2024 e i pericoli dell'AI: «Vero o falso? Importante, più di tutto, il senso critico»
2024. L'anno nuovo si avvicina a grandi passi. E, con esso, nuove sfide globali. Fra queste, lo sviluppo inarrestabile dell'intelligenza artificiale (AI). Uno strumento, sì, dalle infinite e utili potenzialità, ma che nelle mani sbagliate può rivelarsi pericolosa. Parliamo degli hacker e, più in generale, di tutti quei cybercriminali che, ora, possono fare affidamento sull'AI per rendere sempre più difficile rispondere in modo efficace ad attacchi e truffe digitali. Che cosa ci aspetta, da un punto di vista di sicurezza informatica, nel 2024?
Ne abbiamo parlato con Alessandro Trivilini, responsabile del servizio informatica forense SUPSI.
Occhio ai siti falsi
«È vero: l'entrata in gioco dell'intelligenza artificiale generativa multimodale – in grado quindi di generare contenuti audio, video e di testo in tempo reale e nello stesso istante – ha permesso un'accelerazione di chi usa le tecnologie digitali per delinquere», comincia Trivilini. Il 2024, dunque, «porterà a un cambio di paradigma, con difficoltà crescenti nel riconoscere il vero dal falso». Una manna, per i criminali: «Non si tratterà più, semplicemente, di utilizzare la profilazione dei dati – così come si fa con il vecchio phishing – per ingannare l'utente e portarlo a cliccare su un link malevolo. È in corso un salto di qualità dovuto all'utilizzo dell'intelligenza artificiale generativa. Questa permette alla criminalità di comportarsi esattamente come fanno Amazon e altre grandi piattaforme, cioè di utilizzare il cosiddetto customer intelligence approach per raccogliere dati sui propri "clienti", fidelizzarli, conquistarne di nuovi».
Fra i "clienti" (vittime!) di questi sofisticati gruppi criminali che utilizzano l'intelligenza artificiale generativa, infatti, ci sono spesso anche aziende. A loro, «i criminali si presentano in forma credibile grazie a una raccolta dati permessa dagli algoritmi di customer intelligence. Processi che permettono di generare contenuti multimodali efficaci». Tradotto? «Il nuovo phishing, ad esempio, potrebbe proporsi nella forma di una chiamata telefonica, ma con una voce prodotta da intelligenza artificiale generativa. Questa potrebbe invitare a verificare la credibilità reindirizzando la vittima a un sito dove tutto – loghi, banner, numeri di telefono – è riprodotto in modo da sembrare autorevole. Chi è poco preparato o consapevole delle possibilità di questi metodi di deepfake, può essere ingannato e portato a dare informazioni sensibili, versare soldi e così via. Si crea inoltre un processo continuativo che permette ai gruppi criminali più organizzati, quelli provvisti di un dipartimento di customer care, di fidelizzare il proprio "cliente" e non più ingannarlo una sola volta per poi sparire, ma di continuare a proporgli trappole in cui potrebbe cadere». L'anno che verrà, spiega Trivilini, vedrà dunque lo sviluppo di questo nuovo rapporto tra criminale e cliente. E la crescita di un sistema di pull e push (ne avevamo parlato qui) che permette ai criminali non solo di tendere trappole, ma di andare attivamente a caccia. «Esattamente come avviene con Amazon che, dal momento in cui cerco un libro online, fa di tutto per propormi libri che abbiano un'affinità con i miei interessi».
Una nuova formazione
Oggi, evidenzia l'esperto, le compagnie «si sono preparate a rispondere alle vecchie, tradizionali, trappole di phishing. Si aspettano l'email con il link sospetto. Ma questa preparazione rischia di essere obsoleta perché la minaccia è arricchita dall'intelligenza artificiale». Si pone, dunque, un problema di formazione. «Tante aziende hanno investito negli ultimi anni nella formazione contro il phishing, ma questa rischia di essere solo una "soletta" in un palazzo che cresce sempre più in piani e complessità».
