Pubblicate le linee guida del G7 sul Software Bill of Materials per l’AI
Nel momento in cui l’intelligenza artificiale (AI) entra sempre più profondamente nei processi produttivi, nelle infrastrutture critiche e nei servizi pubblici, la sicurezza della sua catena di approvvigionamento diventa una questione strategica. È in questo scenario che si inserisce l’iniziativa promossa dalla nostra Agenzia per la Cybersicurezza Nazionale (ACN), insieme all’omologa tedesca BSI, culminata nella pubblicazione delle nuove linee guida del G7 dedicate al Software Bill of Materials per l’intelligenza artificiale, il cosiddetto AI SBOM.
Si tratta di un passaggio destinato ad avere un impatto significativo sulle future politiche di governance dell’AI, non soltanto in Europa ma anche nei principali Paesi industrializzati.
“Le linee guida sulla trasparenza dell’intelligenza artificiale adottate oggi dal Gruppo di lavoro cybersicurezza del G7 sono il risultato di uno sforzo congiunto per migliorare la sicurezza lungo la catena di fornitura dei sistemi di AI. Consentono a sviluppatori e utilizzatori dei sistemi di AI di tracciare in modo più efficace le vulnerabilità e ridurre i rischi cyber. Avere un inventario strutturato dei componenti di un sistema di AI è anche un passo avanti verso la creazione, in futuro, di standard di sicurezza per questa tecnologia”, ha dichiarato il Direttore Generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi.
“La trasparenza riguardo alla catena di fornitura dell’AI, ai componenti utilizzati e alle dipendenze costituisce la base per una solida sicurezza informatica dell’AI. Consente la tracciabilità dei sistemi, supporta la gestione efficiente delle vulnerabilità identificate e rafforza la gestione del rischio informatico dell’organizzazione”, ha affermato la presidente di BSI, Claudia Plattner.
A che servono le nuove linee guida sull’AI
L’obiettivo delle linee guida è introdurre un modello condiviso di trasparenza e tracciabilità per i sistemi di intelligenza artificiale, partendo da un principio semplice: non è possibile proteggere ciò che non si conosce. I moderni sistemi di AI sono infatti costruiti attraverso una stratificazione complessa di componenti software, librerie open source, modelli pre-addestrati, dataset, API, framework di sviluppo e servizi cloud provenienti da una filiera globale estremamente articolata.
Ogni elemento rappresenta un potenziale punto di vulnerabilità. Avere una mappa dettagliata di questa composizione significa poter individuare più rapidamente rischi, dipendenze critiche e possibili compromissioni della supply chain.
Lo SBOM nasce originariamente nel mondo della cybersecurity tradizionale come una sorta di “distinta base” del software. Applicato all’intelligenza artificiale, assume però una rilevanza ancora maggiore. Un sistema di AI non è infatti soltanto codice: incorpora modelli matematici, dati di addestramento e componenti esterni che possono introdurre vulnerabilità tecniche, bias, manipolazioni o rischi sistemici difficili da identificare.
Le nuove linee guida del G7 puntano quindi a definire un quadro comune per documentare in maniera standardizzata tutti gli elementi essenziali che costituiscono un sistema di AI, comprese le dipendenze tra i vari componenti.
AI, una filiera globale e frammentata: la trasparenza della supply chain diventa fondamentale
Il valore strategico di questo approccio è evidente soprattutto in un contesto geopolitico caratterizzato da crescente competizione tecnologica. La filiera dell’intelligenza artificiale è oggi globale e frammentata: un modello può essere sviluppato in un Paese, addestrato con dati provenienti da un altro, ospitato su infrastrutture cloud localizzate altrove e integrato in prodotti commerciali distribuiti su scala internazionale. In uno scenario simile, la trasparenza della supply chain diventa un elemento essenziale non solo per la sicurezza informatica, ma anche per la sicurezza economica e nazionale.
Le linee guida promosse dal G7 rispondono proprio a questa esigenza. L’iniziativa rappresenta il primo tentativo concreto di armonizzare a livello internazionale un modello di governance tecnica dell’AI basato sulla conoscenza della catena di approvvigionamento. Non si tratta semplicemente di un adempimento documentale, ma di un cambio di paradigma nella gestione del rischio cyber.
Attraverso lo SBOM, organizzazioni pubbliche e private potranno sapere con maggiore precisione quali componenti sono presenti nei propri sistemi, quali vulnerabilità potrebbero interessarli e quali aggiornamenti risultano necessari per ridurre la superficie di attacco.
Fiducia, sicurezza by designa e resilienza delle supply chain
C’è poi un altro elemento cruciale: la fiducia. L’intelligenza artificiale sta entrando in settori altamente sensibili come sanità, difesa, finanza, telecomunicazioni ed energia. In questi contesti, la possibilità di conoscere l’origine e la composizione di un sistema rappresenta una condizione fondamentale per costruire fiducia tra fornitori, clienti, autorità di regolamentazione e cittadini. Lo SBOM diventa così uno strumento di accountability tecnologica, coerente con l’approccio europeo alla regolamentazione dell’AI basato su trasparenza, responsabilità e gestione del rischio.
Non è un caso che il lavoro del G7 si inserisca in continuità con l’evoluzione normativa europea, a partire dall’AI Act e dalla direttiva NIS2. Entrambi i quadri normativi attribuiscono infatti crescente importanza alla sicurezza by design, alla resilienza delle supply chain digitali e alla gestione dei rischi tecnologici. Le linee guida sullo SBOM per l’AI possono quindi essere lette come un tassello operativo destinato a tradurre questi principi regolatori in pratiche concrete di cybersecurity.
La vera sfida, adesso, sarà trasformare le linee guida in standard adottati concretamente dal mercato. Per molte organizzazioni sarà necessario sviluppare nuove competenze, strumenti di monitoraggio e processi di gestione della supply chain dell’AI. Tuttavia, il percorso appare inevitabile. Con l’aumento della complessità dei sistemi intelligenti e la crescente esposizione a minacce cyber sofisticate, la trasparenza tecnologica non sarà più un’opzione ma una necessità.
Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui
