Man mano che l’intelligenza artificiale (IA) si integra sempre di più nelle infrastrutture digitali, sociali e istituzionali, il rischio sistemico cyber emerge come una delle sfide più critiche e sottovalutate.

Ecco un modello per la comprensione e la gestione del rischio sistemico cyber nell’era dell’intelligenza artificiale, basato su insegnamenti tratti dalla
regolamentazione finanziaria, dalla teoria dei sistemi complessi e dalla sicurezza informatica.

L’obiettivo è fornire una solida base concettuale e uno strumento diagnostico operativo per la governance della cyber security in contesti complessi e interconnessi.

Il concetto di rischio sistemico

Il panorama delle minacce cibernetiche ha subito una trasformazione radicale negli ultimi anni.

Se in passato la sicurezza informatica era tradizionalmente concepita come un problema tecnico circoscritto, come la vulnerabilità di un sistema, l’accesso non autorizzato a un database o l’interruzione di un servizio, la convergenza tra intelligenza artificiale, piattaforme digitali globali e infrastrutture critiche interconnesse ha creato le condizioni per un nuovo paradigma: il rischio sistemico cyber.

Il concetto di rischio sistemico, elaborato originariamente nell’ambito della regolamentazione finanziaria dopo la crisi del 2008 (Schwarcz, 2008; Kaufman, 2003), descrive fenomeni in cui un guasto localizzato può propagarsi attraverso reti di interdipendenze (linkages) fino a destabilizzare l’intero sistema di riferimento (effetto domino e contagio).

Applicato alla cyber sicurezza, questo concetto acquisisce una dimensione nuova e, per molti versi, più insidiosa: a differenza delle crisi finanziarie, un attacco informatico può verificarsi in pochi secondi, colpire simultaneamente migliaia di nodi interconnessi e, se potenziato da sistemi di IA, adattarsi dinamicamente alle contromisure difensive.

Ecco la risposta a tre domande:

• In cosa si differenzia il rischio sistemico cyber dal rischio cyber “ordinario”?
• In che modo l’intelligenza artificiale amplifica o trasforma i meccanismi di propagazione del rischio sistemico cyber?
• In che modo gli attuali strumenti normativi europei (AI Act, DSA, NIS2, DORA) si rapportano a questa sfida e quali riforme sono necessarie?

Prospettiva storica e teorica

Il concetto di rischio sistemico ha trovato la sua attuale formalizzazione nell’ambito della regolamentazione bancaria e finanziaria.

Il Rapporto Lamfalussy del 1990 ha stabilito i primi standard per la riduzione del rischio sistemico nei sistemi interbancari internazionali.

La crisi finanziaria del 2008, originata dal fallimento della banca d’investimenti Lehman Brothers, ha poi trasformato questo concetto da strumento accademico a priorità assoluta per la regolamentazione.

Il Regolamento UE n. 1092/2010 ha istituito l’European Systemic Risk Board (ESRB), che definisce il rischio sistemico all’articolo 2, lettera c), come “un rischio di perturbazione del sistema finanziario con il potenziale di avere gravi conseguenze negative per il mercato interno e l’economia reale”.

Questa definizione introduce due dimensioni fondamentali, applicabili anche al dominio cyber: la dimensione collettiva (destabilizzazione del sistema o instabilità sistemica) e la dimensione individuale (danno grave ai soggetti che operano nel sistema).

Dalla finanza alla cyber sicurezza: un’evoluzione necessaria

In un rapporto del 2020, l’ESRB ha evidenziato come gli incidenti cibernetici possano propagarsi attraverso sistemi interconnessi, creando effetti di contagio analoghi a quelli delle crisi finanziarie.

A differenza dei rischi finanziari tradizionali, tuttavia, le minacce cibernetiche presentano caratteristiche distintive che le rendono, in un certo senso, ancora più problematiche dal punto di vista sistemico.

DORA

Il Digital Operational Resilience Act (DORA), entrato in vigore nel gennaio 2023, rappresenta il primo tentativo sistematico di applicare la logica macroprudenziale al rischio sistemico cyber nel settore finanziario.

DORA riconosce esplicitamente che questo rischio sistemico ha spesso origine dalla concentrazione su fornitori di servizi ICT terzi, in particolare i provider cloud, configurando così una vulnerabilità strutturale tipicamente esogena.

