Sommario
Un nuovo allarme si affaccia nel panorama della cybersecurity: le aziende stanno trascurando la sicurezza dell’intelligenza artificiale, aprendo la strada a nuove vulnerabilità sistemiche. Secondo un rapporto pubblicato da IBM nel 2025, basato sull’analisi di 600 organizzazioni globali, emerge che il 13% di queste ha subito infrazioni informatiche riconducibili direttamente a modelli AI compromessi. La mancanza di adeguati controlli di accesso colpisce il 97% dei casi analizzati, generando una catena di conseguenze operative, danni economici, accessi non autorizzati e incidenti reputazionali. A peggiorare il quadro contribuisce la proliferazione di Shadow AI, con tool non autorizzati implementati da utenti senza supervisione, spesso al di fuori delle policy aziendali. In parallelo, sul versante statunitense, la TSA sta estendendo l’impiego del riconoscimento facciale in oltre 250 aeroporti, una misura presentata come strumento di accelerazione dei controlli ma che solleva forti perplessità in materia di privacy. Mentre la tecnologia vanta un’accuratezza superiore al 99%, i passeggeri denunciano una mancanza di trasparenza nelle procedure di opt-out, con esperienze documentate di trattamenti discriminatori per chi rifiuta la scansione. Le preoccupazioni aumentano quando emerge che solo l’1% degli utenti riceve istruzioni chiare su come declinare il riconoscimento. La gestione delle immagini facciali e l’assenza di tutele rafforzano l’allarme sul potenziale abuso della biometria. La tensione cresce anche nell’ambito dell’AI applicata ai prezzi dinamici. Aziende come Delta Air Lines adottano sistemi basati su intelligenza artificiale per modellare il costo dei biglietti in base a comportamenti d’acquisto, cronologia di navigazione, ubicazione geografica e tipologia di dispositivo. Questa pratica è ora sotto esame da parte della Federal Trade Commission, che ha avviato indagini su 250 imprese. L’accusa è di sfruttare dati personali per gonfiare i prezzi in modo opaco e discriminatorio. Deputati statunitensi stanno introducendo proposte legislative come lo Stop AI Price Gouging and Wage Fixing Act, volto a prevenire l’uso di sorveglianza algoritmica per manipolare costi e stipendi.
Negligenza nella sicurezza AI
Il documento pubblicato da IBM evidenzia un panorama aziendale impreparato a gestire le sfide della sicurezza AI. L’assenza di controlli fondamentali, come i sistemi di autenticazione e segmentazione degli accessi, espone le organizzazioni a manipolazioni dei modelli, leak di dati e perdite operative. I danni diretti si manifestano in forma di interruzioni dei processi (33%), accessi non autorizzati (33%) e perdite finanziarie quantificate nel 23% dei casi. Emergono anche conseguenze reputazionali significative, in particolare nei settori dove la fiducia dei clienti è un asset cruciale. Le principali minacce derivano dall’integrazione di applicazioni, API e plug-in sviluppati da terze parti, in particolare nel segmento SaaS. La mancanza di una governance AI strutturata riguarda l’87% delle realtà coinvolte. Molte non eseguono audit periodici e rinunciano del tutto a test avversari, lasciando i modelli esposti a manipolazioni malevole. In questo contesto si inserisce il fenomeno della Shadow AI, con utenti che utilizzano modelli non approvati e fuori dal perimetro della sicurezza aziendale, bypassando di fatto ogni controllo. Secondo Suja Viswesan, vicepresidente di IBM Security, l’adozione di sistemi AI dovrebbe procedere solo parallelamente alla definizione di infrastrutture di sicurezza robuste. L’espansione dell’AI nelle operations quotidiane introduce un divario critico tra uso e supervisione, che attori malevoli sono pronti a sfruttare. Le perdite non sono solo economiche: la fiducia e il controllo sulle informazioni sono risorse altrettanto importanti. Le raccomandazioni degli esperti sono chiare: introdurre controlli di accesso granulari, potenziare la governance, eseguire audit sistematici e implementare simulazioni di attacchi reali tramite adversarial testing.
Sorveglianza facciale TSA e privacy
Negli Stati Uniti, l’espansione del riconoscimento facciale da parte della TSA rappresenta un altro fronte critico. La tecnologia, attiva in oltre 250 aeroporti, è promossa come soluzione per ottimizzare i controlli di sicurezza e accelerare i processi di imbarco. Tuttavia, un rapporto del Privacy and Civil Liberties Oversight Board (PCLOB) e uno studio successivo della Algorithmic Justice League mettono in evidenza gravi carenze di trasparenza. Solo una minima parte dei passeggeri riceve istruzioni adeguate per rifiutare il riconoscimento facciale. Chi sceglie l’opt-out è spesso penalizzato con controlli manuali ritardati, perdita del volo o trattamenti aggressivi da parte del personale aeroportuale. L’esperienza del senatore Jeff Merkley, documentata in un aeroporto di Washington DC, ha portato alla proposta del Traveler Privacy Protection Act, una normativa che garantisce il diritto di rifiutare la scansione e richiede cartellonistica chiara per informare i viaggiatori. Le immagini raccolte non dovrebbero essere conservate, secondo quanto dichiarato dalla TSA, ma testimonianze multiple e mancanza di risposte ufficiali alimentano il sospetto di una libreria nazionale di volti in costruzione. L’industria aeronautica, rappresentata da gruppi come Airlines for America, si oppone a regolamentazioni più rigide, sostenendo che l’efficienza operativa e la sicurezza nazionale sarebbero compromesse. Tuttavia, la mancanza di consenso informato mina le libertà civili, trasformando la tecnologia in un dispositivo potenziale di sorveglianza sistematica.
