Qual è il principale timore riguardo ai programmi di accesso affidabile proposti da OpenAI e altre aziende tecnologiche nel contesto della sicurezza informatica?

Il timore principale è che la 'fiducia', in questo contesto, diventi una merce scambiata con i dati comportamentali degli utenti, creando un sistema in cui l'accesso e la sicurezza sono determinati da algoritmi proprietari, potenzialmente escludendo individui o gruppi e centralizzando eccessivo potere nelle mani delle Big Tech.

Come la minaccia interna influisce sull'adozione di sistemi di sorveglianza e accesso affidabile nelle aziende?

La percezione della minaccia interna, ovvero il rischio che dipendenti scontenti o distratti possano compromettere la sicurezza aziendale, viene utilizzata come giustificazione per implementare sistemi di monitoraggio del comportamento. Questo solleva preoccupazioni sulla privacy e sul controllo sociale aziendale.

In che modo le normative governative, come la direttiva NIS2 e gli ordini esecutivi negli Stati Uniti, influenzano l'adozione di architetture Zero Trust e sistemi di accesso affidabile?

Le normative governative che impongono standard di sicurezza più elevati spingono le aziende ad adottare architetture Zero Trust e sistemi di accesso affidabile. Anche se questi sistemi mirano a proteggere le infrastrutture critiche, sollevano preoccupazioni sulla privacy dei lavoratori e sulla possibilità di un monitoraggio indiscriminato.

Quali sono i rischi associati all'uso dell'intelligenza artificiale per determinare l'affidabilità e l'accesso?

I rischi includono la possibilità di errori da parte dell'IA, la creazione di liste nere automatizzate gestite da sistemi proprietari e la concentrazione di un potere eccessivo nelle mani delle aziende che controllano questi sistemi. C'è anche il rischio che gli strumenti di sicurezza vengano usati per scopi impropri, come identificare sindacalisti o dipendenti non allineati.

Qual è il paradosso del ruolo di fornitore e controllore assunto dalle aziende tecnologiche?

Le aziende tecnologiche vendono sia gli strumenti di produttività che raccolgono i dati, sia gli strumenti di sicurezza che analizzano quegli stessi dati per proteggere dai rischi creati dalla complessità dei loro ecosistemi. Questo crea un modello di business circolare in cui le aziende creano il problema (la complessità e la vulnerabilità) e poi vendono la soluzione (gli strumenti di sicurezza).

Intelligenza Artificiale 2 months ago

Il Dilemma della Fiducia Digitale: OpenAI, Sorveglianza e il Futuro della Sicurezza Informatica

La Silicon Valley ridefinisce il concetto di fiducia nel 2026, trasformando la sicurezza in un’arma a doppio taglio dove la privacy è il prezzo da pagare

Mentre smaltiamo i postumi dei festeggiamenti per l’inizio del 2026, tra un proposito di disintossicazione digitale e l’altro, la Silicon Valley non perde tempo.

C’è una certa ironia nel fatto che, proprio mentre noi cerchiamo di riappropriarci della nostra privacy, i giganti della tecnologia stiano pianificando nuovi modi per ridefinire il concetto stesso di “fiducia”.

E, come spesso accade quando si parla di Big Tech, la “fiducia” è una merce che si acquista al prezzo dei nostri dati comportamentali.

Al centro della scena c’è, manco a dirlo, OpenAI. In un panorama dove l’intelligenza artificiale è passata dall’essere un assistente curioso a un potenziale vettore di attacco onnipresente, Sam Altman ha deciso di lanciare il sasso nello stagno.

Con un tempismo che definirei chirurgico, il CEO di OpenAI ha dichiarato l’intenzione di avviare programmi di accesso affidabile per la sicurezza informatica difensiva, suggerendo che il futuro della protezione digitale non sarà per tutti, ma per pochi eletti “fidati”.

La frase suona innocua, quasi rassicurante.

Chi non vorrebbe una sicurezza “affidabile”?

Ma se grattiamo via la patina di marketing luccicante, ci troviamo di fronte all’ennesima applicazione del principio Zero Trust (nessuna fiducia, verifica continua), potenziato però dagli steroidi dell’IA. Il problema non è la tecnologia in sé, ma chi ne detiene le chiavi e, soprattutto, chi decide chi è dentro e chi è fuori.

Stiamo iniziando a esplorare programmi di accesso affidabile (trusted-access) per il lavoro di sicurezza informatica difensiva.

— Sam Altman, CEO di OpenAI

L’annuncio non arriva nel vuoto. Arriva in un momento in cui le aziende sono terrorizzate. Non solo dagli hacker incappucciati nei seminterrati di qualche stato canaglia, ma dai propri dipendenti.

Il paradosso del guardiano

Qui entra in gioco la narrazione perfetta per vendere sorveglianza interna: la minaccia dell’insider. Per anni ci hanno detto che il pericolo veniva da fuori, dal perimetro della rete. Ora che il perimetro è evaporato con il lavoro ibrido e il cloud, il nemico è tra noi.

O meglio, il nemico siamo noi, se l’algoritmo decide che ci stiamo comportando in modo strano.

Le aziende di sicurezza stanno spingendo forte su questo tasto. L’idea è che un dipendente scontento, o semplicemente distratto, possa fare più danni di un ransomware. Ed è vero, tecnicamente.

Ma la soluzione proposta è inquietante: monitorare non solo l’accesso, ma il comportamento. E chi meglio dell’IA può analizzare terabyte di log per capire se il modo in cui muovete il mouse indica che state per rubare proprietà intellettuale?