Cos’è il rischio sistemico cyber

Si definisce il rischio sistemico cyber come la probabilità che un evento cyber scateni una serie di guasti successivi attraverso sistemi interconnessi, con effetti collettivi che superano la somma dei danni individuali e che hanno il potenziale di destabilizzare infrastrutture critiche IT/OT, mercati o istituzioni fondamentali per il funzionamento della società.

Caratteristiche del rischio sistemico cyber:

• Interdipendenza: l’elevata interconnessione delle infrastrutture digitali amplifica l’impatto di attacchi anche limitati, estendendo i danni oltre il target primario.
• Single Point of Failure: la concentrazione di servizi (es. cloud provider) crea dei nodi critici la cui compromissione può bloccare interi settori.
• Effetto domino (contagio): un incidente in un’azienda può infettare fornitori, partner e clienti, propagandosi attraverso la catena di approvvigionamento.
• Ampiezza del danno: i danni collettivi superano la somma dei danni individuali, provocando perdite di reputazione, di fiducia e operative su vasta scala.

Il rischio sistemico cyber nell’era dell’IA: le 4 dimensioni

A partire dall’analisi comparata di oltre venti definizioni di rischio sistemico (Hacker, Kasirzadeh & Edwards, 2025; Renn et al., 2022; Helbing, 2013), identifichiamo quattro dimensioni fondamentali applicabili specificamente al dominio cyber.

Tabella: Dimensioni del rischio sistemico cyber.

I 4 livelli di rischio sistemico cyber amplificato dall’IA

L’integrazione dell’intelligenza artificiale nei sistemi cyber non solo introduce nuovi vettori di attacco, ma trasforma strutturalmente i meccanismi di propagazione del rischio sistemico.

Possiamo identificare quattro livelli distinti:

• Livello 1: Single-model systemic risks
• Livello 2: Multi-model systemic risks
• Livello 3: Model-platform integration risks
• Livello 4: Model-institution integration risks

Livello 1: Single-model systemic risks

Un singolo modello di IA ampiamente adottato può rappresentare un punto critico di fallimento sistemico.

Quando un Large Language Model (LLM) o un sistema di IA per il rilevamento delle intrusioni viene implementato su milioni di dispositivi, una vulnerabilità nel modello, come l’iniezione di prompt, un attacco avversario o una backdoor inserita durante la fase di addestramento (data poisoning), può essere sfruttata simultaneamente su scala globale.

L’omogeneità tecnologica, che rappresenta un vantaggio in termini di manutenibilità e standardizzazione, in questo caso diventa un fattore di rischio sistemico, sostituendo la diversità difensiva con una superficie di attacco uniforme.

Livello 2: Multi-model systemic risks

I sistemi complessi che orchestrano più modelli di IA in pipeline automatizzate, sempre più diffusi nelle infrastrutture di sicurezza, possono causare guasti correlati e sincronizzati.

Quando un modello “A” che rileva le anomalie di rete è alimentato dall’output di un modello “B” che classifica il traffico, un attacco che compromette B invalida silenziosamente i giudizi di A.

I framework multi-agente, come LangChain o AutoGPT applicati alla cyber security, introducono delle dipendenze a grafo che le metodologie di analisi del rischio tradizionali, basate su architetture a catena lineare, non sono progettate per rilevare.

Livello 3: Model-platform integration risks

L’integrazione di modelli IA in piattaforme digitali su larga scala genera loop di feedback rischiosi. Un sistema di moderazione dei contenuti basato sull’intelligenza artificiale può essere manipolato in modo da amplificare sistematicamente la disinformazione sulle minacce informatiche, come la diffusione di false notizie su vulnerabilità inesistenti che causano una “patch storm”.

Inoltre, i suoi output possono essere reinseriti come dati di addestramento in
modelli successivi, fenomeno noto come “collasso del modello” e documentato da Shumailov et al. (2024).

Livello 4: Model-institution integration risks

Il livello più grave si manifesta quando i sistemi IA sono incorporati in istituzioni di governance critiche, come i sistemi giudiziari, le forze dell’ordine, le infrastrutture finanziarie e le catene di comando militari.

