A settembre 2025 il G7 Cyber Expert Group (CEG) ha pubblicato una dichiarazione su Intelligenza artificiale e cybersecurity che mette in relazione diretta l’evoluzione dell’IA con la resilienza informatica del sistema finanziario. Il documento non introduce nuovi obblighi regolatori, ma invita autorità e imprese a integrare i rischi “AI-enabled” nei processi di governo e gestione del rischio, a rafforzare la sicurezza e la governance dei dati e a promuovere cooperazione pubblico-privato-accademia. Sebbene il focus sia il settore finanziario, le raccomandazioni hanno rilevanza trasversale per tutte le organizzazioni che adottano IA in ambienti regolati.
Che cos’è il G7 Cyber Expert Group e perché questa dichiarazione conta
Il G7 Cyber Expert Group opera dal 2015 come gruppo tecnico che coordina policy e strategie di cybersecurity tra i Paesi G7 (più istituzioni UE), con co-presidenza U.S. Department of the Treasury e Bank of England. Produce linee guida non vincolanti (“Fundamental Elements”) su temi come gestione del rischio cyber di terze parti, TLPT (threat-led penetration testing), ransomware e, ora, IA e sicurezza (nota: la pagina ufficiale del Tesoro USA riepiloga ruolo, membri e serie di documenti).
La Banca d’Italia ha dato notizia della pubblicazione il 22 settembre 2025, sottolineando come la dichiarazione solleciti l’integrazione dei rischi legati all’IA nei framework di risk management esistenti, il rafforzamento della data governance e della cybersecurity, nonché lo sviluppo di competenze interne.
Cosa dice il documento del G7 Cyber Expert Group (in estrema sintesi)
La dichiarazione evidenzia tre dimensioni principali dell’intersezione IA-cyber:
- IA come fattore di difesa. Dalle capacità di anomaly detection alla fraud detection (inclusa l’individuazione di deepfake nei processi KYC), fino al supporto dei SOC (sintesi degli incidenti, raccomandazioni di risposta) e al patch/vulnerability prioritization: l’IA può accrescere velocità e precisione di detection/response. Il testo lo riassume così: “When deployed effectively, AI can bolster cyber resilience by enhancing the speed and precision of detection and response…” (estratto breve);
- IA come moltiplicatore di minacce esistenti. Phishing iper-personalizzato, impersonation/deepfake, automazione della ricognizione e malware adattivo riducono le barriere di ingresso per gli attaccanti e ampliano scala e sofisticazione degli attacchi;
- IA come nuovo “piano d’attacco”. Vulnerabilità intrinseche ai sistemi di IA: data poisoning (su dataset di training e produzione), prompt injection, data leakage da interazioni con strumenti pubblici, oltre a rischi sulla supply chain (librerie, dataset, servizi cloud e API di provider terzi).
Il documento collega questi aspetti a implicazioni di sicurezza operativa, model risk, oversight umano, concentrazione dei fornitori e carenza di competenze; quindi propone “key considerations” che includono:
- allineamento strategy-governance-oversight, secure-by-design per i sistemi di IA,
- data security e lineage, logging/monitoring per anomalie e edge-case,
- rafforzamento di identity & authentication contro frodi/impersonation,
- aggiornamento dei playbook di incident response per scenari IA-specifici,
- piani per le competenze.
Implicazioni per le imprese (anche oltre il perimetro finanziario)
Come accennato, la dichiarazione non fissa aspettative regolatorie: serve a “far salire di livello” consapevolezza e confronto tra autorità, imprese e sviluppatori e va letta insieme alla serie “Fundamental Elements” del G7. In altre parole, per ora non è vincolante. Tuttavia, la forza della dichiarazione sta nell’essere non prescrittiva ma operativa: descrive come l’IA può sia rinforzare la difesa sia amplificare i rischi, e fornisce un set di considerazioni pratiche per integrare l’IA in governance, sicurezza e supervisione. Per i vertici aziendali è un segnale di policy chiaro: l’IA va trattata come rischio trasversale di business, non come add-on tecnologico.
Per questo motivo, andrebbero valutate fin da subito le possibili implicazioni per le imprese, non solo quelle del “perimetro finanziario”. A tutolo esemplificativo ne identifichiamo e ripotiamo alcune di seguito.
- Governance: dal “tema IT” a rischio d’impresa. L’IA diventa variabile strutturale del profilo di rischio operativo, reputazionale e di conformità: va integrata nei framework esistenti (ERM, cyber risk, data governance) con responsabilità chiare e indicatori misurabili.
- Data security & lineage come condizione abilitante. Dataset, origini, trasformazioni, policy di accesso e riuso (incluso retraining) devono essere tracciabili; servono controlli per prevenire leakage ed esfiltrazione in tool pubblici.
- Supply chain AI e rischio di concentrazione. La dipendenza da pochi provider (foundation models, piattaforme, librerie) può creare single points of failure: mappare sostituibilità dei servizi, clausole di reversibilità/portabilità e criteri di due diligence dei terzi.
- Incident response “AI-aware”. Aggiornare playbook per gestire data poisoning, prompt injection, impersonation/deepfake e attacchi automatizzati, con monitoraggio di anomalie e red teaming ad hoc sui modelli.
- Capacità e cultura. La dichiarazione invita esplicitamente a rafforzare competenze interne e collaborazione con sviluppatori, fornitori e ricerca. Nulla di nuovo per chi si occupa di IT e cybersicurezza ma… ricordarlo è sempre un bene!
Da un punto di vista accademico, la posizione del G7 segna il passaggio da un dibattito etico sull’IA a uno pragmatico sulla sua gestione del rischio operativo e strategico. Questa mossa spinge verso una maggiore “accountability” delle aziende che sviluppano e implementano soluzioni di Intelligenza Artificiale.
Le conseguenze a breve e medio termine saranno molteplici:
- pressione regolatoria: è probabile che queste direttive si traducano in future normative nazionali e sovranazionali o che vengano integrate in framework esistenti come la Direttiva NIS 2;
- standardizzazione: assisteremo a un’accelerazione nello sviluppo di standard internazionali per la sicurezza dei sistemi IA, un processo in cui l’OCSE e altri organismi tecnici giocheranno un ruolo chiave;
- impatto sul mercato: le aziende che adotteranno proattivamente questi principi di sicurezza e governance potranno ottenere un vantaggio competitivo, aumentando la fiducia di clienti e investitori. Al contrario, chi ignorerà queste indicazioni si esporrà a rischi reputazionali, legali e finanziari sempre maggiori.
In conclusione, la dichiarazione del G7 non è un semplice invito, ma un chiaro avvertimento. L’era dell’innovazione tecnologica slegata dalla governance della sicurezza è finita. Per le imprese, integrare l’IA in modo sicuro non è più un’opzione, ma un imperativo strategico per la sopravvivenza e la prosperità nell’economia digitale del futuro.
