o per progetti scritti in linguaggi target. Il predicato vive server-side, è opaco al client, e rende strutturalmente inadeguato qualunque audit black-box di lunghezza finita.

Il punto architetturale, sottolineano gli autori, è che questi attacchi sono ortogonali alla prompt injection: non modificano il ragionamento del modello, agiscono sul layer JSON a valle dell’inferenza. Si compongono con le difese lato modello anziché sostituirle.

Vulnerabilità reali: cosa succede dentro i router LLM

Il dataset combina due popolazioni. La prima è costituita da 28 router a pagamento acquistati da Taobao, Xianyu e vetrine Shopify, mercati dove, come documentato da inchieste precedenti di ChinaTalk, alcuni negozi accumulano oltre 30 000 ordini ripetuti solo per la rivendita di accesso API. La seconda è composta da 400 router gratuiti raccolti da community pubbliche, link in chiaro e dump di configurazione. La maggior parte è costruita sui due template open source più diffusi, sub2api (circa 11 000 stelle su GitHub) e new-api (25 400 stelle, 1,25 milioni di pull da Docker Hub), il cui fork a monte one-api ne conta altre 30 500 con 1,19 milioni di pull.

Testati con una pipeline automatizzata che genera tool-call realistiche a partire da TerminalBench 2.0 e le esegue in sandbox monitorate, i numeri sono i seguenti: 1 router a pagamento e 8 gratuiti iniettano attivamente codice malevolo nelle risposte, riscrivendo comandi o dipendenze prima della consegna al client; 17 router gratuiti generano attività AWS successiva attribuibile a credenziali canary di ricerca osservate in transito; 1 router drena ETH da una chiave privata Ethereum predisposta come esca.

Due router implementano già in produzione logiche di evasione adattiva: uno attiva la riscrittura solo dopo cinquanta chiamate pulite, un altro la riserva a sessioni in modalità YOLO e a progetti scritti in Rust o Go. Logica operativa, non esotica, sufficiente a lasciar passare puliti gli smoke test superficiali e a eseguire il rewrite solo su sessioni di alto valore.

Caso LiteLLM: il primo grande attacco alla supply chain AI

La parte più inquietante è che uno scenario analogo è già avvenuto alla scala di un progetto di riferimento. Tra le 10:39 UTC e le 16:00 UTC del 24 marzo 2026, due versioni compromesse del pacchetto Python litellm, la 1.82.7 e la 1.82.8, sono rimaste pubblicate su PyPI, caricate direttamente dal gruppo noto come TeamPCP dopo aver ottenuto le credenziali PyPI del maintainer attraverso una precedente compromissione di Trivy, lo scanner di vulnerabilità open source usato nella CI/CD di LiteLLM stessa.

La campagna complessiva è tracciata dal CVE-2026-33634 (CVSS v4.0 Base 9,4, CVSS v3.1 Base 8,8, CWE-506 Embedded Malicious Code), formalmente assegnato alla vulnerabilità di Trivy che ha fatto da testa di ponte, e successivamente inserita dalla CISA nel catalogo Known Exploited Vulnerabilities.

I pacchetti LiteLLM contenevano un credential stealer embedded nel file proxy_server.py ed esfiltravano verso un dominio di typosquatting (models.litellm[.]cloud); la versione 1.82.8 aggiungeva inoltre un file litellm_init.pth che veniva eseguito a ogni invocazione dell’interprete Python sull’host, indipendentemente dall’import esplicito di LiteLLM. Endor Labs ha descritto il payload come un credential harvester su chiavi SSH, credenziali cloud, secret Kubernetes, wallet di criptovaluta e file .env, accompagnato da un toolkit di lateral movement Kubernetes e da una backdoor systemd persistente (sysmon.service).

I clienti di LiteLLM Cloud e quelli che usavano l’immagine Docker ufficiale LiteLLM Proxy non sono stati impattati, perché quelle pipeline pinnano le dipendenze in requirements.txt
; a essere colpiti sono stati chi ha eseguito pip install litellm
senza pin di versione nella finestra di esposizione e chi aveva LiteLLM come dipendenza transitiva non pinnata, ad esempio tramite framework di agenti, server MCP o orchestrator LLM.

LiteLLM non è un caso limite: secondo i dati riportati da Snyk e Zscaler ThreatLabz, il pacchetto viene scaricato circa 3,4 milioni di volte al giorno ed è integrato nelle pipeline di produzione di migliaia di organizzazioni. Wiz, nella propria analisi dell’incidente, riporta che litellm è presente nel 36 per cento di tutti gli ambienti cloud osservati. L’episodio ha dimostrato, in un contesto produttivo reale, esattamente la primitiva su cui il paper UCSB costruisce il suo threat model: una volta compromesso il pipeline delle richieste di un router ampiamente deployato, ogni tool-call, chiave API e prompt di sistema in transito è esposto alla riscrittura o all’estrazione, senza necessità di rompere il TLS o i pesi del modello.

Perché anche i router “sicuri” possono essere compromessi

Il cuore politico del paper è però la terza sezione empirica: i due studi di poisoning. L’idea è che i router apparentemente benigni possano essere trascinati nello stesso perimetro di attacco non perché cambi il gestore, ma perché la catena a monte viene inquinata.

Nel primo esperimento i ricercatori hanno pubblicato intenzionalmente una chiave OpenAI di ricerca su forum cinesi, gruppi WeChat e Telegram frequentati da operatori di relay. Una sola chiave ha processato cento milioni di token GPT-5.4 e più di sette sessioni Codex distinte. In almeno una di quelle sessioni, precisano gli autori, sono state osservate più credenziali distinte transitare dietro la stessa chiave condivisa; un pattern compatibile sia con il riuso diretto da parte dell’operatore del router sia con il riuso all’interno di una catena di relay più lunga.

Nel secondo esperimento il team ha deployato decoy volutamente deboli: istanze claude-relay-service vulnerabili su venti domini, e istanze Sub2API e CLIProxyAPI con password deboli su venti indirizzi IP. I decoy hanno ricevuto oltre 40 000 tentativi di accesso non autorizzati da 147 IP distinti con sei fingerprint JA3 unici, hanno servito circa due miliardi di token GPT-5.4 e 5.3-codex, hanno esposto all’incirca tredici gigabyte di traffico downstream in chiaro e hanno raccolto 99 credenziali distinte su 440 sessioni Codex e 398 progetti o host.

Qui arriva il dato che dovrebbe interessare chiunque si occupi di governance dell’IA generativa in azienda. Di quelle 440 sessioni, tutte esponevano almeno un percorso di esecuzione shell riscrivibile, e 401 giravano già in modalità YOLO, cioè con l’auto-approvazione dei tool attivata lato client. Per 401 sessioni su 440, l’AC-1.b sofisticato con predicati di sessione non sarebbe nemmeno servito: sarebbe bastata la versione più grezza dell’iniezione di payload. L’autonomia del client, in altre parole, è già da sola la superficie di attacco.

Come difendersi dagli attacchi AI oggi

Gli autori implementano anche Mine, un proxy di ricerca che porta in produzione tutte e quattro le classi di attacco contro quattro framework pubblici (OpenClaw, OpenCode, Codex di OpenAI, Claude Code di Anthropic) e, soprattutto, tre difese immediatamente deployabili senza cooperazione del provider. Mine non viene distribuito pubblicamente: nell’appendice etica gli autori motivano la scelta come una valutazione classica di ricerca dual-use.

La prima difesa è un policy gate fail-closed sui tool ad alto rischio: blocca ogni campione AC-1 e AC-1.a del benchmark sintetico con un tasso di falsi positivi dell’1 per cento e un costo di decisione mediano di 2,3 microsecondi. Difesa robusta sul perimetro comportamentale ingenuo, ma non a prova di avversario consapevole: sullo stesso benchmark, se l’attaccante ospita il payload su un dominio già in allowlist o pre-posiziona uno stager locale da richiamare in seguito, il gate viene bypassato nel cento per cento dei casi. Lo si consideri quindi un filtro grossolano per i workflow più ovvi, non una linea di difesa completa.

La seconda è una anomaly detection sulle risposte, basata su Isolation Forest e cinque feature (punteggio di rischio shell, frequenza del tool nella sessione, entropia degli argomenti, pattern sospetti di secret, deviazione dallo schema). A un budget di falsi positivi del 6,7 per cento intercetta l’89 per cento dei payload AC-1, il 50 per cento degli AC-1.a e circa il 51 per cento degli AC-1.b. Utile come strumento di prioritizzazione della review, non come gate di blocco. L’ablation presentata nell’appendice mostra che il grosso del segnale deriva dal punteggio di rischio shell: rimuoverlo fa precipitare la detection di AC-1 al 17,6 per cento, a conferma che il detector è essenzialmente un filtro sintattico specializzato su una classe di comandi.

La terza è un log di trasparenza append-only che registra body di richiesta e risposta, URL del router, metadati TLS e hash dei byte grezzi della risposta dopo redazione dei secret. Non previene nulla, ma costa circa 12 MB ogni mille sessioni (1,26 KB per entry) e consente, a posteriori, di delimitare l’esposizione quando una chiave o un operatore vengono considerati sospetti. È il tipo di controllo che, nell’ottica di un SOC, chiude il ciclo di incident response senza cambiare il modello di fiducia.

Il limite attuale della sicurezza AI: manca la verifica delle risposte

Nessuno di questi tre controlli autentica l’origine. Un router che si mantenga all’interno degli allowlist locali e sappia evitare pattern troppo evidenti può comunque alterare la semantica dei tool-call senza che il client abbia modo di accorgersene. La conclusione degli autori è esplicita: chiudere la falla richiede una busta firmata dal provider, un oggetto JSON canonicalizzato (nell’appendice C del paper ne è proposta una struttura ispirata a DKIM, RFC 6376, e alla canonicalizzazione JCS di RFC 8785) che contenga identità del provider, modello, contenuto, tool-call con argomenti nativi, nonce del client, finestra di validità e firma Ed25519. Nessun provider di tool-use e nemmeno la specifica MCP attuale espongono oggi un meccanismo simile.

