Le olimpiadi invernali al via questa settimana alzano ulteriormente la posta in gioco, inserendo sistemi di Intelligenza Artificiale direttamente nei processi operativi. L’AI contribuirà a gestire l’evento su vasta scala, aprendo nuove possibilità di interferenza per gli attaccanti, anche senza ricorrere all’“hacking” nel senso tradizionale del termine. Il rischio principale non riguarda interruzioni di servizio o furti di credenziali, bensì la manipolazione dei comportamenti: input accuratamente costruiti possono indurre i modelli a divulgare informazioni sensibili, prendere decisioni errate o attivare azioni automatizzate indesiderate.
Non solo DDoS e phishing
I grandi eventi sportivi hanno da sempre attirato i criminali informatici. Sono i palcoscenici più visibili al mondo, e i prossimi Giochi Olimpici Invernali non fanno eccezione. Con circa 3 miliardi di spettatori e una rete logistica vastissima, che comprende trasporti, ospitalità, servizi di trasmissione e molto altro, l’impronta digitale è enorme e rappresenta un bersaglio estremamente allettante.
Per anni, il racconto delle minacce è rimasto sostanzialmente invariato: phishing, ransomware o, al massimo, attacchi DDoS per rallentare i sistemi. Questi rischi esistono ancora, ma nel frattempo è entrato in gioco un nuovo fattore: l’intelligenza artificiale è oggi parte integrante del funzionamento operativo di grandi eventi come le Olimpiadi Invernali.
Dai chatbot che gestiscono le richieste degli spettatori ai sistemi di pianificazione automatizzata, dagli strumenti di traduzione al rilevamento delle frodi fino all’analisi operativa, i sistemi di AI sono sempre più spesso chiamati a prendere decisioni o a eseguire automaticamente attività su larga scala. Un cambiamento che introduce una nuova categoria di rischi, che molti professionisti della sicurezza stanno ancora imparando a comprendere e affrontare.
La superficie di attacco ampliata
Il rischio legato all’intelligenza artificiale non si manifesta come un server mal configurato o una vulnerabilità non corretta. È più appropriato descriverlo come un rischio comportamentale, non puramente tecnico.
In altre parole, gli LLM e gli AI agent reagiscono a modelli e a contesti. È proprio questa capacità a renderli estremamente utili, ma anche sorprendentemente facili da sfruttare. Tecniche come la prompt injection – in sostanza input formulati con estrema attenzione – possono indurre un modello a divulgare dati o ad aggirare le proprie regole interne. Questi attacchi non richiedono il furto di una password: è sufficiente manipolare il modo in cui il modello interpreta l’intento dell’utente.
Nel frattempo, anche i criminali stanno utilizzando l’intelligenza artificiale. Le email di phishing non sono più facili da individuare: sono curate, localizzate e sensibili al contesto. Possono attingere a calendari reali e nomi autentici reperiti da fonti pubbliche, rendendo i tentativi di impersonificazione del tutto credibili.
In un contesto ad alta pressione come quello olimpico, dove tutto si muove rapidamente e si fa ampio affidamento sull’automazione, queste tecniche possono rivelarsi sorprendentemente efficaci.
Quando piccoli errori diventano grandi problemi
Un malfunzionamento dell’intelligenza artificiale non deve necessariamente assumere le proporzioni di una violazione spettacolare per generare il caos. Piccoli errori, amplificati dalla scala, possono avere conseguenze enormi.
Per approfondire il tema sulla sicurezza delle olimpiadi invernali, abbiamo interpellato Chuck Herrin, field CISO di F5, che ha individuato tre possibili scenari di attacco:
- Un chatbot di assistenza può essere indotto con l’inganno a rivelare percorsi interni di escalation.
- Un sistema di AI per la logistica potrebbe essere persuaso, tramite input malevoli, a inviare aggiornamenti errati a migliaia di persone.
- Un motore decisionale automatizzato potrebbe agire sulla base di informazioni false, aggirando i consueti controlli umani.
Nessuno di questi scenari richiede un attacco informatico tradizionale, sebbene possano essere abilitati dall’AI. Si verificano perché ai sistemi di AI viene concessa autorità senza adeguati vincoli. Il principio del privilegio minimo (uno dei principi fondamentali della sicurezza delle informazioni) sembra spesso essere un dettaglio secondario, mentre le organizzazioni corrono a implementare applicazioni basate sull’AI[1]. Pur sembrando inverosimili, gli esempi citati non sono teoria: il mondo sta già assistendo a violazioni dei dati causate da applicazioni di AI con un accesso eccessivamente ampio a sistemi e informazioni sensibili.[2]
Perché le vecchie regole non funzionano
La maggior parte dei nostri framework e controlli di sicurezza è stata progettata per proteggere componenti digitali come reti, sistemi e identità, e non sono quindi molto efficaci nel governare il comportamento.