Un attacco a un sistema IA integrato in un’infrastruttura di questo tipo non mette a repentaglio solo l’operatività tecnica del sistema, ma anche la legittimità e l’integrità delle decisioni istituzionali che ne derivano. Questo è lo scenario più difficile da risolvere, perché le conseguenze si stratificano nel tessuto normativo e sociale.

Meccanismi di propagazione e amplificazione del rischio sistemico cyber

Comprendere i meccanismi attraverso cui un incidente cyber localizzato si trasforma in una crisi sistemica è fondamentale per progettare architetture di sicurezza resilienti.

I 6 vettori principali di propagazione

Distinguiamo sei vettori principali di propagazione:

• tramite software della supply chain;
• mediante dipendenze di fiducia (Trust Chain);
• via protocolli condivisi;
• attraverso concentrazione cloud;
• tramite modelli IA condivisi;
• mediante lock-in.

Propagazione tramite software della supply chain

Come dimostrato dall’attacco a SolarWinds del 2020, la compromissione di un fornitore di software affidabile può inserire delle backdoor in migliaia di organizzazioni che si fidano ciecamente degli aggiornamenti firmati digitalmente. L’intelligenza artificiale (IA) accelera questo vettore, consentendo l’analisi automatizzata di milioni di righe di codice per individuare i punti di inserimento ottimali per il malware.

Propagazione tramite dipendenze di fiducia (Trust Chain)

I protocolli di autenticazione federata, i certificati digitali e i sistemi PKI creano catene di fiducia la cui compromissione di un singolo nodo radice può invalidare istantaneamente l’intera infrastruttura su cui si basano.

Propagazione tramite protocolli condivisi

Le vulnerabilità presenti in protocolli ampiamente adottati (BGP, DNS, TLS) costituiscono una superficie di attacco trasversale a diversi settori e organizzazioni. Un attacco BGP hijacking può reindirizzare silenziosamente il traffico Internet a livello globale prima che i meccanismi di rilevamento si attivino.

La propagazione tramite concentrazione cloud

La migrazione delle infrastrutture critiche verso un numero limitato di provider hyperscale (AWS, Azure, GCP) crea dei Single Point of Failure dal punto di vista geopolitico.

Propagazione tramite modelli IA condivisi

La convergenza su un numero limitato di modelli LLM di base per le applicazioni di sicurezza (intelligence sulle minacce, automazione SOC e scansione delle vulnerabilità) crea una dipendenza comune la cui compromissione avrebbe conseguenze a catena sull’intero ecosistema della cyber sicurezza.

Propagazione tramite lock-in

La circostanza per cui un’azienda o un intero settore è così dipendente da un fornitore o da un Paese rischia di diventare una minaccia (o una trappola) per la stabilità o l’indipendenza operativa

Il ruolo dell’IA come amplificatore del rischio sistemico cyber

L’intelligenza artificiale agisce da amplificatore del rischio sistemico cyber attraverso tre meccanismi distinti e interconnessi:

• automazione e scala degli attacchi;
• evasione adattiva;
• ingegneria sociale potenziata.

Automazione e scala degli attacchi

I sistemi di IA consentono di condurre attacchi su larga scala e a una velocità impensabile in precedenza.

Un agente IA può condurre attacchi di credential stuffing su milioni di account in modo simultaneo, generare campagne di phishing altamente personalizzate basate sull’analisi dei profili social delle vittime e individuare e sfruttare automaticamente vulnerabilità in sistemi precedentemente ritenuti sicuri.

Questa automazione abbassa drasticamente la soglia di accesso alle capacità offensive sofisticate, ampliando il numero di potenziali attori della minaccia e aumentando la frequenza degli incidenti potenzialmente rilevanti dal punto di vista sistemico.

Evasione adattiva

I modelli generativi avversari (GAN) e le tecniche di apprendimento per rinforzo (reinforcement learning) consentono di sviluppare malware in grado di modificare dinamicamente la propria firma per eludere i sistemi di rilevamento basati su firme.

Più in generale, gli attacchi avversari ovvero perturbazioni minime e impercettibili agli input dei sistemi di IA, possono causare classificazioni errate critiche nei sistemi di rilevamento delle intrusioni (IDS), nei sistemi di autenticazione biometrica o nei sistemi di analisi del malware. La difficoltà di rilevare questi attacchi li rende particolarmente pericolosi in contesti ad alta criticità.