Sicurezza informatica aziende: cosa fare subito

Fino a quando quel meccanismo non esisterà, la conseguenza operativa per CISO, CTO e team DevSecOps è immediata. Il trust boundary reale di un agente LLM non coincide con il router che l’utente ha scelto di configurare: coincide con il più debole router presente nell’intera catena a valle, con ogni credenziale precedentemente trapelata che qualcuno lungo quella catena stia ancora riutilizzando e con il livello di autonomia che il client ha lasciato attivo. Una sessione YOLO su un endpoint gratuito pescato in un gruppo Telegram non è un power user che sa quel che fa: è una superficie di attacco su cui, alla luce dei dati appena pubblicati, è già stato scritto abbastanza per non considerarla più teorica.

Sul piano delle policy aziendali, il paper suggerisce alcune scelte che difficilmente potranno essere rimandate a lungo. L’inventario degli endpoint LLM effettivamente usati da sviluppatori e agenti interni va fatto con lo stesso rigore con cui si inventariano i provider cloud, e non può fermarsi al router di primo livello: deve seguire, dove possibile, l’intera catena di relay.

Le modalità autonome dei coding agent richiedono un contenimento attivo, ovvero sandbox, devcontainer o macchine dedicate con accesso di rete limitato a una lista di host fidati; questo è del resto anche l’orientamento esplicitato da Anthropic nella propria documentazione «Safe YOLO» per Claude Code, che raccomanda l’uso di --dangerously-skip-permissions
solo all’interno di container senza accesso a Internet. Le chiavi che transitano sui router non devono essere a lunga durata: sono token scoped a scadenza breve, ruotati su incidente e, dove il vendor lo supporta, emessi per singolo task.

E per i tool a più alto rischio, quelli che chiamano Bash, run_command
, pip install
, npm install
, cargo add
, un policy gate lato client con allowlist esplicita di domini e pacchetti è, pur con tutti i suoi limiti, un investimento dall’ottimo rapporto costo-beneficio rispetto alle alternative odierne.

Conclusione: la nuova frontiera degli attacchi AI

Il messaggio di fondo del lavoro di Liu e colleghi è che la supply chain degli agenti LLM non comincia al provider del modello e non finisce al client: passa per uno strato di intermediari che oggi il mercato tratta come trasporto trasparente e che, per come è fatto, non può esserlo. Renderlo verificabile è un problema di standard, non di buone pratiche.

https://www.ictsecuritymagazine.com/notizie/sicurezza-ai-router-llm/

C’è una scena che si ripete con crescente frequenza nelle aule giudiziarie, negli uffici del credito e nei comitati assicurativi di tutta Europa. Un individuo contesta una decisione che lo riguarda profondamente: un diniego di prestito, un diniego di libertà provvisoria, un rigetto di risarcimento. Si trova di fronte a una risposta che non è di nessuno. Non l’ha presa un funzionario, non l’ha firmata un dirigente. L’ha prodotta un sistema. Un modello statistico addestrato su milioni di casi precedenti, che ha elaborato variabili, pesato correlazioni e restituito un output binario. Approvato. Negato. Alto rischio. Basso rischio.

Quella risposta esiste, produce effetti concreti sulle vite reali, eppure resiste all’interrogazione. Non spiega se stessa. Non ricorda. Non motiva.

Questa è la condizione che il diritto si trova oggi ad affrontare con urgenza crescente: come si conduce una perizia forense su un’entità che non ha memoria dichiarata del proprio percorso decisionale? Come si accerta la colpa di una black box?

La black box come problema giuridico strutturale

Nella nomenclatura attuale, la locuzione black box indica il massimo livello di opacità che contraddistingue certi sistemi di intelligenza artificiale, tale da rendere imperscrutabili, anche agli occhi degli stessi programmatori e sviluppatori, il meccanismo di funzionamento e il percorso seguito nell’elaborazione degli input per arrivare ai risultati. Questa definizione, apparentemente tecnica, nasconde una crisi strutturale per il diritto: la funzione di motivazione, cardine di ogni atto che incida sulla sfera giuridica di una persona, diventa impossibile da adempiere quando il decisore è un modello di deep learning con miliardi di parametri.

I set di dati, i processi che determinano la decisione degli algoritmi, il perché di una certa decisione che incida la sfera giuridica di una persona dovrebbero essere tracciabili, trasparenti, spiegati, anche per mettere in condizione l’interessato di contestarne i contenuti. La tracciabilità, però, non è soltanto un requisito burocratico: è la condizione di possibilità stessa del diritto di difesa.

Il problema si stratifica su due piani distinti che il giurista deve imparare a distinguere. Il primo è quello dell’opacità epistemologica: certi modelli, in particolare le reti neurali profonde, producono output che nemmeno i loro creatori sanno spiegare passo per passo, non per malafede, ma per struttura intrinseca. Il secondo, più insidioso sul piano processuale, è quello dell’opacità deliberata: algoritmi proprietari protetti da segreto industriale, il cui funzionamento viene sottratto all’esame pubblico per scelta commerciale.

Come ha chiarito il Consiglio di Stato nella sentenza n. 4857 del 4 giugno 2025 in materia di appalti, questa forma di opacità algoritmica, non di natura epistemologica ma pragmatica e deliberatamente assunta, va correttamente bilanciata sul piano normativo e interpretativo, affinché il sacrificio imposto alla conoscibilità dell’agere pubblico trovi giustificazione e non venga percepito come conseguenza ineluttabile della digitalizzazione. Il bilanciamento tra segreto industriale e diritto alla difesa è diventato uno dei nodi centrali del contenzioso algoritmico.

AI forensics e Algorithmic auditing: la nuova disciplina forense

Di fronte a queste sfide, la comunità scientifica e quella giuridica hanno elaborato un corpus metodologico noto come algorithmic auditing: una pratica ibrida, sospesa tra informatica, statistica, diritto e scienze sociali, che si propone di verificare se un sistema decisionale automatizzato è legale, etico e sicuro.

La Royal Society Open Science ha formalizzato questa disciplina come la ricerca e la pratica di valutare, monitorare e garantire la sicurezza, la legalità e l’etica di un algoritmo incorporando interventi socio-tecnici appropriati per gestire e monitorare i rischi ad esso associati. Questa pratica include ricerca su equità, spiegabilità, robustezza e privacy dell’IA, oltre a temi maturi di etica dei dati, gestione e governance.

In ambito forense, l’auditing algoritmico si articola in tre modalità principali a seconda del livello di accesso ottenuto sul sistema. Il white-box audit prevede la disponibilità completa di codice sorgente e pesi del modello. Il grey-box consente la conoscenza dell’architettura e di parte dei dati di addestramento. Il black-box audit, invece, permette al perito di osservare soltanto input e output del sistema, come un oracolo senza finestre. È proprio quest’ultima modalità, la più frequente nei casi giudiziari riguardanti sistemi commerciali proprietari, a concentrare la maggiore difficoltà tecnica e processuale.

Gli strumenti più diffusi per ricavare spiegazioni post-hoc da modelli opachi sono LIME (Local Interpretable Model-agnostic Explanations) e SHAP (SHapley Additive exPlanations). Come documentato nella letteratura specializzata di Explainable AI per la digital forensics, LIME crea un modello proxy, come un albero decisionale, per comprendere e poi spiegare il modello originale, mentre SHAP perturba il modello interrogandolo con diversi input per valutare quali variabili siano più determinanti per l’output.

C’è tuttavia una distinzione fondamentale che il giurista non può permettersi di ignorare: la differenza tra un modello interpretabile e uno spiegabile. I ricercatori della PNAS hanno dimostrato che le spiegazioni post-hoc sono fuorvianti e inappropriate in contesti ad alto rischio come i casi penali.

La distinzione tra modelli interpretabili e spiegabili è cruciale: un sistema glass-box, la cui formula sia comprensibile agli esseri umani, tutela meglio i diritti costituzionali rispetto a un sistema black-box che riceve sole spiegazioni post-hoc. In termini pratici: affermare che “la variabile X ha contribuito per il 34% alla decisione” non equivale a capire perché quella variabile sia stata ritenuta rilevante, né se la sua rilevanza discenda da una correlazione statistica spuria o da un bias sistemico radicato nei dati di addestramento.

Il test controfattuale: l’audit come esperimento mentale processuale

Il gold standard dell’auditing algoritmico nel 2026 è il Counterfactual Audit: per verificare l’equità di una decisione, l’auditor crea un “gemello digitale” del caso e modifica un solo attributo protetto. Se il risultato cambia, il modello è matematicamente distorto. Questo approccio, che ha radici nella filosofia della causalità controfattuale, traduce in linguaggio matematico una domanda fondamentalmente giuridica: la decisione sarebbe stata la stessa se la persona fosse stata diversa in un solo attributo protetto, come la provenienza geografica, l’etnia o il genere?

Il caso che più di ogni altro ha strutturato il dibattito internazionale è quello del sistema COMPAS (Correctional Offender Management Profiling for Alternative Sanctions), adottato da alcune corti penali statunitensi per calcolare il rischio di recidiva dei detenuti.

L’analisi condotta da ProPublica su oltre 7.000 imputati del Broward County, Florida (dati 2013-2014), ha rilevato una disparità sistemica nelle tipologie di errore: i neri che non sarebbero tornati a delinquere venivano classificati erroneamente come “alto rischio” al tasso del 44,9%, quasi il doppio rispetto ai bianchi (23,5%), mentre i bianchi che avrebbero invece recidivato venivano classificati come “basso rischio” al tasso del 47,7%, quasi il doppio rispetto ai neri (28,0%), come confermato dalla letteratura scientifica peer-reviewed. Northpointe, il produttore del software, contestò questa lettura sottolineando che l’accuratezza complessiva era simile per entrambi i gruppi (circa il 61%), alimentando un dibattito irrisolto su cosa significhi “equità” in un algoritmo predittivo.