Esperti del settore come Pete Luban di AttackIQ sottolineano come un insider malintenzionato rappresenti un rischio significativo per la sicurezza informatica, capace di esfiltrare dati confidenziali bypassando le difese tradizionali.

È la giustificazione perfetta. Per proteggerti, devo conoscerti. Intimamente.

Devo sapere a che ora ti colleghi, quali file apri, con chi parli e se il tuo schema di digitazione è “normale”. Se non lo è, il “trusted access” viene revocato.

Un insider malintenzionato rappresenta un rischio significativo per la sicurezza informatica, in quanto tali individui possono rubare proprietà intellettuale ed esfiltrare dati confidenziali…

— Pete Luban, Field CISO presso AttackIQ

Il conflitto di interesse qui è grande come un data center. Le stesse aziende che ci vendono gli strumenti di produttività (che raccolgono dati) ora ci vendono gli strumenti di sicurezza (che analizzano quei dati) per proteggerci dai rischi creati dalla complessità dei loro stessi ecosistemi.

È un modello di business circolare geniale: creano il labirinto, inseriscono il Minotauro e poi ci affittano il filo di Arianna a canone mensile.

Ma c’è un altro livello di complessità, ed è quello normativo.

Sorveglianza spacciata per sicurezza

Non possiamo incolpare solo le aziende. I governi, nel loro goffo tentativo di blindare le infrastrutture critiche, hanno fornito l’assist perfetto.

Regolamenti come la direttiva NIS2 in Europa o gli ordini esecutivi negli Stati Uniti hanno imposto standard di sicurezza che, di fatto, rendono obbligatoria l’adozione di architetture Zero Trust.

L’amministrazione USA, ad esempio, ha stabilito scadenze ferree, imponendo alle agenzie federali di rivedere i contratti esistenti per gli aggiornamenti di sicurezza entro 60 giorni. Questa fretta normativa si traduce in una manna dal cielo per i fornitori di tecnologia.

“Non è colpa nostra se dobbiamo installare sonde ovunque”, diranno i CTO delle grandi aziende, “ce lo chiede la legge”.

E qui casca l’asino, o meglio, la privacy. In Europa, il GDPR dovrebbe teoricamente proteggerci da un monitoraggio indiscriminato dei lavoratori. Ma se tale monitoraggio viene etichettato come “difesa proattiva della sicurezza nazionale” o “protezione degli asset critici”, i confini diventano molto, molto sfumati.

L’approccio “trusted-access” di cui parla Altman e che permea il settore nel 2026 non si basa più su password o token fisici. Si basa sull’identità comportamentale. Significa che per lavorare, dovete essere costantemente “verificati”.

La presunzione di innocenza digitale non esiste: siete tutti potenziali minacce fino a prova contraria, una prova che deve essere fornita millisecondo per millisecondo dai vostri dispositivi.

Chi controlla i controllori?

La domanda che nessuno sembra voler fare ad alta voce è: cosa succede quando l’IA sbaglia?

Se un algoritmo di “sicurezza difensiva” decide che il mio accesso non è più “trusted” perché ho lavorato a orari insoliti o ho avuto accesso a file che non aprivo da mesi, chi mi ridà la mia reputazione digitale?

Siamo di fronte alla creazione di liste nere automatizzate, gestite da scatole nere proprietarie. Se OpenAI o Microsoft o Google diventano i garanti dell’accesso affidabile, accumulano un potere che va ben oltre il semplice fornitore di servizi. Diventano i giudici della nostra affidabilità professionale.

Inoltre, c’è il rischio, mai sopito, che questi strumenti di “difesa” vengano usati per scopi meno nobili. Identificare i leaker, certo, ma anche i sindacalisti, i dissidenti interni, o semplicemente i dipendenti “non allineati” alla cultura aziendale.

La linea tra rilevamento delle minacce e controllo sociale aziendale è sottile come un capello.

Mentre ci avviamo verso un 2026 iper-connesso e iper-protetto, dovremmo chiederci se il prezzo di questa sicurezza non sia troppo alto.

Le Big Tech ci promettono un castello inespugnabile, protetto da mura altissime e fossati profondi. Il problema è che, una volta alzato il ponte levatoio, siamo chiusi dentro con loro.

E non è detto che la chiave per uscire sia ancora nelle nostre tasche.

Siamo sicuri che per tenere fuori i cattivi, dobbiamo trasformare ogni ufficio, ogni laptop e ogni smartphone in una cella di sorveglianza panoptica?

Scritto da Giulia Bianchi

Giornalista investigativa specializzata in privacy, sicurezza digitale e regolamentazione tech. Scettica per natura, crede nel giornalismo che fa domande scomode.

L’India è il nuovo campo di battaglia dell’IA, e i giganti tech americani stanno scaricando miliardi per conquistarla

Mentre tutti inseguono i giganti, NVIDIA scommette sui modelli piccoli: Nemotron 3 Nano arriva su Amazon Bedrock

Amazon dichiara guerra ai 12 minuti di noia: così Fire TV e il nuovo Ember Artline vogliono cambiare le nostre serate

Il paradosso Amazon: vetrina chiusa, pubblicità a pagamento

Categories

Pages

Newsletter

Non perdere nemmeno un articolo.

Il Dilemma della Fiducia Digitale: OpenAI, Sorveglianza e il Futuro della Sicurezza Informatica