Ingegneria sociale potenziata

I Large Language Model riducono drasticamente il costo della creazione di contenuti ingannevoli di alta qualità.

È possibile produrre audio e video deepfake credibili in tempo reale per simulare CEO o altre figure autorevoli durante attacchi BEC (Business Email Compromise) evoluti.

Questa capacità trasforma i vettori di attacco, che in precedenza erano limitati dall’investimento in competenze umane, in vettori automatizzabili e scalabili, con implicazioni dirette sul rischio sistemico: la fiducia nelle comunicazioni digitali, bene infrastrutturale fondamentale per il funzionamento dell’economia digitale, viene erosa a livello strutturale.

Il panorama normativo europeo: forze e limiti

La Direttiva NIS2 (UE 2022/2555) rappresenta un’evoluzione significativa del quadro normativo europeo in materia di sicurezza delle reti e dei sistemi informativi.

A differenza della versione precedente, la NIS2 estende esplicitamente il proprio ambito di applicazione a nuovi settori critici quali l’energia, i trasporti, la sanità, le infrastrutture digitali, le amministrazioni pubbliche e lo spazio. Introduce obblighi sostanziali in materia di gestione del rischio, notifica degli incidenti e sicurezza della catena di approvvigionamento.

La Direttiva NIS2 e il rischio sistemico cyber

Dal punto di vista del rischio sistemico cyber, la direttiva NIS2 rappresenta un progresso significativo nell’affrontare la concentrazione sui fornitori critici e le dipendenze della catena di approvvigionamento ICT.

L’articolo 21 impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative proporzionate per la gestione dei rischi per la sicurezza dei sistemi, prestando particolare attenzione alla sicurezza della catena di approvvigionamento.

Tuttavia NIS2 mantiene un approccio prevalentemente settoriale che non riesce a cogliere appieno i rischi sistemici, derivanti dall’interazione tra l’intelligenza artificiale e le infrastrutture critiche.

Cyber Resilience ACT e il rischio sistemico cyber

Il Cyber Resilience Act (CRA – Regolamento UE 2024/2847), entrato in vigore il 10 dicembre 2024, rappresenta la risposta normativa dell’Unione Europea per mitigare il rischio sistemico derivante dalle vulnerabilità dei prodotti digitali connessi (sia hardware che software).

L’obiettivo principale è innalzare il livello di sicurezza informatica di base per ridurre l’impatto di attacchi che potrebbero paralizzare le infrastrutture critiche, le imprese e i servizi essenziali nell’UE.

Il CRA contribuisce a ridurre il rischio sistemico attraverso le seguenti azioni:

• La marcatura CE: i prodotti digitali dovranno soddisfare requisiti di sicurezza obbligatori per poter accedere al mercato UE e garantire un “livello minimo” di protezione.
• La normativa classifica i prodotti in classi di criticità (Classe I e Classe II, nonché prodotti critici) per poter applicare valutazioni di conformità proporzionali al rischio.
• I produttori devono gestire le vulnerabilità e segnalare gli incidenti gravi all’ENISA per poter accelerare la risposta alle minacce.

DORA e la resilienza operativa digitale nel settore finanziario

Il Digital Operational Resilience Act (DORA) è il primo strumento normativo europeo che traduce in modo organico il pensiero macroprudenziale nella gestione del rischio sistemico cyber.

DORA si applica a un’ampia gamma di enti finanziari: banche, assicurazioni, mercati e gestori di fondi, nonché ai loro fornitori di servizi ICT critici, inclusi i provider di cloud computing.

I pillar di DORA per la gestione del rischio sistemico cyber:

• Gestione del rischio ICT: framework obbligatorio con identificazione, classificazione e documentazione degli asset ICT critici.
• Gestione degli incidenti: notifica alle autorità competenti entro 4 ore per gli incidenti gravi e entro 72 ore per una descrizione preliminare.
• Test di resilienza operativa: TLPT (Threat-Led Penetration Testing) obbligatorio per le entità significative.
• Rischio ICT di terze parti: registri contrattuali, diritti di audit, strategie di exit.
• Condivisione delle informazioni: possibilità di partecipare a meccanismi di condivisione su cyber minacce.