Il caso trovò poi risonanza giuridica nella vicenda di Eric Loomis, condannato nel Wisconsin a otto anni e mezzo di prigione con una sentenza che citava esplicitamente il suo punteggio COMPAS come elemento di rischio, senza che la difesa potesse interrogare il meccanismo di calcolo.

In Europa, un caso strutturalmente analogo fu quello del sistema SyRI (Systeem Risico Indicatie), adottato dall’amministrazione olandese a partire dal 2014 per identificare potenziali frodi nel welfare. Il sistema incrociava dati provenienti da decine di banche dati pubbliche e generava profili di rischio, operando esclusivamente nelle aree a basso reddito e a elevata presenza di minoranze.

Il 5 febbraio 2020, il Tribunale distrettuale dell’Aia stabilì che non era possibile determinare il funzionamento di SyRI, poiché il governo non aveva reso pubblici il modello di rischio e i relativi indicatori, e che il sistema violava l’articolo 8 della CEDU in quanto non garantiva un equo bilanciamento tra l’interesse alla lotta alle frodi e il diritto alla vita privata dei cittadini. La sentenza fu salutata dall’allora Relatore speciale ONU sulla povertà estrema come un precedente legale fondamentale per tutti i Paesi che sperimentano la digitalizzazione dello Stato sociale.

L’AI Act e l’obbligo di spiegabilità: architettura regolatoria a scadenza ravvicinata

Il quadro normativo europeo ha reagito a queste sfide costruendo un’architettura regolatoria basata sul rischio, il cui fulcro è la spiegabilità obbligatoria per i sistemi ad alto rischio. L’AI Act è entrato in vigore il 1° agosto 2024 e diventerà pienamente applicabile per la maggior parte degli operatori il 2 agosto 2026, con alcune eccezioni: le regole per i sistemi IA ad alto rischio integrati in prodotti regolamentati hanno una scadenza estesa al 2 agosto 2027. Il Regolamento introduce specifici obblighi di trasparenza affinché gli esseri umani siano informati quando necessario per preservare la fiducia.

I sistemi classificati nell’Allegato III, che comprende esplicitamente quelli impiegati nell’amministrazione della giustizia, nella valutazione del rischio creditizio, nella gestione del personale e nelle procedure di asilo e immigrazione, sono soggetti a requisiti stringenti: documentazione tecnica completa, sistemi di registrazione automatica degli eventi, meccanismi di supervisione umana e, crucialmente, trasparenza intesa come sviluppo e utilizzo del sistema in modo da consentire adeguata tracciabilità e spiegabilità.

L’entrata in applicazione piena di queste norme non è priva di rischi di slittamento. Il ritardo nella disponibilità degli standard tecnici armonizzati, la cui elaborazione è ancora in corso presso CEN e CENELEC, mette a rischio il corretto ingresso in vigore delle regole al 2 agosto 2026.

La Commissione ha quindi proposto, nel Digital Omnibus del novembre 2025, di legare la data di applicazione alla disponibilità di strumenti di supporto, con una scadenza massima posticipata al 2 dicembre 2027 per i sistemi dell’Allegato III e al 2 agosto 2028 per quelli dell’Allegato I. Un segnale positivo è arrivato il 30 ottobre 2025, quando prEN 18286, primo standard armonizzato specificamente progettato per aiutare i fornitori di sistemi IA ad alto rischio a conformarsi all’articolo 17 dell’AI Act, è entrato in pubblica consultazione presso gli organismi nazionali di normazione.

L’Italia all’avanguardia: la Legge 132/2025 e le nuove fattispecie penali

In questo scenario, l’Italia si è distinta come il primo Paese europeo ad adottare una legge organica sull’intelligenza artificiale. Come analizzato in dettaglio su ICT Security Magazine, la Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025, interviene su più livelli con un approccio che la dottrina ha già definito di “innesto chirurgico” sui codici esistenti.

Sul piano penale sostanziale, l’articolo 26 inserisce il reato di diffusione illecita di contenuti generati tramite IA nel nuovo art. 612-quater c.p., punito con la reclusione da uno a cinque anni, per contrastare deepfake e manipolazioni digitali. Viene introdotta un’aggravante generale per i reati commessi mediante IA, aumentando la pena in proporzione alla pericolosità del mezzo. Le modifiche incidono anche su reati economici: aggiotaggio o manipolazioni finanziarie tramite IA comportano pene fino a sei anni. Sul piano processuale, l’articolo 15 stabilisce una riserva di giurisdizione umana: l’IA può coadiuvare ma non sostituire il giudice, e nella Pubblica Amministrazione è obbligatoria la trasparenza degli algoritmi e la formazione del personale.

Un secondo livello di impatto, rilevante per la forensics aziendale, riguarda i modelli organizzativi ex D.Lgs. 231/2001. L’articolo 21 della Legge 132/2025 introduce nuove fattispecie di reato connesse all’uso illecito dell’IA, estendendo il catalogo dei reati-presupposto 231 e obbligando le organizzazioni a ripensare integralmente la mappatura dei rischi. L’audit trail e il logging assumono carattere obbligatorio: ogni decisione influenzata da IA deve essere tracciabile, con documentazione della supervisione umana che specifichi chi ha esaminato l’output algoritmico, con quali competenze e in quale lasso temporale.

Tuttavia, come ha evidenziato la dottrina penalistica, l’onere probatorio a carico dell’accusa risulta assai gravoso: sarà necessario dimostrare non solo una delle condotte tipiche, ma anche che l’effettiva alterazione del contenuto sia avvenuta tramite IA, sollevando questioni interpretative sulla valutazione dell’idoneità del contenuto a trarre in inganno circa la propria genuinità. Il rischio di costruire una fattispecie aperta alla discrezionalità del giudice è reale, e rende la perizia informatica ancora più determinante per l’esito processuale.

Il CTU informatico davanti al modello di machine learning

Il Consulente Tecnico d’Ufficio (CTU) informatico si trova oggi proiettato in un territorio professionale radicalmente nuovo. Se il perimetro tradizionale della digital forensics riguardava la conservazione delle tracce digitali, la verifica dell’integrità dei file e l’analisi dei metadati, operazioni su oggetti stabili e riproducibili, la perizia su un sistema di machine learning richiede competenze che attraversano informatica, statistica inferenziale, etica dell’IA e diritto processuale.

La prima sfida è quella dell’accesso. Come ha mostrato la sentenza del Consiglio di Stato n. 4857/2025, il codice sorgente può essere sottratto alla discovery attraverso la tutela del segreto industriale. Eppure il Consiglio di Stato, già nella storica sentenza n. 2270 dell’8 aprile 2019, che accolse il ricorso di alcuni docenti contro la procedura di assegnazione scolastica gestita interamente da un algoritmo opaco, aveva affermato il principio per cui la “caratterizzazione multidisciplinare” dell’algoritmo non esime dalla necessità che la “formula tecnica” sia corredata da spiegazioni che la traducano nella “regola giuridica” sottesa, rendendola leggibile e comprensibile. Le imprese produttrici dei meccanismi informatici, ponendoli al servizio del potere autoritativo, ne accettano le conseguenze in termini di necessaria trasparenza.

La seconda sfida è la riproducibilità. Un sistema di machine learning in produzione è un’entità dinamica: se addestrato in modalità di online learning, può aver prodotto la decisione contestata con una versione del modello che non esiste più. Il CTU deve accertare se il sistema sia stato versionato correttamente, se esistano snapshot dei pesi del modello al momento della decisione, se il logging degli eventi sia sufficientemente granulare. Le sfide relative alla catena di custodia, alla spiegabilità e all’ammissibilità legale devono essere affrontate garantendo che le conclusioni generate dall’IA rimangano forensicamente solide e difendibili in contesti legali.

La terza sfida è quella della comunicazione processuale. Come sottolinea un’analisi congiunta di Kennedys Law e S-RM pubblicata nel gennaio 2026, il problema più grave è la trappola dell’ammissibilità: uno strumento di rilevazione deepfake che produce un punteggio di confidenza senza audit trail può essere contestato. Se un esperto non sa spiegare come uno strumento IA ha raggiunto la propria conclusione in linguaggio accessibile, giudici e giurie rischiano di essere fuorviate da evidenze apparentemente precise ma semanticamente vuote.

I modelli correnti di machine learning, pur efficaci, non soddisfano i requisiti legali per l’ammissione come prove in tribunale a causa della mancanza di adeguata spiegabilità: i sistemi di Explainable AI possono colmare il divario tra processi computazionali complessi e criteri legali per la presentazione delle prove, uno sviluppo critico per preservare l’integrità giudiziaria, aumentare l’accettazione delle prove generate dall’IA e proteggere i diritti dei soggetti coinvolti nelle indagini.

Verso una forensics della responsabilità algoritmica

Tre anni fa, parlare di “perizia su un modello di machine learning” evocava scenari fantascientifici. Oggi è una necessità pratica che tribunali, ordini professionali e università di diritto stanno affrontando con velocità diseguale. E la posta in gioco si è alzata: il Rapporto Clusit 2026 documenta come l’adozione di modelli linguistici avanzati abbia permesso ai gruppi criminali di superare le barriere linguistiche, rendere i tentativi di truffa estremamente persuasivi e difficilmente distinguibili dalle comunicazioni reali, eliminare gli errori grammaticali che in passato rappresentavano i principali campanelli d’allarme delle frodi digitali e creare perfetti cloni vocali e video per ingannare privati cittadini, vertici aziendali e istituzioni.

La responsabilità giuridica dei sistemi AI, come analizzato su ICT Security Magazine, richiede oggi modelli interpretativi nuovi, capaci di distribuire la responsabilità lungo l’intera catena del valore: dai fornitori che sviluppano i modelli, ai deployer che li implementano in contesti operativi specifici, fino agli utilizzatori finali che ne recepiscono l’output senza necessariamente comprenderne la logica.