Prezzi dinamici AI e legislazione emergente
Il ricorso a sistemi di prezzi dinamici basati su AI introduce nuove criticità etiche. Le tecnologie, in grado di rilevare comportamenti, device e dati demografici, sono usate per definire prezzi personalizzati in tempo reale. Il caso di Delta Air Lines, che ha adottato un sistema sviluppato da Fetcherr, è solo uno dei tanti sotto osservazione. Secondo quanto riportato dalla Federal Trade Commission, almeno 250 aziende americane impiegano broker di dati per segmentare l’offerta commerciale in base al profilo del consumatore. Questo modello, se non regolato, può tradursi in discriminazione algoritmica. Uno degli esempi forniti dalla FTC riguarda l’aumento dei prezzi dei termometri per neonati, gonfiati artificialmente quando l’algoritmo rileva che l’utente è un genitore. La logica del bisogno percepito, combinata con l’opacità degli algoritmi, trasforma l’AI in uno strumento di abuso commerciale. Il presidente della FTC Lina Khan ha avviato un’indagine formale sul tema, mentre il Congresso valuta proposte come quella dei deputati Greg Casar e Rashida Tlaib, che intendono vietare la sorveglianza algoritmica per l’imposizione di prezzi e salari. Le associazioni industriali resistono al cambiamento, ma le pressioni da parte di esperti come Lee Hepner dell’American Economic Liberties Project sottolineano l’urgenza di riportare trasparenza ed equità nei mercati. I sistemi AI, se utilizzati senza regole, possono sfruttare le vulnerabilità dei consumatori invece che proteggere i loro interessi.
Implicazioni trasversali nell’AI
I rischi evidenziati nel rapporto IBM non sono circoscritti al mondo aziendale, ma si proiettano su una scala molto più ampia. La mancanza di governance nei sistemi AI si riflette nelle criticità del riconoscimento facciale e nella manipolazione algoritmica dei prezzi. In entrambi i casi, l’assenza di trasparenza e accountability espone gli individui a discriminazioni, abusi e perdita di controllo sui propri dati. La connessione tra queste dimensioni – sicurezza, privacy e economia – indica che l’AI non può più essere trattata come tecnologia neutrale, ma come fattore strategico e politico. Le soluzioni devono passare attraverso la definizione di framework di governance, l’attuazione di audit indipendenti, la garanzia di diritti di opt-out chiari e la trasparenza nei processi di pricing. Le regolamentazioni proposte, come il Traveler Privacy Protection Act e lo Stop AI Price Gouging Act, rappresentano risposte iniziali a un problema che richiederà interventi continui e coordinati.
Connessioni tra rischi AI
L’intreccio tra negligenza nella sicurezza dei modelli AI, sorveglianza biometrica e abusi nei prezzi dinamici compone un quadro sistemico. Le violazioni evidenziate da IBM confermano un pattern di insicurezza diffusa. La TSA adotta strumenti biometrici senza meccanismi effettivi di consenso, mentre le compagnie aeree e altri player commerciali sfruttano l’AI per ottimizzare i ricavi, spesso a scapito dei diritti degli utenti. Le implicazioni non sono solo tecniche: toccano aspetti etici, giuridici e sociali, con ricadute sulla libertà individuale, l’accesso equo ai servizi e la fiducia nelle istituzioni. I modelli AI sono oggi in grado di processare dati biometrici e personali con una rapidità e una precisione impensabili fino a pochi anni fa. Ma proprio per questo, la mancanza di regole, audit e accountability rischia di trasformare queste tecnologie in strumenti di abuso e sorveglianza. È necessario un approccio unificato che includa adversarial testing, controlli di accesso, governance trasparente e una cultura aziendale fondata sulla responsabilità digitale. L’infrastruttura AI della TSA si basa su algoritmi convoluzionali per l’estrazione e la classificazione dei tratti facciali. Le reti neurali sono addestrate su dataset massivi, ma mantengono margini di errore legati a condizioni ambientali e bias di training. Metrica come precision e recall sono utilizzate per valutare l’accuratezza, ma le performance ideali in laboratorio si riducono in scenari reali. Allo stesso modo, i modelli AI nel pricing operano con dataset sensibili e senza supervisione trasparente, amplificando gli effetti distorsivi. La traiettoria futura dell’AI dipenderà dalla capacità di costruire sistemi resilienti e regolati, dove l’innovazione sia bilanciata da salvaguardie etiche efficaci.