Il Digital Services Act (DSA) e il rischio sistemico

L’articolo 34, paragrafo 1, del DSA impone alle Very Large Online Platforms (VLOP) e alle Very Large Online Search Engines (VLOSE) – con una soglia di 45 milioni di utenti attivi mensili nell’UE – di identificare, analizzare e mitigare i rischi sistemici derivanti dalla progettazione o dal funzionamento dei loro servizi.

La tassonomia del DSA individua quattro categorie di rischio sistemico:

• diffusione di contenuti illegali;
• effetti negativi sui diritti fondamentali;
• effetti sul discorso civico e sui processi elettorali;
• effetti sulla salute pubblica, sui minori e sul benessere.

Nel contesto cyber, il DSA si concentra soprattutto sui rischi sistemici legati alla diffusione di disinformazione su vulnerabilità e minacce, alla manipolazione delle informazioni durante gli incidenti cyber critici e all’amplificazione delle campagne di ingegneria sociale su larga scala.

Il DSA non menziona esplicitamente la cybersicurezza come categoria autonoma di rischio sistemico, ma le sue previsioni si applicano indirettamente quando le vulnerabilità delle piattaforme o gli attacchi informatici generano violazioni dei diritti fondamentali o mettono a repentaglio la sicurezza pubblica.

L’AI Act e i limiti del suo approccio al rischio sistemico cyber

L’AI Act (Regolamento UE 2024/1689) definisce il rischio sistemico all’articolo 3, paragrafo 65, come un “rischio specifico delle capacità ad alto impatto dei modelli General Purpose AI (GPAI) che ha un impatto significativo sul mercato dell’Unione a causa della sua portata o a causa di effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica, sulla sicurezza, sulla sicurezza pubblica, sui diritti fondamentali o sulla società nel suo insieme e che può propagarsi su larga scala lungo la catena del valore”.

Il Code of Pratice per l’Intelligenza Artificiale (luglio 2025) classifica le capacità di cyberoffensiva come una delle quattro categorie di rischio sistemico specificate nell’Appendice 1.4, insieme ai rischi CBRN (Chimico, Biologico, Radiologico, Nucleare), alla perdita di controllo e alla manipolazione dannosa.

Questo riconoscimento esplicito è significativo, ma l’approccio dell’AI Act al rischio sistemico cyber presenta alcune limitazioni strutturali rilevanti per gli esperti di sicurezza che è necessario colmare.

Casi di studio: il rischio sistemico cyber in azione

L’attacco SolarWinds del 2020, attribuito al gruppo APT29 russo, ha chiaramente dimostrato il meccanismo del rischio sistemico cyber tramite la supply chain.

Attacchi alla supply chain software: SolarWinds e Beyond

La compromissione del ciclo di build della piattaforma Orion di SolarWinds ha inserito una backdoor (SunBurst) in aggiornamenti firmati digitalmente e distribuiti a oltre 18.000 organizzazioni, tra cui agenzie governative statunitensi, aziende private e infrastrutture critiche.

Dal punto di vista delle categorie citate in questo articolo, SolarWinds rappresenta un rischio di livello 1 (modello di distribuzione software ampiamente adottato) che si trasforma in un rischio di livello 4 (compromissione delle istituzioni di governance).

Le quattro dimensioni del rischio sistemico sono tutte soddisfatte: scala globale (18.000 organizzazioni), natura collettiva (compromissione dell’intera catena di fiducia degli aggiornamenti software), irreversibilità (presenza di backdoor latenti per mesi prima della loro rilevazione) e complessità (propagazione attraverso meccanismi di fiducia impliciti e difficili da sostituire).

L’intelligenza artificiale (IA) trasformerebbe questo scenario in modo qualitativo: i sistemi di IA per l’analisi automatizzata dei codebase potrebbero individuare i punti di inserimento ottimali per il malware in tempi drasticamente ridotti.

Gli agenti IA potrebbero inoltre personalizzare dinamicamente il comportamento della backdoor in base al profilo dell’organizzazione target.

Le tecniche di apprendimento automatico avversario (adversarial machine learning) potrebbero infine rendere il malware invisibile ai sistemi di rilevamento basati su IA.

Ransomware sistemico: da WannaCry a RaaS

WannaCry (2017) e NotPetya (2017) hanno segnato la transizione del ransomware da strumento criminale opportunistico a vettore di rischio sistemico.