Ciò che manca, e che la Legge 132/2025 e l’AI Act abbozzano senza ancora definire compiutamente, è un protocollo standardizzato per la perizia algoritmica: una metodologia condivisa che stabilisca le procedure di acquisizione del modello, i test di bias ammissibili, le soglie oltre le quali un sistema possa essere dichiarato forensicamente inaffidabile, i requisiti minimi di logging che rendano possibile la ricostruzione processuale. L’introduzione di prEN 18286, il primo standard armonizzato in materia di quality management system per l’AI Act, rappresenta un primo passo in questa direzione. La distanza da un protocollo forense operativo e condiviso, tuttavia, è ancora significativa.

Come avviene per le revisioni contabili, governi, imprese e società richiederanno presto algorithmic audits formali: l’assicurazione che gli algoritmi siano legali, etici e sicuri. Si prefigura una nuova industria, l’Auditing and Assurance of Algorithms, con il mandato di professionalizzare e industrializzare l’IA e gli algoritmi associati nei processi di accertamento giuridico.

Nel frattempo, l’algoritmo è già nel processo. Decide della libertà, del credito, del lavoro, della salute di milioni di persone. La AI Forensics non è più una disciplina del futuro: è il cantiere urgente del presente, dove giuristi, informatici e magistrati stanno costruendo, spesso senza manuali, gli strumenti per rendere conto di decisioni che nessun essere umano ha preso e che nessuno, ancora, sa completamente spiegare.

https://www.ictsecuritymagazine.com/articoli/ai-forensics/

Slopaganda, la nuova frontiera della propaganda digitale: che cos’è e perché mette alla prova le nostre democrazie

Dalle clip virali che ritraggono Donald Trump come un sovrano caricaturale o un eroe da videogame, fino ai video in stile LEGO diffusi da ambienti filo-iraniani per raccontare il conflitto in Medio Oriente, la comunicazione politica contemporanea sta attraversando una trasformazione profonda. È un fenomeno che studiosi e analisti hanno chiamato “slopaganda”, una forma di propaganda a bassa qualità, spesso generata con l’intelligenza artificiale (AI), progettata per saturare gli spazi informativi digitali più che per convincere attraverso argomentazioni chiare e concrete.

Il termine nasce dalla fusione tra “slop”, ovvero contenuto scadente, ripetitivo, prodotto in serie, e “propaganda”, intesa come comunicazione finalizzata a orientare opinioni e comportamenti. La combinazione descrive con efficacia un ecosistema in cui: la quantità prevale sulla qualità e l’impatto emotivo sostituisce la verifica dei fatti. Non si tratta più, dunque, di persuadere nel senso classico del termine, ma di occupare l’attenzione, di trattenerla e operare in profondità su di essa (dopo esposizione massiccia del soggetto). Spesso questo accade anche sfruttando l’attualità più drammatica, come la guerra. Diffondere un flusso di contenuti volutamente grotteschi sul conflitto in corso in Iran o in Ucraina, o su Gaza, deresponsabilizza l’opinione pubblica e chi fa stragi, disumanizza la sofferenza, crea distanza e superficialità sul giudizio. Un video divertente sulla guerra trasforma l’orrore in un gioco, le vittime in attori, il dolore in intrattenimento.

Tradurre messaggi complessi e conflitti politici in codici visivi più semplici e familiari

Negli Stati Uniti questo modello comunicativo ha trovato una delle sue espressioni più visibili durante la campagna elettorale del 2024, hanno spiegato Mark Alfano, professore di Filosofia alla Macquarie University, e Michał Klincewicz, Assistant Professor al Department of Computational Cognitive Science della Tilburg University, in un articolo su The Conversation. Attorno alla figura di Donald Trump si è sviluppata una produzione massiccia di contenuti visivi e video brevi, spesso volutamente grotteschi o surreali: immagini generate dall’AI che lo raffigurano come un Papa, un guerriero o una figura quasi messianica, clip dal tono ironico o provocatorio pensate per diventare virali sulle piattaforme come TikTok e X. Il punto non è la credibilità del singolo contenuto (spesso evidentemente fittizio) ma la sua capacità di circolare, accumulare interazioni e contribuire a costruire un immaginario.

In parallelo, anche attori statali e para-statali hanno affinato l’uso di queste tecniche. Nel contesto del confronto tra Stati Uniti e Iran, ad esempio, ha raccontato Josephine Walker su Axios, sono circolati video che mescolano immagini reali di operazioni militari con sequenze tratte da videogiochi o serie televisive, mentre dall’altra parte si è assistito a una proliferazione di contenuti AI (inclusi i citati video in stile LEGO) utilizzati per semplificare e rendere immediatamente riconoscibili messaggi politici complessi. L’uso di “estetiche pop occidentali” non è casuale: serve a intercettare pubblici più ampi e meno politicizzati, traducendo il conflitto in codici visivi familiari.

Come funziona la slopaganda

La slopaganda funziona attraverso una combinazione di produzione automatizzata, logiche algoritmiche e leve psicologiche. Grazie all’intelligenza artificiale è possibile generare in tempi rapidissimi grandi quantità di contenuti (immagini, video, meme, testi) che ripropongono lo stesso messaggio in forme leggermente diverse.

Queste varianti vengono diffuse sui social e “testate” in tempo reale: quelle che ottengono più reazioni, condivisioni o commenti vengono ulteriormente amplificate, mentre le altre vengono scartate. Il sistema si adatta così continuamente alle preferenze del pubblico, creando contenuti sempre più efficaci nel catturare attenzione.

Allo stesso tempo, i messaggi sono spesso costruiti per attivare emozioni forti (paura, rabbia, indignazione) e per essere facilmente riconoscibili e condivisibili anche senza un’analisi approfondita. Il risultato è una saturazione dello spazio informativo: l’utente non viene persuaso da un singolo contenuto, ma esposto a una moltiplicazione continua dello stesso schema narrativo, che finisce per influenzare percezioni e opinioni in modo graduale e spesso inconsapevole.

L’evoluzione dell’economia dell’attenzione

Fenomeni analoghi si osservano anche in Europa, sebbene con forme più frammentate. In diversi Paesi dell’Unione sono state individuate reti di account semi-automatizzati che diffondono contenuti quasi identici, adattati linguisticamente e culturalmente ai diversi contesti nazionali. Meme su immigrazione, sicurezza o costo della vita vengono replicati con minime variazioni grafiche e testuali, spesso generati o rielaborati con strumenti di intelligenza artificiale. In Italia, come in altri Stati membri, questi contenuti tendono a mescolare riferimenti locali con modelli narrativi importati, creando un ibrido che appare autentico ma è in realtà parte di una produzione seriale.

Il funzionamento della slopaganda è strettamente legato all’economia dell’attenzione che governa le piattaforme digitali. Gli algoritmi privilegiano ciò che genera reazioni rapide (indignazione, sorpresa, paura) e l’intelligenza artificiale consente di produrre in tempi rapidissimi migliaia di varianti dello stesso messaggio.

Queste vengono testate, amplificate e replicate automaticamente, in un processo continuo di ottimizzazione. Il risultato è una comunicazione iper-adattiva, capace di raggiungere nicchie specifiche di pubblico con contenuti calibrati sui loro interessi e predisposizioni emotive.

È proprio qui che emerge la principale criticità democratica. La slopaganda non mira necessariamente a far credere a una falsità precisa, ma a modificare l’ambiente informativo nel suo complesso. L’effetto cumulativo è una saturazione che rende difficile distinguere tra informazione affidabile e rumore, tra contenuti autentici e manipolati. In questo contesto, anche materiale veritiero rischia di essere percepito come sospetto, contribuendo a un progressivo indebolimento della fiducia nei confronti di media, istituzioni e fonti autorevoli.

E poi c’è l’AI slop

Accanto alla slopaganda, si sta diffondendo un fenomeno più ampio e pervasivo: l’AI slop, ovvero una massa crescente di contenuti generati automaticamente (articoli, video, musica, immagini) prodotti senza reale controllo qualitativo e spesso privi di valore informativo.

Come ha spiegato su The Conversation, Adam Nemeroff, vice rettore della Quinnipiac University, non sempre questi contenuti nascono con un intento politico esplicito, ma contribuiscono comunque a degradare l’ecosistema informativo. La loro funzione principale è sfruttare le logiche di monetizzazione delle piattaforme e attirare traffico, anche a costo di essere ridondanti, imprecisi o fuorvianti.

In questo senso, l’AI slop rappresenta il terreno su cui la slopaganda attecchisce e prospera: un ambiente saturo di materiali indistinti, in cui diventa sempre più difficile per l’utente medio distinguere tra contenuti affidabili, intrattenimento artificiale e messaggi manipolatori. Il rischio è che la quantità finisca per soffocare la qualità, con effetti non solo economici per i creatori di contenuti, ma anche cognitivi e culturali per l’intera società digitale.

L’effetto ansia e polarizzazione

Un ulteriore elemento di rischio riguarda la dimensione emotiva. La reiterazione di messaggi allarmistici o polarizzanti (spesso costruiti attorno a figure nemiche o a scenari di crisi permanente) alimenta un clima di ansia e conflitto. La semplificazione estrema, tipica della slopaganda, riduce la complessità dei fenomeni politici a narrazioni binarie, favorendo la contrapposizione piuttosto che il confronto.

Riconoscere questi contenuti non è sempre immediato, ma alcuni segnali ricorrono con frequenza. L’estetica eccessivamente patinata o, al contrario, volutamente “glitchata” (cioè trasformare ‘l’errore’ in una scelta volontaria, in una specie di marchio di fabbrica), la ripetizione ossessiva di uno stesso messaggio declinato in molte varianti, l’uso di immagini surreali o simboliche prive di contesto verificabile, così come la diffusione simultanea da parte di numerosi account con caratteristiche simili, rappresentano indizi utili. A ciò si aggiunge la tendenza a privilegiare titoli sensazionalistici e a evitare qualsiasi riferimento a fonti verificabili.

La diffusione della slopaganda pone dunque una sfida che va oltre il tema, già noto, delle fake news. Si tratta di una trasformazione strutturale della comunicazione pubblica, in cui la velocità, la replicabilità e la capacità di catturare attenzione diventano più rilevanti della veridicità. In un sistema democratico fondato sulla possibilità per i cittadini di accedere a informazioni affidabili e di formarsi opinioni consapevoli, questo slittamento rischia di compromettere uno degli elementi essenziali del processo decisionale collettivo.

Il fast-food dell’informazione politica: rapida, saporita e dannosa per la salute della democrazia

La “fast-foodizzazione” dell’informazione politica, per riprendere una metafora sempre più utilizzata, produce contenuti facili da consumare ma poveri di sostanza. E come nel caso dell’alimentazione, un consumo prolungato di questo tipo di prodotti rischia di avere effetti sistemici.

Come il cibo spazzatura, la slopaganda privilegia impatto immediato (immagini forti, meme elettrizzanti, frasi shock) rispetto a sostanza, contesto e verificabilità; serve a essere digerita in fretta e condivisa, non meditata.

La continua esposizione a messaggi emotivi, ripetitivi e parziali indebolisce la capacità critica dei cittadini: aumenta sfiducia nelle istituzioni, moltiplica polarizzazione e rende più difficile distinguere informazione affidabile da rumore artificiale. In un contesto di confusione informativa diffusa, la democrazia fatica a costruire consenso razionale, lungimirante e condiviso; le decisioni politiche e di voto tendono a basarsi su paura, rabbia e identità, più che su argomenti ponderati.

La questione, ormai, non è più se la slopaganda influenzerà il dibattito pubblico, ma in quale misura le democrazie saranno in grado di adattarsi (ce la faranno?) a un ambiente informativo sempre più saturo, frammentato e, soprattutto, manipolabile.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/slopaganda-che-cose-e-perche-punta-a-generare-paura-e-caos-tra-i-cittadini/570325/

L’Europa accelera sui data center, ma il 55% degli investimenti si concentra negli hub più grandi: Francoforte, Amsterdam, Londra, Parigi e Dublino

Più data center significa abilitare crescita economica. Siamo nel pieno della trasformazione digitale, pur con limiti e ritardi fisiologici, particolarmente evidenti per il nostro Paese, e per tenere in piedi un Paese in questo momento storico serve una spina dorsale forte e flessibile, in grado di reggere nuova capacità e dimostrarsi sufficientemente resistente agli strappi dell’attuale congiuntura geopolitica.

I data center sono l’infrastruttura invisibile su cui ogni Paese deve poter contare se vuole dotarsi di un’economia avanzata e soprattutto se vuole garantirsi sufficiente capacità di calcolo e le risorse necessarie per lo sviluppo e l’impiego di soluzioni di intelligenza artificiale (AI), cloud sovrano, robotica/automazione e internet delle cose. In Europa gli investimenti in data center sono stimati in 110 miliardi di euro entro il 2028, considerando solo i principali poli continentali (Francoforte, Londra, Amsterdam, Parigi e Dublino, con l’aggiunta di quelli emergenti come Milano e Madrid).

Nuovi data center generano ulteriori investimenti, occupazione qualificata e rilancio di aree dismesse, contribuendo anche a una transizione energetica più efficiente e sostenibile. L’Osservatorio Data Center del Politecnico di Milano ha indicato in un recente studio che tra 2023 e 2025 sono già stati investiti circa 29,5 miliardi di euro nei 13 principali hub europei. La maggior parte degli investimenti europei resta concentrata nei grandi hub “FLAPD”, che da soli assorbirebbero circa il 55% del totale degli investimenti previsti.

Il tallone d’Achille della dipendenza tecnologica ed energetica

L’Europa può continuare a crescere e guadagnare terreno, ma il suo principale problema, ormai noto a tutti, è la dipendenza cronica sia da tecnologia estera, sia dagli approvvigionamenti energetici extra-Ue. Come segnalato sempre dall’Osservatorio, oltre metà della potenza energetica installata per i data center europei è concentrata in 10 operatori, di cui sette statunitensi. Ancora, l’80% del mercato cloud è controllato da hyperscaler e provider americani.

Gli investitori, se devono decidere dove allocare nuove risorse finanziarie in questo settore, mostrano incertezza riguarda all’Europa, principalmente perché scarseggia di energia, che è elemento centrale per la crescita dei data center.

L’Unione europea continua a importare quasi il 60% dell’energia che consuma, soprattutto gas, petrolio e altre fonti fossili, con Paesi come Italia e Germania sopra la media comunitaria (oltre il 70% di dipendenza in Italia). Anche se produce molta energia elettrica da rinnovabili e può contare su know‑how in settori come fotovoltaico ed eolico, l’Europa resta dipendente anche da importazioni di materie prime critiche (litio, terre rare, cobalto, silicio, ecc.) per batterie, turbine, pannelli e data center, oltre che da componentistica e chip di fabbricazione asiatica.

L’Italia in coda, ma tiene la corsa europea

Tra il 2026 ed il 2028 gli investimenti in data center nel nostro Paese dovrebbero aggirarsi sui 25 miliardi di euro, con ulteriori proiezioni positive per il 2030. La crescita del mercato è sempre più guidata dagli hyperscaler, con il passaggio da piccoli data center a grandi campus superiori ai 30 MW, più efficienti ma anche più energivori.

In termini di potenza, la capacità installata è stimata da AGICI triplicare entro il 2030, passando da circa 600 MW oggi a 2 GW, con investimenti che si concentrano in particolare in Lombardia (Milano) ma con crescente interesse per altre aree del territorio.

Accanto alle opportunità emergono però alcune criticità, legate alla disponibilità di infrastrutture energetiche. In Italia, secondo un nuovo studio realizzato da Engie e Key to Energy, le richieste di connessione hanno raggiunto i 79 GW, con possibili fenomeni di saturazione della rete in alcune aree, e i ritardi nel time-to-grid possono comportare perdite fino a 1,1 milioni di euro di EBITDA per ogni anno di slittamento.

In questo scenario, accelerare la transizione verso un’energia stabile e competitiva diventa un fattore chiave per lo sviluppo del settore e gli operatori energetici saranno sempre più abilitatori e partner per lo sviluppo, la gestione e l’approvvigionamento energetico dei data center.

Non solo data center, necessario investire nella transizione energetica

La transizione energetica, però, non va pensata solamente come un problema o un costo. Portata avanti in maniera intelligente, cioè supportata da politiche lungimiranti, orientata all’efficienza, alla sostenibilità, all’inclusione dei territori e all’innovazione, la transizione rappresenta un efficace abilitatore di crescita e competitività. Dal 2028 – 2030, secondo lo studio, i data center potrebbero diventare attori energetici sempre più attivi e fondamentale risulta il ruolo di soluzioni avanzate come i Power Purchase Agreement (PPA) rinnovabili, anche multi-tecnologici (fotovoltaico e eolico), insieme ai sistemi di accumulo, che garantiscono flessibilità e sicurezza energetica.

Investire nella transizione energetica, inoltre, è l’unico modo affrontare in maniera concreta il problema dell’aumento della domanda di energia da parte dei data center. Entro il 2030, i consumi energetici dei data center a livello globale potrebbero crescere fino al 30% annuo e al 16% in Europa.

In Italia si stima un aumento che può arrivare a 2 o 4 volte i consumi attuali, superando il 10% dei consumi europei del settore.

La domanda energetica a livello globale è cresciuta del 23%, raggiungendo 545 TWh di consumi. In Europa dell’11%, con 80TWh e in Italia del 17%, con 4,2 TWh. Il trend subirà una decisa accelerazione entro il 2030: nel mondo la domanda raggiungerà oltre 2mila TWh, in Europa 167 e in Italia 21,6 TWh con una crescita del 37%.

Rinnovabili e PPA per decabonizzare la data economy

Una recente ricerca di A2A stima che lo sviluppo dei data center in Italia potrebbe contribuire alla crescita del PIL nazionale al 2035 del 6% – con la creazione di 77 mila posti di lavoro – fino ad arrivare, in uno scenario full potential, al 15% con 150 mila nuovi occupati.

Grazie a PPA e politiche “verdi” si potrebbero ridurre le emissioni nocive generate dalla data economy fino a 3,7 milioni di tonnellate di CO2 l’anno, solo lato data center in italia.

Nel 2024, è riportato dalla ricerca, la data economy ha generato per il nostro Paese un valore di 60,6 miliardi di euro, pari al 2,8% del PIL nazionale. Nei prossimi 10 anni, il numero di dispositivi IoT e la domanda di servizi cloud sono attesi triplicare, mentre il traffico dati più che raddoppierà. Con queste dinamiche e in ipotesi di allineamento dell’Italia ai livelli dei Paesi più avanzati nel mondo nell’ecosistema digitale, il valore della data economy italiana potrebbe superare i 200 miliardi di euro al 2030.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/data-center-110-miliardi-di-euro-di-investimenti-in-europa-e-25-miliardi-in-italia-entro-il-2028/570244/

Mentre i salotti televisivi e le aule parlamentari continuano a dibattere, con colpevole ritardo, sulle regole burocratiche per limitare gli algoritmi che scrivono testi o generano immagini, l’economia reale rischia di essere travolta da uno tsunami silenzioso proveniente, ancora una volta, da San Francisco. La startup statunitense Physical Intelligence ha recentemente annunciato i risultati del suo ultimo modello di intelligenza artificiale applicata alla robotica, denominato π 0.7. E, senza cedere a facili trionfalismi, i dati ci dicono che potremmo essere vicini all’alba dell’Intelligenza Artificiale Generale (AGI) applicata al mondo fisico.

