La diffusione delle AI generative come ChatGPT è fonte di preoccupazione relative a vari aspetti della sicurezza. Si tende a incentrare il discorso sul social engineering, sulla produzione di codice malevolo e simili. Pochi focalizzano il contesto dei pagamenti con le carte di credito aziendali, che è la specializzazione di Soldo, una piattaforma per il controllo e la gestione delle spese aziendali. Jacopo Tupac Santaiti, Cyber Security Lead di Soldo, ha condiviso alcune sue importanti considerazioni sul legame fra le AI generative e l’ambito dei pagamenti.

Qual è la tua opinione sui rischi di sicurezza che le AI possono introdurre nell’ambito dei servizi tecnologici?

L'intelligenza artificiale è una tecnologia in continua evoluzione che sta dimostrando di essere un alleato prezioso in molti campi e che la crescente accessibilità a questa tipologia di strumenti ad un vasto pubblico possa essere considerato, a buon diritto, un passo epocale per la storia della tecnologia. Se degli enormi vantaggi si sta ampiamente discutendo, poco e male ci si confronta sulle potenziali minacce che questa introduce. Attualmente, la maggior parte delle persone percepisce come principale minaccia l'impatto che la tecnologia può avere sull'occupazione dei lavoratori umani ad appannaggio di sistemi automatizzati.

Tuttavia, con la crescente diffusione dell’intelligenza artificiale, ritengo che sia il suo potenziale utilizzo malevolo a dover destare maggiori preoccupazioni. Frodatori e hacker, infatti, stanno già sfruttando l'intelligenza artificiale per ideare e svolgere attacchi sempre più sofisticati e difficili da rilevare.

Jacopo Tupac Santaiti, Cyber Security Lead di Soldo

Nel contesto dei pagamenti con carta, quali sono gli aspetti critici della sicurezza delle informazioni che possono essere influenzati dall'utilizzo delle intelligenze artificiali generative?

Nel contesto dei pagamenti con carta, l'utilizzo dell’intelligenza artificiale può amplificare significativamente il rischio di phishing, sia nei confronti dei clienti che dei dipendenti, rappresentando una minaccia significativa per la sicurezza delle informazioni. Le intelligenze artificiali generative possono essere utilizzate per reperire informazioni pubblicamente disponibili sulle vittime, come quelle presenti sui social network o nel dark web, e profilandole in modo molto accurato, creare messaggi altamente personalizzati e convincenti, al fine di ottenere informazioni sensibili o accesso non autorizzato.

Immaginiamo che qualcuno, dopo aver reperito tutte le informazioni disponibili su di voi, sulle persone che frequentate e sulle vostre abitudini, costruisca una lista di possibili password da queste. Partendo da una lista di migliaia di password “plausibili” costruite su misura per un utente è possibile in pochi minuti, se non in secondi identificare quella usata. Ancora peggio, immaginiamo che utilizzi i dati raccolti per fingersi un vostro collega o un operatore della vostra banca e, contattandovi telefonicamente, riesca ad essere sufficientemente convincente nel farvi condividere ulteriori informazioni.

Quali strategie proattive Soldo ha adottato per mitigare tali rischi?

Per mitigare questi rischi, in Soldo promuoviamo campagne di formazione ed informazione su come riconoscere le tecniche di ingegneria sociale usate nella tipologia di frodi sopra indicata. Più in generale, il nostro approccio alla sicurezza si fonda sul principio dello "Zero Trust", che suggerisce di non limitarsi ad accettare l’identità di qualcuno senza prima verificarla. In questo contesto, la verifica costituisce il fulcro della nostra strategia per contrastare efficacemente queste minacce.

Potresti condividere alcuni esempi specifici di come Soldo gestisce gli aspetti di sicurezza relativi alle minacce potenziate dall'utilizzo delle intelligenze artificiali generative nel settore dei pagamenti con carta?

Con la capacità delle intelligenze artificiali di potenziare gli attacchi di ingegneria sociale non possiamo più considerare sufficientemente confidenziali le informazioni gestite dall’utente, per questo motivo adottiamo rigorose misure di sicurezza per rinforzare il processo di autenticazione dei nostri clienti. Utilizziamo l'autenticazione forte sulla nostra piattaforma, per garantire che solo gli utenti autorizzati e verificati con un secondo passaggio possano accedere ai loro account ed eseguire azioni critiche.

Assicuriamo inoltre la possibilità di configurare profili d’utenza specifici alle aziende che utilizzano la nostra piattaforma e di poter definire capillarmente le singole autorizzazioni per ogni utente. La natura stessa della nostra piattaforma offre una visibilità di tutte le operazioni in tempo reale agli amministratori, potenzialità utile per identificare il più tempestivamente possibile eventuali anomalie e comportamenti sospetti. Cerchiamo a nostra volta di integrare strumenti di intelligenza artificiale tra i nostri sistemi di difesa così da poter identificare tempestivamente anche le anomalie più sofisticate e contrastarle adeguatamente nel minore tempo possibile.