WannaCry, sfruttando l’exploit EternalBlue sviluppato dalla NSA e poi t rafugato dal gruppo Shadow Brokers, ha colpito oltre 200.000 sistemi in 150 Paesi in sole 24 ore, paralizzando il Servizio Sanitario Nazionale britannico e causando danni stimati tra i 4 e gli 8 miliardi di dollari. NotPetya, mascherato da ransomware ma in realtà è un wiper, ha causato danni per oltre 10 miliardi di dollari: Maersk ha perso il controllo dell’intera infrastruttura IT globale e A.P. Moller ha dovuto reinstallare 45.000 PC e 4.000 server.

Lo schema Ransomware-as-a-Service (RaaS) rappresenta il Livello 2: si tratta di ecosistemi multi-attore in cui sviluppatori di exploit, operatori di piattaforme RaaS, affiliati e riciclatori di denaro interagiscono come un sistema organizzato.

L’intelligenza artificiale sta accelerando questo modello. Gli strumenti automatizzati per l’identificazione delle vulnerabilità abbassano la soglia d’ingresso per i nuovi affiliati. I modelli linguistici migliorano la qualità delle comunicazioni di riscatto e delle tattiche di negoziazione. Invece i sistemi di IA per l’analisi delle reti aziendali ottimizzano la scelta degli obiettivi con il massimo impatto.

Attacchi potenziati dall’IA a infrastrutture critiche

Il caso dell’attacco al sistema idrico di Oldsmar, in Florida (2021), in cui un attaccante ha cercato di aumentare la concentrazione di idrossido di sodio nell’acqua potabile a livelli letali, mostra la convergenza tra il rischio cyber e il rischio fisico per le infrastrutture critiche.

Sebbene in questo caso l’attacco sia stato rilevato grazie all’attenzione di un operatore umano, l’integrazione dell’intelligenza artificiale (IA) nei sistemi SCADA/ICS potrebbe mascherare le modifiche malevole ai set-point di controllo, attribuendole a un comportamento normale del sistema o a variazioni naturali dei parametri.

Questo scenario corrisponde alLivello 4: l’integrazione dell’IA nei sistemi di controllo industriale per le infrastrutture critiche (energia, acqua, trasporti e sanità) crea vulnerabilità strutturali la cui materializzazione potrebbe avere conseguenze potenzialmente irreversibili sulla sicurezza pubblica.

Il problema fondamentale è che i sistemi OT/ICS tradizionali non sono stati progettati con la sicurezza informatica come requisito primario. Inoltre, la loro integrazione con i sistemi IA, senza un’adeguata segregazione, introduce una complessità che aumenta le superfici di attacco. Ma senza un corrispondente aumento delle capacità difensive.

Manipolazione dell’informazione come vettore di rischio sistemico cyber

Un vettore spesso sottovalutato del rischio sistemico cyber è la manipolazione delle informazioni relative alle minacce e vulnerabilità.

Le campagne di disinformazione che amplificano artificialmente la percezione della gravità di una vulnerabilità possono causare il cosiddetto “patch panic“, saturando le capacità operative dei SOC.

Le campagne che minimizzano le vulnerabilità reali ritardano l’applicazione delle patch critiche, mentre le false attribuzioni degli incidenti informatici possono provocare crisi diplomatiche o militari.

I LLM rendono queste campagne altamente scalabili e personalizzabili.

Un attore ostile può generare automaticamente centinaia di varianti di un articolo tecnico plausibile su una vulnerabilità fittizia, distribuirle sui canali social e sui forum tecnici e creare così una percezione artificiale di consenso all’interno della comunità della sicurezza.

Questo vettore opera tra il Livello 3 (integrazione modello-piattaforma) e il Livello 4 (impatto istituzionale) e il suo trattamento nel DSA e nell’AI Act è frammentato e inadeguato.

Proposte e raccomandazioni operative

La principale modifica necessaria è la separazione concettuale tra la definizione di rischio sistemico e i criteri per l’individuazione dei modelli soggetti agli obblighi dell’articolo 55.

Riformare la definizione di rischio sistemico nell’AI Act

Il rischio sistemico cyber dovrebbe essere definito in termini di impatto collettivo e propagazione a cascata, a prescindere dal livello di avanzamento del modello che lo genera.