Per comprendere la vera portata di questa rivoluzione, dobbiamo fare un passo indietro agli anni ’80, quando lo scienziato Hans Moravec formulò un celebre principio che porta il suo nome. Il Paradosso di Moravec osserva una verità apparentemente controintuitiva: per le macchine è facilissimo eseguire calcoli matematici complessi o battere i campioni mondiali di scacchi, ma è incredibilmente difficile replicare le abilità sensomotorie di un bambino di un anno, come camminare, riconoscere un ostacolo o afferrare una palla. Per decenni, l’intelligenza artificiale ha trionfato nella logica astratta, ma ha fallito miseramente nel mondo fisico, scontrandosi con la complessità della realtà materiale.

Oggi, il modello π 0.7 sembra aver trovato la chiave per scardinare questo paradosso.

Fino a ieri, il paradigma della robotica industriale era chiaro e rigido: si raccoglievano moli immense di dati specifici per addestrare un robot a compiere una singola azione ripetitiva in un ambiente iper-controllato. Se si cambiava la forma della scatola da spostare, il robot andava in blocco. Il nuovo sistema introduce invece la “generalizzazione composizionale”: la capacità di ricombinare competenze apprese in contesti diversi per risolvere problemi del tutto nuovi, senza alcun addestramento preventivo specifico.

Nei laboratori, robot guidati da π 0.7 hanno dimostrato di saper utilizzare elettrodomestici mai visti prima o di piegare il bucato, pur non avendo nei loro database alcuna riga di codice relativa a quelle specifiche mansioni. Il segreto risiede nei prompt multimodali. Il modello aggrega informazioni da piattaforme diverse, dimostrazioni umane e tentativi autonomi. Non gli viene detto solo “cosa” fare, ma gli si fornisce un contesto su “come” farlo, processando istruzioni testuali e immagini di obiettivi visivi da raggiungere in tempo reale.

[embedded content]

I pilastri di questo “cervello sintetico” sono tre:

• Apprendimento Trasversale: Adatta le conoscenze preesistenti a contesti inediti. Sa manipolare un oggetto morbido e sa riconoscere un capo d’abbigliamento? Allora deduce autonomamente come piegare una maglietta.
• Adattamento in tempo reale: Il modello non esegue un programma cieco, ma si adatta all’ambiente in base alle istruzioni e agli ostacoli visivi.
• Standardizzazione dell’Hardware: Svincola il software (il “cervello”) dai limiti fisici del singolo fornitore del braccio meccanico.

Dal punto di vista dell’economia reale e dell’occupazione, le implicazioni sono drammatiche. Finora, l’operaio umano ha mantenuto un vantaggio competitivo incolmabile sulla macchina: l’adattabilità. Il lavoratore in carne ed ossa può gestire imprevisti, cambiare strumento di lavoro o riorganizzare una linea logistica semplicemente usando il buon senso e l’esperienza pregressa. Le macchine, relegate a compiti di mera forza e precisione ripetitiva, necessitavano di programmatori umani per ogni minima deviazione.

Se l’adozione di modelli come π 0.7 dovesse scalare commercialmente, questo ultimo baluardo crollerebbe. L’ingresso di un “operaio sintetico” polivalente, capace di imparare guardando, ascoltando o ragionando, mette a rischio mortale milioni di posti di lavoro non solo nella manifattura pesante, ma anche nella logistica avanzata, nelle pulizie, nella ristorazione e in gran parte dei servizi. Non stiamo più parlando di macchine che sostituiscono la pura forza muscolare, ma di entità capaci di replicare la deduzione e l’adattamento umano nel mondo materiale.

Ci troviamo di fronte a uno shock dell’offerta che promette di abbattere drammaticamente i costi marginali di produzione per le aziende, spingendo la produttività a livelli inesplorati. Tuttavia, il rovescio della medaglia è l’obsolescenza rapida e inesorabile della manodopera umana. Il lavoro umano, nella sua componente fisica e adattiva, non è mai stato così a rischio. Mentre l’algoritmo impara a piegare il bucato e a gestire gli imprevisti, il vero imprevisto da gestire sarà quello di un mercato del lavoro in cui l’uomo rischia di diventare, semplicemente, superfluo e non più competitivo.

Rimani aggiornato seguendoci su Google News!

SEGUICI

https://scenarieconomici.it/intelligenza-artificiale-e-obotica-%cf%80-0-7-abbatte-il-paradosso-di-moravec-e-il-lavoro-umano-non-e-mai-stato-cosi-a-rischio/

Mentre i salotti televisivi e le aule parlamentari continuano a dibattere, con colpevole ritardo, sulle regole burocratiche per limitare gli algoritmi che scrivono testi o generano immagini, l’economia reale rischia di essere travolta da uno tsunami silenzioso proveniente, ancora una volta, da San Francisco. La startup statunitense Physical Intelligence ha recentemente annunciato i risultati del suo ultimo modello di intelligenza artificiale applicata alla robotica, denominato π 0.7. E, senza cedere a facili trionfalismi, i dati ci dicono che potremmo essere vicini all’alba dell’Intelligenza Artificiale Generale (AGI) applicata al mondo fisico.

Per comprendere la vera portata di questa rivoluzione, dobbiamo fare un passo indietro agli anni ’80, quando lo scienziato Hans Moravec formulò un celebre principio che porta il suo nome. Il Paradosso di Moravec osserva una verità apparentemente controintuitiva: per le macchine è facilissimo eseguire calcoli matematici complessi o battere i campioni mondiali di scacchi, ma è incredibilmente difficile replicare le abilità sensomotorie di un bambino di un anno, come camminare, riconoscere un ostacolo o afferrare una palla. Per decenni, l’intelligenza artificiale ha trionfato nella logica astratta, ma ha fallito miseramente nel mondo fisico, scontrandosi con la complessità della realtà materiale.

Oggi, il modello π 0.7 sembra aver trovato la chiave per scardinare questo paradosso.

Fino a ieri, il paradigma della robotica industriale era chiaro e rigido: si raccoglievano moli immense di dati specifici per addestrare un robot a compiere una singola azione ripetitiva in un ambiente iper-controllato. Se si cambiava la forma della scatola da spostare, il robot andava in blocco. Il nuovo sistema introduce invece la “generalizzazione composizionale”: la capacità di ricombinare competenze apprese in contesti diversi per risolvere problemi del tutto nuovi, senza alcun addestramento preventivo specifico.

Nei laboratori, robot guidati da π 0.7 hanno dimostrato di saper utilizzare elettrodomestici mai visti prima o di piegare il bucato, pur non avendo nei loro database alcuna riga di codice relativa a quelle specifiche mansioni. Il segreto risiede nei prompt multimodali. Il modello aggrega informazioni da piattaforme diverse, dimostrazioni umane e tentativi autonomi. Non gli viene detto solo “cosa” fare, ma gli si fornisce un contesto su “come” farlo, processando istruzioni testuali e immagini di obiettivi visivi da raggiungere in tempo reale.

[embedded content]

I pilastri di questo “cervello sintetico” sono tre:

• Apprendimento Trasversale: Adatta le conoscenze preesistenti a contesti inediti. Sa manipolare un oggetto morbido e sa riconoscere un capo d’abbigliamento? Allora deduce autonomamente come piegare una maglietta.
• Adattamento in tempo reale: Il modello non esegue un programma cieco, ma si adatta all’ambiente in base alle istruzioni e agli ostacoli visivi.
• Standardizzazione dell’Hardware: Svincola il software (il “cervello”) dai limiti fisici del singolo fornitore del braccio meccanico.

Dal punto di vista dell’economia reale e dell’occupazione, le implicazioni sono drammatiche. Finora, l’operaio umano ha mantenuto un vantaggio competitivo incolmabile sulla macchina: l’adattabilità. Il lavoratore in carne ed ossa può gestire imprevisti, cambiare strumento di lavoro o riorganizzare una linea logistica semplicemente usando il buon senso e l’esperienza pregressa. Le macchine, relegate a compiti di mera forza e precisione ripetitiva, necessitavano di programmatori umani per ogni minima deviazione.

Se l’adozione di modelli come π 0.7 dovesse scalare commercialmente, questo ultimo baluardo crollerebbe. L’ingresso di un “operaio sintetico” polivalente, capace di imparare guardando, ascoltando o ragionando, mette a rischio mortale milioni di posti di lavoro non solo nella manifattura pesante, ma anche nella logistica avanzata, nelle pulizie, nella ristorazione e in gran parte dei servizi. Non stiamo più parlando di macchine che sostituiscono la pura forza muscolare, ma di entità capaci di replicare la deduzione e l’adattamento umano nel mondo materiale.

Ci troviamo di fronte a uno shock dell’offerta che promette di abbattere drammaticamente i costi marginali di produzione per le aziende, spingendo la produttività a livelli inesplorati. Tuttavia, il rovescio della medaglia è l’obsolescenza rapida e inesorabile della manodopera umana. Il lavoro umano, nella sua componente fisica e adattiva, non è mai stato così a rischio. Mentre l’algoritmo impara a piegare il bucato e a gestire gli imprevisti, il vero imprevisto da gestire sarà quello di un mercato del lavoro in cui l’uomo rischia di diventare, semplicemente, superfluo e non più competitivo.

Rimani aggiornato seguendoci su Google News!

SEGUICI

https://scenarieconomici.it/intelligenza-artificiale-e-obotica-%cf%80-0-7-abbatte-il-paradosso-di-moravec-e-il-lavoro-umano-non-e-mai-stato-cosi-a-rischio/

L’adozione dell’AI diventa strutturale nell’industria automobilistica, Stellantis rafforza la collaborazione con Microsoft

Nel pieno di una trasformazione strutturale che sta ridisegnando l’industria automobilistica globale, Stellantis annuncia la volontà di rafforzare la propria traiettoria verso la digitalizzazione con un accordo quinquennale con Microsoft focalizzato su intelligenza artificiale (AI), cybersicurezza e infrastrutture cloud. Più che un’alleanza tecnologica tradizionale (e già avviata da tempo), l’intesa si inserisce in un contesto in cui l’auto è ormai un sistema software-defined, esposto a nuove vulnerabilità ma anche a opportunità di innovazione lungo l’intera catena del valore.