Di fronte alle capacità dell'AI, in grado di produrre in tempo reale una truffa basata su testo, voce, immagini, video, bisogna cambiare passo. «Serve uno sforzo in più, avvalersi di corsi di formazione non più verticali, ma trasversali, interdisciplinari». Come?« Ad esempio imparando a capire come funziona la voce umana, o studiando quali elementi sono utili per distinguere un'immagine vera da una falsa. Non si tratta di diventare specialisti, ma di compiere un passo di "cultura generale" in un mondo in cui sarà sempre più difficile distinguere il vero dal falso, e questo a prescindere dalle truffe informatiche». Strumenti, insomma, per una nuova consapevolezza.
Attenti: elezioni e grandi eventi
Il 2024 sarà un anno importante anche e soprattutto perché scandito da un gran numero di elezioni che definiranno la politica globale dei prossimi anni. Stati Uniti, Parlamento europeo, Taiwan e non solo. Il rischio? Che l'intelligenza artificiale venga utilizzata come strumento per influenzare la base elettorale e, di conseguenza, i risultati del voto.
«Con una rapidità mai vista, l'Europa si è mossa per definire l'Artificial intelligence act, con il quale dare delle regole di utilizzo dell'intelligenza artificiale. È il frutto dell'esperienza fatta nel 2016 negli Stati Uniti con il caso di Cambridge Analytica. La politica si è resa conto che – di fronte a una tecnologia così dirompente, precisa e abile nel creare ambiguità tra il vero e il falso – era necessario muoversi velocemente, in particolare in vista di questi importanti appuntamenti elettorali».
L'obiettivo è evitare che la tecnologia AI sia utilizzata da malintenzionati. «Un processo che avrebbe un impatto estremamente negativo sul concetto di democrazia così come lo abbiamo da sempre conosciuto nell'Occidente». L'AI può infatti essere utilizzata, ad esempio, per convincere una persona. Instillare l'idea che un fatto sia realmente accaduto o meno, che una determinata affermazione sia vera o falsa. «Nella sua multimodalità, l'AI può creare fonti che confermano, a un'eventuale verifica, l'informazione, convincendo quindi la vittima. Questa, poi, può andare sui social, parlare in famiglia e agli amici e diffondere un pensiero frutto dell'inganno. È un grosso rischio, perché ciò condiziona il concetto stesso di libertà».
La legge riuscirà a limitare i danni portati da un uso improprio dell'AI? Forse a importare maggiormente è l'approccio individuale al problema. «Fondamentale, più di formazione, dimestichezza, preparazione, è l'investimento nel senso critico. C'è un concetto di responsabilità individuale che entra in gioco a tutti gli effetti. Siamo tutti chiamati a informarci su cosa sono questi strumenti – intelligenza artificiale, ChatGPT e così via – perché non rimangano parole vuote. Perché dentro vi si annidano informazioni che tutti dobbiamo avere oggigiorno. Dobbiamo arrivare a chiederci che tipo di criticità può giocare, nel distinguere il vero dal falso, la tecnologia che tutti abbiamo nello smartphone e che ci dà mille benefici. Bastano una semplice domanda e la curiosità per entrare in una dimensione di responsabilità individuale». Insomma, i pericoli dell'AI nascondono un'occasione, secondo Trivilini: «Un'occasione straordinaria, mai successa prima, di riportare il senso critico all'essere umano».
L'hacktivismo
E cosa dire dell'hacktivismo, l'attivismo hacker che – parola di Mandiant, azienda di sicurezza informatica di proprietà di Google – vedrà un «aumento dirompente» nel 2024? Una previsione verosimile? «Io penso di sì. L'AI è uno strumento che offre dei vantaggi anche a questo gruppo di persone che tende – magari con altre dinamiche e con altri fini rispetto ai criminali informatici – a raggiungere il maggior numero possibile di cittadini e a convincerli della validità di un messaggio. Lo strumento, appunto, è lo stesso e quindi anche le dinamiche che si scatenano». La speranza, evidenzia l'esperto, è che anche chi, fra gli hacktivisti, porta avanti idee nobili, abbia consapevolezza della forza persuasiva dell'AI e la utilizzi con responsabilità. «In questo momento c'è una grossa fetta della popolazione che è rimasta ancorata al vecchio web, a un modo elementare, basilare, di utilizzare l'informatica. Colpire questa fascia con l'effetto "wow" dato dai contenuti generati dall'AI è semplice». Alla responsabilità individuale l'evitare un abuso.