I criteri di soglia (compute, benchmark, parametri) dovrebbero determinare solo quali modelli sono soggetti agli obblighi regolatori più stringenti e non se il rischio esiste.

Rafforzare il coordinamento inter-regolamentare

La gestione del rischio sistemico cyber nell’era dell’intelligenza artificiale richiede un coordinamento sistematico tra l’AI Office, i Digital Services Coordinators, l’ENISA, le varie Autorità o Agenzia nazionali. In particolare:

• Istituzione di un Joint Systemic Cyber Risk Board a livello UE, con rappresentanza dell’AI Office, dell’ESRB, dell’ENISA e delle autorità nazionali NIS2, con il compito di produrre valutazioni annuali del rischio sistemico cyber amplificato dall’IA.
• Sviluppo di protocolli di “Reciprocal Risk Analysis” per sistemi ibridi AI-piattaforma, che valutino congiuntamente il rischio sistemico cyber sotto il DSA e l’AI Act.
• Obbligo di condivisione tempestiva delle informazioni sugli incidenti informatici con rilevanza sistemica tra le autorità competenti per NIS2, DORA, AI Act e DSA, con un formato standardizzato basato sul modello STIX/TAXII.

Raccomandazioni operative

Al di là delle modifiche normative, chi si occupa di cybersicurezza deve adattare le proprie metodologie di valutazione del rischio per incorporare la dimensione sistemica amplificata dall’IA.

• Adottare metodologie di Threat Modeling estese alla dimensione sistemica: il tradizionale framework STRIDE deve essere integrato con un’analisi delle dipendenze sistemiche che includa la mappatura delle catene di fiducia, delle dipendenze dai modelli IA condivisi e dei vettori di propagazione cross-organizzazione.
• È necessario implementare esercizi di red teaming per i livelli 2 e 3: le tradizionali simulazioni che testano la resilienza di singoli sistemi o organizzazioni non sono più sufficienti. È necessario condurre esercizi che simulino la compromissione di modelli di IA condivisi o di piattaforme ad alta diffusione e che valutino la propagazione degli effetti a cascata.
• Sviluppare indicatori di rischio sistemico cyber (SRCI): analogamente agli indicatori macroprudenziali finanziari, è necessario sviluppare metriche quantitative per misurare la concentrazione su modelli IA condivisi, il grado di interconnessione tra i sistemi critici mediata da componenti IA e la velocità di potenziale propagazione degli incidenti.
• Integrare la gestione del rischio IA nelle politiche di sicurezza: i Chief Information Security Officer (CISO) devono sviluppare politiche specifiche per la gestione del rischio sistemico introdotto dall’adozione di modelli IA di terze parti e includere clausole contrattuali che garantiscano la trasparenza riguardo agli aggiornamenti di sicurezza, ai bug bounty e alla gestione degli incidenti.
• La misura più urgente per ridurre il rischio sistemico cyber nell’era dell’intelligenza artificiale (IA) è l’istituzione di meccanismi che consentano la condivisione rapida delle informazioni su incidenti che coinvolgono modelli di IA tra organizzazioni e settori diversi. Ovvero un “ISAC per l’IA“, che permetta alla comunità della sicurezza di rispondere collettivamente a vettori di attacco emergenti prima che si propaghino a livello sistemico.

Tre cambiamenti paradigmatici fondamentali

Il rischio sistemico cyber nell’era dell’intelligenza artificiale rappresenta una delle sfide più complesse e sottovalutate della governance cyber.

Per comprendere e gestire adeguatamente questo rischio, sono necessari tre cambiamenti di paradigma fondamentali.

Il primo cambiamento riguarda l’unità di analisi: non il singolo sistema o la singola organizzazione, ma le reti di interdipendenze attraverso cui i guasti si propagano.

Il secondo cambiamento riguarda invece il rapporto tra IA e rischio cibernetico: l’IA non è solo un nuovo vettore di attacco. Ma è un amplificatore strutturale del rischio sistemico che trasforma la natura delle minacce, sia in termini quantitativi che qualitativi.

