Introduzione sull'Intelligenza Artificiale

C'è una frase nel High-Tech Crime Trends Report 2025 di Group-IB che vale la pena leggere due volte: l'intelligenza artificiale è diventata "a double-edged sword". Una spada a doppio taglio.

Chi difende la usa. Chi attacca la usa. La lama è la stessa.

I DPO lo sanno. O dovrebbero saperlo.

Il problema è che in molte organizzazioni l'intelligenza artificiale è ancora trattata come uno strumento del reparto IT, o peggio come una promessa del reparto marketing. Qualcosa che accelera, ottimizza, semplifica. Nessuno ha ancora spiegato con chiarezza che quella stessa tecnologia, nelle mani sbagliate, produce phishing indistinguibile da una comunicazione autentica, deepfake convincenti quanto un documento firmato, malware che impara, mentre attacca, come aggirare le difese che trova davanti.

Non è fantascienza. È il 2024 documentato.

Il report segnala un aumento del 22% degli attacchi phishing nel solo 2024. Un numero. Uno basta. Perché dietro quel numero ci sono caselle di posta aperte, credenziali cedute, sistemi violati da qualcuno che non ha bussato.

Il Ruolo del DPO e i Rischi Attuali

Gli Initial Access Broker, figura che meriterebbe più attenzione di quanta ne riceve, hanno trasformato la violazione dei sistemi in un mercato con listini prezzi e recensioni. Come un e-commerce. Con la differenza che la merce sono le chiavi di accesso ai vostri sistemi.

I DPO non sono responsabili della cybersecurity. Questo è pacifico ed è stato ribadito anche recentemente dalla giurisprudenza. Ma sono responsabili della tenuta del dato personale. E il dato personale è esattamente quello che questi attacchi vanno a prendere. Non per caso. Per scelta. Perché vale.

La domanda, quindi, non è tecnica. È di governance.

Un DPO che non ha mai letto un threat report, che non sa cosa sia un attacco di phishing adattivo generato da intelligenza artificiale, che al CISO non ha mai chiesto nulla perché in fondo non è affar suo, sta lavorando con una mappa del 2018 in un territorio del 2026. Può redigere una DPIA impeccabile sul trattamento delle buste paga e non accorgersi che l'intera infrastruttura su cui quei dati risiedono è esposta a vettori di attacco che la sua valutazione del rischio non ha mai contemplato.

Perché nessuno glieli ha descritti. E perché, forse, nessuno glieli ha chiesti.

L'IA usata in attacco non chiede il consenso. Non compila il registro dei trattamenti. Non notifica la violazione entro 72 ore. Agisce, scala, scompare. Lascia una traccia che spesso viene trovata settimane dopo, quando il danno è già distribuito su una catena di sistemi che nessuno aveva mappato con attenzione.

Chi usa l'IA in difesa, invece, ha bisogno di qualcuno che capisca non solo come funziona lo strumento, ma quali obblighi giuridici nascono dal suo utilizzo, quali responsabilità si assumono quando si delega una decisione rilevante a un sistema automatizzato, quali garanzie vanno costruite e documentate prima che il sistema entri in produzione.

Chi valida il modello? Chi risponde dell'errore? Chi ha firmato la valutazione d'impatto sull'algoritmo che decide quali anomalie segnalare e quali ignorare?

Questo è il territorio del DPO. Non il server. Non il firewall. Il confine giuridico di ciò che accade dentro il server, e la responsabilità di chi ha il mandato di presidiarlo.

Il GDPR non è stato scritto per un mondo senza intelligenza artificiale. È stato scritto per un mondo in cui i dati erano già preziosi e già vulnerabili. Oggi sono più preziosi e più vulnerabili di quanto il legislatore del 2016 potesse immaginare.

Il regolamento tiene. Ma solo se chi lo applica tiene il passo con la realtà che dovrebbe governare.

L'IA non è né buona né cattiva. È uno strumento. Ma gli strumenti, nella storia, hanno sempre premiato chi sapeva usarli e punito chi li ignorava.

Un martello in mano a un carpentiere costruisce. Lo stesso martello sul pavimento rompe il piede a chi non lo vede.

La spada taglia da entrambe le parti. Il DPO che arriva alla riunione con il suo bel registro dei trattamenti aggiornato, mentre l'infrastruttura è stata venduta pezzo per pezzo su un forum che non sa nemmeno pronunciare, non è una vittima del progresso. È uno che non ha fatto il suo mestiere. Con titolo, badge e tutto.