“La fiducia è il vantaggio dell’Europa”: Kim Nguyen (Bundesdruckerei) sull’IA e la sicurezza informatica.

A partire da agosto 2025 entreranno in vigore le prime disposizioni dell’EU AI Act. Per aziende e autorità pubbliche inizia una nuova fase, in cui l’uso dell’intelligenza artificiale dovrà avvenire con maggiore responsabilità. L’AI Act dell’UE non richiede solo adeguamenti tecnici, ma un nuovo approccio: in futuro l’IA dovrà essere valutata in base al rischio e al contesto d’uso, soprattutto con dati sensibili o personali.

Per le organizzazioni questo significa analizzare a fondo l’ecosistema dei propri sistemi di IA, individuare i rischi già in fase iniziale e affrontarli in modo mirato. Trasparenza dei dati, modelli comprensibili e supervisione umana non sono più un’opzione, ma un obbligo. Allo stesso tempo, l’AI Act fornisce un quadro utile per rafforzare la fiducia e garantire un uso sicuro e responsabile dell’intelligenza artificiale. Ne fanno parte anche la gestione delle vulnerabilità e la sicurezza informatica.

Intervista agli esperti: cybersecurity e intelligenza artificiale

Abbiamo intervistato Kim Nguyen, Senior Vice President Innovation della Bundesdruckerei (la tipografia statale tedesca responsabile di documenti ufficiali e servizi di sicurezza digitale). Con lui, storico volto dei Trusted Services, parliamo di IA, di regolamentazione e delle implicazioni per la sicurezza informatica. Anche Elmar Geese, CMO di Greenbone, parla della sua prospettiva sul futuro del vulnerability management.

Greenbone: Kim, il tema dell’IA e della sicurezza informatica è al centro del dibattito pubblico, come dimostra la recente conferenza di Potsdam sulla sicurezza informatica . E tu sei uno dei protagonisti di questa discussione.

Nguyen: Sì, l’intelligenza artificiale è decisamente un tema a cui tengo, come dimostrano le mie pubblicazioni e i miei keynote, anche se la mia prospettiva è un po’ diversa da quella della massa. Punto centrale del mio approccio è il tema della fiducia, che si declina in più dimensioni, una delle quali è la protezione degli utenti: il sistema deve essere sicuro, funzionare a loro vantaggio e non perseguire obiettivi nascosti.

Greenbone: Secondo te l’intelligenza artificiale renderà la sicurezza informatica più solid a come rischio sia come opportunità. Da un lato, amplifica i vettori di attacco, permettendo ai criminali informatici di operare in modo più rapido, automatizzato e mirato. Dall’altro, può rafforzare le difese, ad esempio analizzando in tempo reale dati provenienti da diverse fonti per individuare automaticamente gli incidenti di sicurezza e reagire tempestivamente.

Caccia al topo

Chi vuole restare al passo nella continua sfida tra attaccanti e difensori deve puntare sull’IA, soprattutto per la protezione. La regolamentazione statale è fondamentale, perché senza leggi e specifiche tecniche adeguate, nessuno può distinguere ciò che è permesso e affidabile da ciò che non lo è.

Inoltre, il legislatore deve intervenire attivamente in questo contesto tecnico in rapida evoluzione per garantire chiarezza normativa. Trovare il giusto equilibrio, lasciando allo stesso tempo spazio all’innovazione affinché l’intelligenza artificiale possa agire come vero motore di progresso, non è semplice, ma è di fondamentale importanza.

Greenbone: Secondo te, quali sono le domande e le normative più rilevanti dell’EU AI Act e dei regolamenti che le aziende devono affrontare? Cosa ci attende nei prossimi anni e come si prepara una grande istituzione come la Bundesdruckerei?

Nguyen: Con l’AI Act, le aziende devono classificare i loro sistemi di IA in base al rischio e rispettare diversi requisiti di trasparenza, qualità dei dati, governance e sicurezza, soprattutto per le applicazioni ad alto rischio.

