L’allarme di Five Eyes sulla minaccia dell’IA per aziende e governi: “Non è questione di anni, ma di mesi”

"Se da un lato l'intelligenza artificiale ci aiuterà a migliorare la difesa informatica nel tempo, dall'altro accelera anche la velocità, la portata e la sofisticatezza delle minacce informatiche". Inizia così l'appello lanciato da Five Eyes, l'alleanza di intelligence che riunisce i servizi di Australia, Stati Uniti, Regno Unito, Canada e Nuova Zelanda. In una rara dichiarazione congiunta le agenzie hanno chiesto ai governi e alle grandi aziende di prepararsi a un mondo in cui l'IA potrebbe diventare un'arma formidabile nelle mani di hacker e cyber criminali.

Nata nel secondo dopoguerra come collaborazione tra servizi di intelligence dei cinque Paesi anglofoni, l'organizzazione dei Five Eyes ("i cinque occhi") è diventata nel tempo uno dei principali sistemi di cooperazione internazionale per la condivisione di informazioni su minacce globali, terrorismo, cyber sicurezza e sicurezza nazionale. Ora la sua attenzione è tutta sullo sviluppo dei nuovi modelli di IA che, come ha dimostrato il recente caso di Clade Mythos, rischiano di essere troppo potenti, tanto da trascinare il pianeta verso uno scenario in cui nessun sistema informatico, nemmeno il più prezioso e protetto, sarà più al sicuro. Un punto di non ritorno che, secondo Five Eyes, è sempre più vicino: "La tempistica non è di anni, ma di mesi".

I timori dell'intelligence: "L'urgenza è evidente"

Five Eyes non è solito a diramare comunicazioni collegiali e già questo è un evidente segnale dell'importanza del momento. La grande paura è che nuovi modelli di IA generativa possano abbattere ogni barriera per i criminali informatici, permettendo di individuare vulnerabilità nei sistemi, sviluppare attacchi più rapidamente e aumentare la complessità delle loro operazioni illecite. È lo stesso timore che, due settimane fa, ha spinto il governo statunitense a imporre ad Anthropic lo stop a Fable 5, il primo modello della famiglia Mythos che l'azienda guidata da Dario Amodei aveva reso disponibile al pubblico pochi giorni prima.

La medesima tecnologia può però diventare uno strumento decisivo per chi deve proteggere reti e infrastrutture. L'IA è in grado di aiutare a identificare falle nascoste – come già accaduto per il sistema bancario americano – analizzare le eventuali anomalie e accelerare la risposta a bug ed emergenze. Spetta dunque alle aziende protagoniste del settore e agli stessi governi vigilare attentamente per evitare derive catastrofiche.

"Il rischio informatico non può più essere considerato una questione puramente tecnica. È un rischio aziendale fondamentale e una responsabilità della leadership", affermano le agenzie. "I consigli di amministrazione e i dirigenti devono garantire che la resilienza informatica sia presente e funzioni sotto pressione. Non basta avere dei controlli. I leader devono essere certi che tali controlli funzioneranno durante un incidente reale".

Il richiamo alle responsabilità per limitare il pericolo

Alla luce di tali problematiche, i Five Eyes hanno sottolineato il ruolo centrale delle Big tech e delle istituzioni nel processo di controllo e previsione di qualsiasi criticità. Il comunicato ha invitato in particolare i responsabili delle aziende ad agire su alcuni principi fondamentali: adoperarsi per comprendere i possibili rischi, rafforzare le pratiche di sicurezza di base, assegnare ai responsabili della cybersicurezza poteri e risorse adeguate e mantenere un monitoraggio costante dell'evoluzione delle minacce.

Tra le raccomandazioni pratiche ci sono poi la riduzione della superficie di attacco (limitando gli accessi non necessari ai sistemi), l'accelerazione degli aggiornamenti di sicurezza (perché l'IA riduce il tempo tra la scoperta di una vulnerabilità e il suo possibile sfruttamento) e la gestione dei sistemi informatici obsoleti, considerati "non solo un debito tecnico, ma una responsabilità strategica".