Il terzo cambiamento riguarda infine la governance: il rischio sistemico cibernetico non può essere gestito con approcci settoriali frammentati. Ma richiede framework integrati che coordinino le molteplici dimensioni normative (AI Act, DSA, NIS2, DORA) attorno a una comprensione condivisa del rischio sistemico.

Uno strumento operativo per affrontare questa complessità

Il modello citato, con le sue quattro dimensioni (scala, natura collettiva, irreversibilità e complessità) e i quattro livelli di rischio (single-model, multi-model, model-platform e model-institution), fornisce agli analisti della sicurezza, ai regolatori e ai responsabili delle decisioni uno strumento operativo per affrontare questa complessità con strumenti analitici adeguati.

La profonda digitalizzazione delle infrastrutture critiche, la crescente integrazione di sistemi di IA in funzioni istituzionali fondamentali e la concentrazione dell’ecosistema tecnologico su un numero limitato di modelli e fornitori creano le condizioni per incidenti informatici di portata sistemica senza precedenti.

Dotarsi di framework concettuali rigorosi, strumenti normativi adeguati e capacità operative all’altezza della sfida, dunque, non è un’opzione. Ma rappresenta una necessità per garantire la continuità del funzionamento delle nostre società digitali.

Riferimenti Bibliografici

• Achuthan, K., Ramanathan, S., Srinivas, S., & Raman, R. (2024). Advancing cybersecurity and privacy with artificial intelligence: current trends and future research directions. Frontiers in Big Data, 7, 1497535.
• Bengio, Y. et al. (2025). International AI Safety Report. arXiv preprint arXiv:2501.17805.
• European Systemic Risk Board. (2020). Systemic cyber risk. ESRB Report. Frankfurt: ESRB.
• European Systemic Risk Board. (2024). Advancing macroprudential tools for cyber resilience — Operational policy tools. ESRB.
• Galaz, V., Centeno, M. A., Callahan, P. W., et al. (2021). Artificial intelligence, systemic risks, and sustainability. Technology in Society, 67, 101741.
• Gutiérrez de Rozas, L. (2022). The first ten years of the European Systemic Risk Board (2011–2021). Financial Stability Review, (42), 121–152.
• Hacker P. (2024). Sustainable AI Regulation. Common Market Law Review, 61, 345–386.
• Hacker P., & Holweg, M. (2025). The Regulation of Fine-Tuning: Federated Compliance for Modified General-Purpose AI Models. SSRN Working Paper.
• Hacker, P., Kasirzadeh, A., & Edwards, L. (2025). AI, Digital Platforms, and the New Systemic Risk. Working Paper, September 2025.
• Helbing, D. (2013). Globally networked risks and how to respond. Nature, 497, 51–59.
• Jin, S., Bei, Z., Chen, B., & Xia, Y. (2024). Breaking the Cycle of Recurring Failures: Applying
• Generative AI to Root Cause Analysis in Legacy Banking Systems. arXiv preprint arXiv:2411.13017.
• Kasirzadeh, A. (2025). Two types of AI existential risk: decisive and accumulative. Philosophical Studies, 182, 1975–2003.
• Kaufman, G. G. (2003). Too big to fail in banking: What does it mean? Journal of Financial Stability, 1(1), 4–29.
• Micova, S. B., & Calef, A. (2023). Elements for Effective Systemic Risk Assessment under the DSA. Interoperability of Law.
• Renn, O., et al. (2022). The role of risk perception for risk governance. In O. Renn (Ed.), Risk governance. London: Routledge.
• Roshanaei, M., Khan, M. R., & Sylvester, N. N. (2024). Enhancing cybersecurity through AI and ML: Strategies, challenges, and future directions. Journal of Information Security, 15(3), 320–339.
• Schwarcz, S. L. (2008). Systemic risk. Georgetown Law Journal, 97(1), 193–249.
• Shumailov, I., Shumaylov, Z., Zhao, Y., et al. (2024). AI models collapse when trained on recursively generated data. Nature, 631, 755–759.
• Uuk, R., Gutierrez, C.I., Guppy, D., et al. (2024). A Taxonomy of Systemic Risks from General- Purpose AI. arXiv preprint arXiv:2412.07780.
• Wachter, S., Mittelstadt, B., & Russell, C. (2024). Do large language models have a legal duty to tell the truth? Royal Society Open Science, 11(8), 240197.