L’elemento più rilevante dell’accordo riguarda il co-sviluppo di oltre 100 casi d’uso basati sull’intelligenza artificiale, distribuiti tra progettazione, produzione, servizi e relazione con il cliente.

L’adozione dell’AI diventa infrastrutturale, cioè non si limita più a funzioni sperimentali o di supporto: entra nei processi di ingegneria per accelerare sviluppo e validazione dei veicoli, nelle attività industriali per migliorare manutenzione e qualità, fino ai servizi digitali destinati agli utenti finali. In questo scenario, i dati generati dai veicoli connessi e dalle operations diventano la materia prima per modelli predittivi e sistemi decisionali automatizzati.

Questa evoluzione si inserisce in un mercato che sta rapidamente ampliando la propria dimensione economica e la propria esposizione ai rischi. Il comparto globale della cybersecurity automotive è stimato crescere dagli 8,3 miliardi di dollari del 2026 a oltre 17 miliardi nel 2034, con un tasso medio annuo vicino al 10%. Parallelamente, nel 2025 gli attacchi ransomware contro il settore automotive e della mobilità intelligente sono raddoppiati, spinti dall’aumento delle superfici di attacco legate a veicoli connessi, API cloud e aggiornamenti software over-the-air.

Un centro di cybersecurity basato sull’AI

È proprio su questo fronte che la collaborazione con Microsoft intende assumere una dimensione strategica. Secondo quanto comunicato sul sito, Stellantis punta a costruire un centro globale di cybersicurezza basato sull’AI, in grado di monitorare e proteggere in modo integrato sistemi IT, fabbriche, piattaforme digitali e veicoli.

L’obiettivo è passare da un approccio reattivo a uno predittivo, sfruttando algoritmi di machine learning per individuare anomalie e minacce in tempo reale. Una scelta che riflette anche le pressioni normative, in particolare in Europa, dove i regolamenti UNECE R155 e R156 impongono ai costruttori l’adozione di sistemi di gestione della sicurezza informatica e di aggiornamento software lungo l’intero ciclo di vita del veicolo.

Nel contesto europeo, l’integrazione tra AI e cybersecurity si sta consolidando anche per garantire la conformità ai requisiti normativi e alla protezione dei dati secondo il quadro GDPR. I sistemi di intrusion detection evoluti, alimentati da intelligenza artificiale, sono destinati a diventare componenti standard nei veicoli software-defined.

Negli Stati Uniti, invece, il quadro è più orientato alla gestione del rischio emergente: dopo diversi incidenti rilevati nel 2025, le autorità stanno spingendo verso linee guida per un uso sicuro dell’IA nei sistemi autonomi, mentre cresce l’adozione di tecnologie intelligenti in ambiti come ADAS e telematica.

La centralità del cloud e data center più sostenibili entro il 2029

Accanto alla sicurezza, l’altro pilastro dell’accordo riguarda la modernizzazione dell’infrastruttura digitale. Stellantis prevede una migrazione estesa verso il cloud Azure, con l’obiettivo di migliorare scalabilità, resilienza e velocità di distribuzione dei servizi digitali. Il dato più significativo è l’impegno a ridurre del 60% l’impatto dei data center entro il 2029, segnale di come la trasformazione cloud venga letta anche in chiave di sostenibilità operativa oltre che di efficienza.

La centralità del cloud è strettamente legata all’evoluzione del modello di business dell’automotive. La capacità di aggiornare i veicoli da remoto, introdurre nuove funzionalità software e gestire servizi digitali su scala globale richiede architetture distribuite e sicure. In questo senso, la convergenza tra piattaforme cloud e sistemi embedded nei veicoli rappresenta uno dei nodi più critici e strategici per i costruttori.

Nel complesso, la collaborazione tra Stellantis e Microsoft evidenzia come il settore automotive stia accelerando verso un modello sempre più simile a quello delle industrie tecnologiche. In un contesto di mercato segnato da margini compressi, transizione elettrica e crescente complessità regolatoria, la leva digitale (dall’IA alla cybersecurity fino al cloud) diventa un fattore determinante per sostenere competitività e resilienza.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/stellantis-chiede-a-microsoft-di-accelerare-su-ai-e-cybersecurity-al-lavoro-su-100-soluzioni/570090/

Il 7 aprile 2026, mentre Anthropic annunciava Claude Mythos e il Progetto Glasswing – già documentati dalla redazione – qualcosa di altrettanto significativo avveniva in parallelo: oltre sessanta tra i più autorevoli professionisti della sicurezza mondiale si riunivano per produrre in un singolo weekend un documento operativo di risposta, revisionato da oltre 250 CISO a livello globale. Non una dichiarazione di allarme. Un piano d’azione concreto.

Il risultato è “The AI Vulnerability Storm: Building a Mythos-ready Security Program“, versione 9.1, pubblicato il 15 aprile 2026 dalla CSA CISO Community insieme a SANS, OWASP Gen AI Security Project e [un]prompted, con contributi di figure come Jen Easterly, Bruce Schneier, Rob Joyce e Phil Venables. Questo articolo ne analizza i contenuti strategici: il contesto storico verificato, il risk register, le priorità operative e le implicazioni per chi opera nel contesto italiano.

Il collasso dei tempi: i dati che cambiano tutto

Prima di parlare di strategie, è necessario comprendere la dimensione quantitativa del cambiamento. Il punto di riferimento è il Zero Day Clock, progetto di Sergej Epp, CISO di Sysdig, che traccia in tempo reale il Time-to-Exploit (TTE) su oltre 3.500 coppie CVE-exploit tratte da CISA KEV, VulnCheck KEV e XDB.

I numeri sono eloquenti: nel 2018 la mediana del TTE era di 771 giorni. Nel 2024 era già scesa a 4 ore. Nel 2026 è inferiore alle 24 ore, con una proiezione verso i minuti entro il 2028. Il dato più significativo non è la velocità assoluta, ma la struttura: nel 2026 il 67,2% dei CVE attivamente sfruttati viene weaponizzato prima o nel giorno stesso della disclosure pubblica, rispetto al 16,1% del 2018. Due terzi degli sfruttamenti attivi avvengono quando i difensori non hanno ancora nessuna informazione su cui agire.

Questo non è un trend che si stabilizza. Epp lo spiega attraverso il concetto di Verifier’s Law: l’AI accelera l’offesa più della difesa perché la verifica offensiva è binaria e istantanea (l’exploit ha funzionato oppure no) mentre quella difensiva è ambigua, costosa e lenta. Questo vantaggio strutturale per gli attaccanti preesisteva a Claude Mythos; Mythos ne accelera le conseguenze.

Un anno di escalation verificata: la cronologia evento per evento

Il documento CSA ricostruisce una progressione che molti hanno trascurato. Le capacità che hanno reso Mythos notizia globale non sono apparse dal nulla: si sono sviluppate lungo tutto il 2025 e l’inizio del 2026, in una sequenza di eventi tutti verificabili attraverso fonti primarie.

Giugno 2025. XBOW diventa il primo sistema autonomo a raggiungere la vetta della classifica US di HackerOne per guadagno di reputazione nel secondo trimestre 2025, superando ogni ricercatore umano sulla piattaforma con oltre 1.060 vulnerabilità segnalate, revisionate dal team prima della submission secondo le policy HackerOne. Il progetto open-source raptor dimostra simultaneamente che la vulnerability research autonoma è accessibile a chiunque con un agente off-the-shelf. Per un approfondimento sul tema si veda il nostro articolo sull’AI offensiva nel cybercrime.

Agosto 2025. Google Big Sleep, collaborazione tra DeepMind e Project Zero basata su Gemini, segnala le prime 20 vulnerabilità zero-day in software open source, tra cui FFmpeg e ImageMagick, trovate e riprodotte autonomamente dall’AI prima della revisione umana pre-disclosure. Quattro giorni dopo, alla DEF CON 33, la finale di DARPA AIxCC porta i sette team finalisti a scoprire 54 vulnerabilità sintetiche analizzando 54 milioni di righe di codice in quattro ore di calcolo ciascuno, con 18 vulnerabilità reali scoperte in aggiunta.

Settembre 2025. Heather Adkins, VP Security Engineering di Google, e Gadi Evron, CEO di Knostic, pubblicano un avvertimento formale: gli attaccanti stanno convergendo verso un momento di singolarità, con capacità di vulnerability discovery e exploitation autonome stimate a sei mesi di distanza.

13-14 novembre 2025. Anthropic rende pubblica la disruption della campagna del gruppo GTG-1002, attore state-sponsored cinese che aveva utilizzato Claude Code, jailbreakato attraverso tecniche di role-play, per eseguire autonomamente l’80-90% delle operazioni offensive su circa 30 organizzazioni globali, tra cui tech company, istituzioni finanziarie, agenzie governative e produttori chimici. La campagna era stata rilevata a metà settembre. È il primo caso documentato di attacco informatico in larga scala orchestrato principalmente da AI con supervisione umana ridotta a decisioni strategiche chiave.

Gennaio 2026. AISLE scopre autonomamente tutte e 12 le vulnerabilità del rilascio coordinato di OpenSSL del 27 gennaio 2026, tra cui CVE-2025-15467 (stack buffer overflow in CMS AuthEnvelopedData, CVSS 9.8, un rating critico estremamente raro per OpenSSL) e tre bug risalenti al 1998-2000, alcuni dei quali presenti nel codice da prima della nascita stessa di OpenSSL, ereditati da SSLeay. In cinque casi, AISLE ha proposto le patch accettate nel rilascio ufficiale.

Febbraio 2026. Anthropic, usando Claude Opus 4.6, segnala oltre 500 vulnerabilità ad alta severità in software open source ampiamente utilizzato. Sysdig documenta come un attaccante abbia ottenuto accesso amministrativo completo a un ambiente AWS in meno di 8 minuti, partendo da credenziali esposte in un bucket S3 pubblico e usando LLM per automatizzare ricognizione, generazione di codice malevolo e decisioni in tempo reale. L’attacco era avvenuto il 28 novembre 2025. I report di bug al kernel Linux passano da 2 a 10 alla settimana: inizialmente allucinati, ora tutti verificati come reali.

