Il Governatore della Banca d’Italia avverte che i modelli avanzati di intelligenza artificiale possono individuare vulnerabilità “con rapidità e profondità senza precedenti”. Una capacità utile per correggere le debolezze, ma che può rafforzare anche l’azione dei criminali informatici.

“Nelle ultime settimane sono emerse notizie su modelli avanzati di intelligenza artificiale in grado di individuare vulnerabilità nei sistemi informatici con rapidità e profondità senza precedenti. Questa capacità può accelerare la correzione delle debolezze, ma anche rafforzare l’azione dei criminali informatici, soprattutto quando i presidi adottati dagli intermediari sono inadeguati”.

È uno dei passaggi più significativi del discorso di Fabio Panetta, Governatore della Banca d’Italia, nella durante la sua relazione annuale.

Al centro dell’attenzione dei supervisori c’è in particolare Mythos, sviluppato dalla società americana Anthropic. Il sistema è stato progettato per individuare vulnerabilità nei codici informatici e rafforzare le difese contro gli attacchi cyber. Tuttavia, proprio le sue avanzate capacità di analisi hanno acceso il dibattito tra gli esperti di sicurezza.

Secondo Panetta “I nuovi modelli AI possono essere usati per individuare vulnerabilità, analizzare sistemi, accelerare le attività di correzione e migliorare la postura difensiva. Ma la stessa velocità può essere sfruttata anche dai criminali informatici, soprattutto contro organizzazioni che non dispongono di presidi adeguati, processi maturi e capacità di risposta tempestiva”.

Bankitalia in contatto con le aziende globali dell’AI

Panetta ha spiegato che la Banca d’Italia si sta già muovendo per preparare un uso difensivo dei nuovi modelli di intelligenza artificiale.

“La Banca d’Italia ha stabilito contatti con le principali aziende globali del settore, con l’obiettivo di preparare un utilizzo appropriato dei nuovi modelli di intelligenza artificiale, una volta che saranno resi accessibili al pubblico, a difesa dei propri sistemi informatici e di quelli degli intermediari”.

Il passaggio è rilevante perché mostra che il tema dell’AI cyber non viene più trattato come uno scenario futuro, ma come una priorità già operativa. La Banca d’Italia si prepara a utilizzare questi strumenti per proteggere i propri sistemi e quelli degli intermediari vigilati, in una fase in cui la disponibilità pubblica di modelli sempre più avanzati potrebbe cambiare rapidamente il livello della minaccia.

Panetta ha aggiunto che, sugli stessi temi, “nei giorni scorsi abbiamo avviato discussioni con le autorità nazionali, gli operatori finanziari e i loro fornitori di servizi informatici”.

Incidenti cyber in aumento per gli intermediari italiani

Il richiamo del Governatore arriva in un contesto già segnato da una crescita degli incidenti informatici nel settore finanziario. Panetta ha ricordato che “nel periodo 2023-25 gli incidenti che hanno coinvolto intermediari italiani sono aumentati dell’80% rispetto al triennio precedente; quelli di natura cibernetica sono raddoppiati”.

Sebbene questi episodi non abbiano prodotto perdite rilevanti, il Governatore ha sottolineato che “segnalano vulnerabilità da non sottovalutare”. Anche l’attività di vigilanza ha rilevato carenze nella gestione di questi rischi.

Il problema non riguarda solo le banche in senso stretto, ma l’intero ecosistema digitale che sostiene il sistema finanziario. Panetta ha evidenziato che “il crescente ricorso a fornitori esterni amplia le vulnerabilità: catene di fornitura articolate su più livelli e concentrate in pochi operatori possono trasformare criticità circoscritte in problemi di ampia portata”.

La supply chain tecnologica diventa quindi un punto essenziale della resilienza finanziaria. Un incidente presso un fornitore, una piattaforma o un servizio IT può propagarsi rapidamente e produrre effetti su più intermediari.

DORA e resilienza operativa

Panetta ha richiamato anche il ruolo del regolamento europeo DORA, il Digital Operational Resilience Act, che punta a rafforzare la resilienza operativa e cibernetica del sistema finanziario.

“Più in generale, collaboriamo con le istituzioni europee per promuovere un’attuazione rapida e coordinata del regolamento DORA, al fine di potenziare la resilienza operativa e cibernetica del sistema finanziario”.

Il Governatore ha poi ribadito le responsabilità degli intermediari anche quando si affidano a fornitori esterni. “Agli intermediari compete assicurare la salvaguardia e la continuità dei propri sistemi, anche quando si avvalgono di fornitori esterni. Su questi ultimi ricadono analoghe responsabilità”.

La risposta non può essere solo tecnologica

Il passaggio conclusivo della riflessione di Panetta riguarda la governance. “La risposta non può essere solo tecnologica. Richiede il coinvolgimento degli organi di vertice, chiamati a definire assetti di governo e di controllo solidi, assegnare con chiarezza le responsabilità e predisporre piani di intervento tempestivi”.

Panetta ha aggiunto che, “in una fase di elevata redditività delle banche, come quella attuale, è necessario destinare risorse adeguate agli investimenti in infrastrutture e capitale umano”.

La questione centrale diventa quindi la capacità degli intermediari di investire non solo in tecnologie, ma anche in persone, processi, piani di risposta, controllo dei fornitori e cultura del rischio.

Vai al sito di Cybersecurity Italia.

L'articolo AI cyber, Panetta: “Bankitalia in contatto con le principali aziende per adottare presto i nuovi modelli” sembra essere il primo su CyberSecurity Italia.