Un’intelligenza artificiale non fallisce perché qualcuno ha lasciato una porta aperta. Fallisce perché le è stato permesso di ragionare in modi inattesi dai progettisti. I test tradizionali verificano se uno strumento funziona, raramente controllano come si comporta quando qualcuno cerca intenzionalmente di confonderlo.
Man mano che l’AI assume ruoli critici, la sua sicurezza deve essere valutata con lo stesso rigore delle applicazioni web e delle API tradizionali: implementare controlli di sicurezza e testarne l’efficacia. Fidarsi, ma verificare.
Nel mondo delle applicazioni web, un web application firewall (WAF) aiuta a proteggere dagli exploit zero-day (sconosciuti), mentre i test di penetrazione periodici verificano che il WAF sia configurato correttamente e che nessuna vulnerabilità sfugga al controllo. Gli stessi principi si applicano ai modelli linguistici di grandi dimensioni e alle applicazioni agentiche. Per i sistemi di IA, i guardrail svolgono un ruolo simile a quello dei WAF, mentre i test avversariali continui assumono il ruolo tradizionalmente ricoperto dai penetration test.
Guardrail efficaci
I guardrail non consistono semplicemente nel censurare parole offensive o bloccare abusi evidenti. Richiedono confini rigorosi e applicabili, in grado di distinguere tra comportamenti consentiti e “suggerimenti” ostili progettati per manipolare il comportamento del modello.
Sebbene molte soluzioni di guardrail dichiarino un’elevata efficacia, un recente articolo di F5 Labs AI Insights ha riportato una ricerca accademica che ha evidenziato un divario significativo tra le prestazioni dichiarate e quelle reali.
In valutazioni controllate, utilizzando prompt noti o documentati pubblicamente, i guardrail spesso funzionano bene. Tuttavia, quando vengono testati con input nuovi (come prompt strutturati in modo creativo, indiretti o poetici) la loro efficacia cala drasticamente. Questa discrepanza dimostra che i guardrail ottimizzati per minacce conosciute spesso non riescono a generalizzare, permettendo ai prompt avversari di aggirare i controlli senza violare in maniera evidente le policy.
Test avversariali
I penetration test sul web consistono nel tentare attivamente di sfruttare una applicazione come farebbe un vero attaccante. Vanno oltre la semplice scansione delle vulnerabilità, valutando se i controlli di sicurezza possano essere aggirati e se eventuali difetti possano combinarsi per causare un impatto reale. L’obiettivo è individuare e correggere i problemi prima che possano essere sfruttati nel mondo reale e danneggiare le olimpiadi invernali.
I test avversariali adottano lo stesso approccio dei penetration test, ma si concentrano su come i sistemi di AI possano essere manipolati tramite input, piuttosto che sfruttati tramite codice. Questo tipo di test indaga punti deboli come la prompt injection, l’override delle istruzioni, la divulgazione involontaria di dati e l’abuso dei flussi di lavoro agentici, nei quali i sistemi di AI possono compiere azioni o prendere decisioni in autonomia.
Poiché i sistemi di AI non sono statici, questo test deve essere continuo. Gli aggiornamenti dei modelli, le nuove integrazioni e l’evoluzione dei modelli di utilizzo possono tutti modificare il comportamento del sistema in modo sottile. Il test avversariale continuo (spesso supportato da strumenti di red teaming basati sull’AI) aiuta a identificare tempestivamente i punti deboli emergenti, consentendo di perfezionare e rafforzare le misure di protezione nell’ambito di un ciclo di feedback continuo sulla sicurezza.
Le olimpiadi invernali sono solo una versione più estesa e di più alto profilo di ciò che sta accadendo in ogni ufficio e settore in questo momento. La lezione da trarre non è che l’AI sia pericolosa, ma che un’AI priva di vincoli crea enormi punti ciechi e rischi significativi.
La sicurezza dell’AI non è più un problema teorico “futuro”. È una realtà operativa. Quando ci affidiamo a un sistema, la domanda non è solo “Funziona?”, ma “Come si comporta quando qualcuno cerca di farlo fallire?”.
Articolo a cura di Ian Lauth, Director, Product Marketing, AI di F5 (con il contributo di David Warburton, Director F5 Labs di F5)
[1] https://www.ncsc.gov.uk/collection/device-security-principles-for-manufacturers/minimise-the-privilege-and-reach-of-applications
[2] https://www.businessinsider.com/moltbook-ai-agent-hack-wiz-security-email-database-2026-2