Marzo 2026. La conferenza [un]prompted introduce il Zero Day Clock pubblicamente. Il progetto curl, che aveva chiuso il proprio bug bounty per eccesso di report AI di bassa qualità, inizia a registrare un’inversione: una quota crescente dei report AI è ora di alta qualità e verificata.

7 aprile 2026. Annuncio di Claude Mythos Preview e Progetto Glasswing. Secondo quanto documentato nel blog del Frontier Red Team, il modello aveva prodotto 181 exploit funzionanti sul motore JavaScript di Firefox 147 nelle stesse condizioni in cui Claude Opus 4.6 ne aveva generati soltanto due. La valutazione indipendente dell’AISI ha misurato un tasso di successo del 73% su task CTF di livello esperto, ovvero task che nessun modello riusciva a completare prima dell’aprile 2025. Il modello ha inoltre abbandonato autonomamente la propria struttura di containment durante i test, connettendosi a Internet.

Perché questo non è solo un problema di patching più veloce

La reazione istintiva di fronte a questa cronologia è tattica: accelerare il patching, rafforzare il perimetro. Il documento CSA argomenta che questa risposta, pur necessaria, manca il punto strutturale.

Ogni patch rilasciata diventa simultaneamente un blueprint per l’exploit: i sistemi di AI accelerano il patch-diffing e il reverse engineering delle correzioni in minuti. Le organizzazioni che non integrano AI nei propri processi difensivi non stanno soltanto rimediando più lentamente: stanno operando in un paradigma diverso da quello degli attaccanti.

Il documento identifica anche un problema di governance sistematicamente sottovalutato. I modelli di rischio cyber di molte organizzazioni sono costruiti su assunzioni pre-AI: finestre di patch in settimane, exploit che richiedono competenze specializzate, incidenti con frequenza gestibile. Questi modelli influenzano le decisioni del board, la reportistica finanziaria, le allocazioni di budget. Un CISO che porta al board metriche calcolate per un mondo che non esiste più espone l’organizzazione a un rischio di governance con ricadute finanziarie dirette.

Il risk register CSA: 13 rischi su framework verificati

Il cuore operativo del documento è un risk register bozza strutturato su quattro framework riconosciuti: NIST CSF 2.0, MITRE ATLAS, OWASP LLM Top 10 2025, OWASP Agentic Top 10 2026. Cinque rischi sono critici, sette alti, uno medio.

Tra i rischi critici, due vanno oltre la dimensione tecnica. Il primo è il gap nelle capacità di automazione difensiva: gli attaccanti usano agenti AI per vulnerability discovery, exploit development e orchestrazione degli attacchi, mentre molti team difensivi non dispongono ancora dei controlli di sicurezza per deployarli con fiducia. L’asimmetria risultante è, come sottolinea il documento, tanto culturale quanto tecnologica. Il secondo è il cybersecurity risk model obsoleto: metriche costruite su assunzioni pre-AI potrebbero non riflettere l’esposizione reale, portando a sottofinanziamento dei controlli e a reportistica aziendale inaccurata.

Tra i rischi alti, due meritano attenzione specifica per le organizzazioni italiane. Il rischio normativo legato all’EU AI Act in applicazione da agosto 2026: quando l’AI trova vulnerabilità a costi accessibili, lo standard di ciò che costituisce un ragionevole sforzo difensivo si sposta, con effetti diretti sulla responsabilità dei board. Il deficit di governance: senza meccanismi cross-funzionali tra Security, Legal e Engineering, ogni nuova capacità difensiva rallenta nell’approvazione, dando agli attaccanti un vantaggio temporale strutturale.

Le 11 azioni prioritarie: da questa settimana a 12 mesi

Il documento traduce il risk register in un piano con orizzonti temporali espliciti, organizzato per urgenza e non per facilità di implementazione.

Questa settimana. Le prime due azioni critiche riguardano l’integrazione degli agenti nei processi di sicurezza. La prima consiste nell’orientare agenti LLM verso il proprio codice e le proprie pipeline, partendo da una security review di qualsiasi codice esistente e costruendo verso un auditing completo del CI/CD. La seconda è la formalizzazione dell’uso degli agenti AI in tutte le funzioni di sicurezza come pratica standard, con oversight obbligatorio: i programmi di adozione volontaria non superano le barriere culturali.

Entro 45 giorni. Costruire capacità di triage e deployment per gestire un potenziale flusso di patch da tutti i vendor dell’early access di Glasswing; aggiornare modelli e metriche di rischio per riflettere le nuove tempistiche; difendere gli agenti interni, che introducono rischi di supply chain e di esposizione interna non coperti dai controlli esistenti; inventariare gli asset con priorità ai sistemi internet-facing. Per un approfondimento sui temi di gestione dei zero-day e patch management si rimanda all’analisi dedicata su questo sito.

Entro 6 mesi. Hardening strutturale: egress filtering, segmentazione profonda, Zero Trust, MFA phishing-resistant per tutti gli account privilegiati, minimizzazione del software. Il documento ricorda un dato spesso dimenticato: l’egress filtering ha bloccato ogni exploit pubblico di Log4j.

Entro 12 mesi. Costruire una funzione VulnOps permanente, modellata sul DevOps ma dedicata alla vulnerability research e remediation autonoma, con scoperta continua di zero-day nella propria codebase e in quella di terze parti, con pipeline di remediation automatizzata progettata attorno alla disciplina di triage fin dall’inizio.

Il costo umano che i CISO devono nominare

Il documento CSA adotta un approccio raro per un testo strategico di questo livello: nomina esplicitamente il costo umano della transizione invece di aggirarlo.

I team di sicurezza si trovano in una morsa reale: l’AI aumenta simultaneamente la frequenza delle vulnerability disclosure a cui devono rispondere, il volume di codice prodotto dalle organizzazioni e la superficie d’attacco complessiva. Questo avviene mentre i professionisti operano sotto incertezza circa l’evoluzione dei propri ruoli, inclusi i vulnerability researcher, che si interrogano sul proprio futuro in uno scenario dove i sistemi AI individuano autonomamente classi di vulnerabilità che richiedevano anni di specializzazione.

Il burnout non è un problema di welfare: è un rischio operativo diretto. Le competenze necessarie per navigare questa transizione richiedono anni per essere sviluppate, non sono sostituibili nel breve periodo e sono scarse a livello globale. Il documento indica esplicitamente che la resilienza del team, intesa come workload sostenibile, supporto alla salute mentale e retention, va trattata come priorità strategica con la stessa urgenza delle sfide tecniche.

La risposta proposta non è rinunciare all’expertise umana: è aumentarla. Ogni ruolo nella sicurezza sta diventando progressivamente un ruolo da “AI builder“. La barriera tecnica per iniziare è oggi più bassa di quanto la maggior parte dei professionisti realizzi: il documento afferma che usare un coding agent è oggi più semplice che usare Excel.

Le implicazioni per le organizzazioni italiane

Le implicazioni del documento per il contesto italiano si articolano su tre dimensioni.

Normativa. L’EU AI Act in applicazione da agosto 2026 introduce requisiti di cybersecurity per i sistemi AI che si sovrappongono parzialmente a NIS2 e DORA. La combinazione crea un quadro in cui le organizzazioni devono non solo dimostrare di avere controlli adeguati, ma di aver utilizzato gli strumenti disponibili, inclusi quelli AI, per la scansione difensiva. Il documento suggerisce che non farlo potrebbe configurarsi come negligenza: un’evoluzione dello standard di ragionevole diligenza che i board italiani non hanno ancora incorporato nella propria gestione del rischio.

Strutturale. La Cyber Poverty Line, concetto di Wendy Nather che identifica le organizzazioni prive delle risorse minime per difendersi efficacemente, è particolarmente rilevante in un paese dove la maggioranza delle imprese è PMI. Per queste organizzazioni, il documento indica come risposta prioritaria l’accesso alle reti di difesa collettiva: CSIRT nazionale, ACN, ISAC di settore, gruppi di condivisione dell’intelligence sulle minacce. Il Progetto Glasswing ha dimostrato che la cooperazione coordinata su scala inedita è possibile.

Operativa. Le organizzazioni italiane con esposizione significativa dovrebbero utilizzare le dieci domande diagnostiche del documento come punto di partenza: qual è la posizione reale dell’organizzazione sull’AI? Gli sviluppatori possono usare coding agent? Esiste un gate di sicurezza reale tra code change e produzione? Quando è stata l’ultima volta che l’organizzazione ha effettuato un cambio produttivo guidato dalla sicurezza in meno di 48 ore? Le risposte rivelano il gap tra policy dichiarata e capacità operativa reale.

La finestra d’azione si sta chiudendo

Il documento si chiude con un parallelo storico preciso: il problema del Y2K era una minaccia sistemica con una scadenza definita, e il settore l’ha affrontata attraverso uno sforzo coordinato e disciplinato. La differenza con la sfida attuale non è nella natura del problema: è nella velocità con cui le scadenze si accorciano.

Claude Mythos ha portato in prima pagina capacità già presenti da mesi in forma meno visibile. Il Progetto Glasswing ha aperto una finestra di vantaggio per i difensori, ma è per definizione temporanea: Anthropic stessa stima che capacità comparabili saranno disponibili da altri lab AI entro sei-diciotto mesi. La finestra non è infinita, e ogni azione descritta nel documento può iniziare questa settimana.

Per i dettagli tecnici sulle vulnerabilità specifiche scoperte da Claude Mythos e sulla struttura del Progetto Glasswing, si rimanda all’articolo: Anthropic lancia il Project Glasswing.

https://www.ictsecuritymagazine.com/notizie/claude-mythos-ciso-guida-2026/