Tuttavia, non si tratta solo di garantire la compliance: il quadro normativo può diventare una leva strategica per innovazione affidabile e competitività sostenibile. Non basta concentrarsi su un singolo modello di IA: Importantissimi sono anche l’integrazione, l’addestramento del modello e la formazione degli utenti. È necessario definire ampi limiti di sicurezza per far sì che il sistema non sia in grado di compiere operazioni non autorizzate.

Tracciabilità, robustezza e trasparenza: i pilastri dei processi consolidati

La Bundesdruckerei, in quanto azienda tecnologica del governo, opera da anni nel settore dell’alta sicurezza. Grazie a processi e strutture consolidati, mettiamo al primo posto tracciabilità, robustezza e trasparenza, garantendo così fiducia nelle soluzioni di intelligenza artificiale per l’amministrazione. Il nostro centro di competenza sull’intelligenza artificiale sostiene le agenzie federali e i ministeri nello sviluppo di applicazioni IA. Con il Ministero degli Affari Esteri abbiamo creato la piattaforma PLAIN, che offre un’infrastruttura comune per dati e applicazioni AI, mentre con Assistent.iQ abbiamo sviluppato un assistente AI conforme ai requisiti di sicurezza dei dati, di tracciabilità e flessibilità.

Greenbone: L’open source rappresenta un criterio minimo di fiducia per software, IT e cybersecurity. Ma è possibile applicarlo anche all’intelligenza artificiale? Se sì, in che misura?

Nguyen: L’open source è fondamentale anche per l’IA, perché crea fiducia grazie all’esame di codici e modelli. I risultati devono poter essere verificati con precisione, e per questo è essenziale una community attiva che si prenda cura del progetto in modo costante.

Spesso l’approccio open source di molti progetti è ambizioso e lodevole, ma alcuni di questi non sono mantenuti nel tempo o si interrompono del tutto. Per questo è importante fare attenzione: quando c’è l’IA di mezzo non tutte le open source sono uguali. Anche se gli sviluppatori pubblicano i loro modelli con licenza open source, questo non significa che l’IA sia realmente aperta e verificabile.

Da un lato, contano i valori numerici, i cosiddetti pesi del modello AI, che determinano come il sistema elabora gli input e prende decisioni. Dall’altro, sono fondamentali anche i dati di addestramento, spesso non condivisi con clienti e utenti. Solo con queste informazioni è possibile valutare davvero quanto un modello open source sia comprensibile, affidabile e riproducibile. Solo se tutte le informazioni sui diversi modelli sono disponibili liberamente, si possono sviluppare idee sostenibili e generare innovazioni.

Greenbone: Cosa manca per poter usare l’IA in modo sicuro? Cosa deve cambiare?

Nguyen: Per poter usare l’intelligenza artificiale in modo sicuro non basta l’eccellenza tecnica: serve anche una mentalità adeguata nello sviluppo, nella governance e nella responsabilità. In pratica, la sicurezza va considerata fin dall’inizio secondo il principio del “Security by Design”: gli sviluppatori devono valutare sistematicamente i possibili rischi e integrarli tempestivamente nella progettazione e nell’architettura del modello.

Ugualmente importante è la trasparenza oltre i confini dei sistemi di IA: i modelli linguistici sono affidabili solo in determinati contesti. Al di fuori di questi domini, possono produrre risultati plausibili ma potenzialmente errati. Per questo, gli sviluppatori dovrebbero indicare chiaramente dove il modello è affidabile e dove no.

Mindset, contesto e copyright

Inoltre, per evitare problemi di fiducia e conformità, non si possono trascurare i diritti d’autore sui dati di allenamento. Servono anche dati di test chiari, un’infrastruttura di valutazione adeguata e controlli continui su bias ed equità.

Un equilibrio tra regolamentazione legale, impegno tecnico e governance reattiva è la chiave per un’IA che tutela i valori democratici e garantisce responsabilità tecnologica.

Greenbone: Secondo lei, l’UE può avere un vantaggio competitivo in questo ambito?

Nguyen: Sì, l’UE ha un reale vantaggio nella competizione globale sull’IA, e questo si basa sulla fiducia. Altre regioni puntano soprattutto alla velocità e al dominio di mercato, spesso scaricando gran parte della responsabilità sui rischi sociali, come avvenuto recentemente negli Stati Uniti. Al contrario, con l’AI Act l’Europa propone un modello esemplare basato sulla sicurezza, sulla protezione dei dati e sullo sviluppo incentrato sull’uomo.

Proprio perché l’intelligenza artificiale sta penetrando sempre più in aree sensibili della vita, la protezione dei dati personali e l’affermazione dei valori democratici stanno diventando sempre più importanti. Con la sua struttura di governance, l’UE crea standard vincolanti che guidano molti paesi e aziende in tutto il mondo. Questo focus sui valori ripagherà a lungo termine l’Europa per l’esportazione di tecnologie e il rafforzamento della fiducia della società nella democrazia e nei sistemi digitali locali.

L’Europa guida lo sviluppo di un’IA in cui l’umano è il fulcro. La regolamentazione, però, non deve ostacolare l’innovazione: fiducia e sicurezza devono andare di pari passo con investimenti, apertura tecnologica e rapidità di implementazione. Così l’Europa può definire standard propri e costruire una solida identità competitiva nell’IA.

IA e gestione delle vulnerabilità: il punto di vista di Elmar Geese, CEO di Greenbone

Greenbone: l’intelligenza artificiale è sulla bocca di tutti, quali cambiamenti porta per la gestione delle vulnerabilità?

Geese: Penso che l’IA ci aiuterà molto, ma che non può sostituire la gestione delle vulnerabilità. Ad esempio, l’intelligenza artificiale può svolgere compiti di routine che richiedono molto tempo, come l’analisi di grandi quantità di dati, il riconoscimento di modelli e suggerimenti per la definizione delle priorità. Tuttavia, sono i responsabili della sicurezza a prendere sempre le decisioni finali e ad avere il pieno controllo, soprattutto in casi complessi o critici in cui la comprensione del contesto umano è indispensabile.

L’uso mirato e pianificato dell’IA nella gestione delle vulnerabilità porta numerosi vantaggi, senza compromettere il controllo. Già oggi impieghiamo l’intelligenza artificiale per fornire ai clienti un prodotto migliore, senza che i loro dati vengano condivisi con i grandi fornitori di servizi IA. La nostra “IA affidabile” funziona completamente senza trasmissione o raccolta centralizzata dei dati.

Greenbone: quali sono i principali rischi da tenere sotto controllo?

Geese: Al momento, l’uso dell’IA in aree critiche per la sicurezza comporta rischi che devono essere gestiti con attenzione. L’automazione offre grandi opportunità, ma può anche generare decisioni errate, nuove superfici di attacco o effetti indesiderati. Un’IA “percettiva” combina punti di forza umani e meccanici, sfruttando vantaggi come velocità e scalabilità senza togliere potere al personale specializzato né compromettere la sicurezza.

Greenbone e l’intelligenza artificiale

Greenbone utilizza l’IA in modo mirato per individuare efficacemente i punti deboli nel settore IT e supportare le priorità di sicurezza. Il team rimane sempre responsabile e mantiene il controllo, soprattutto nelle decisioni complesse o sensibili. La protezione dei dati resta la nostra massima priorità: i dati dei clienti non vengono condivisi con fornitori esterni di IA.

Il nostro approccio unisce i vantaggi delle tecnologie moderne al giudizio umano, garantendo una sicurezza informatica efficace e responsabile.

Desideri maggiori informazioni? Siamo a tua disposizione.