G7 e SBOM per l’IA, perché le nuove linee guida possono cambiare la cybersicurezza

Le nuove linee guida del G7 sul Software Bill of Materials (SBOM) applicato all’intelligenza artificiale rappresentano un passaggio importante perché introducono un principio destinato a diventare centrale nello sviluppo dei sistemi IA: la trasparenza della supply chain tecnologica.

In pratica, il G7 punta a creare una sorta di “distinta base” dell’intelligenza artificiale, un inventario capace di elencare modelli, librerie software, dataset, componenti open source, dipendenze e fornitori che compongono un sistema IA. Un approccio già utilizzato nella cybersicurezza tradizionale e ora esteso all’ecosistema dell’intelligenza artificiale.

Il punto centrale delle linee guida è che oggi molti sistemi IA sono vere e proprie “scatole nere”: aziende e pubbliche amministrazioni utilizzano piattaforme avanzate senza conoscere pienamente quali componenti le alimentino, da dove provengano o quali vulnerabilità possano contenere. Lo SBOM serve proprio a colmare questo vuoto di visibilità.

Dal punto di vista operativo, le linee guida consentono di tracciare con maggiore precisione eventuali falle di sicurezza. Se emerge una vulnerabilità in una libreria software o in un modello integrato in sistemi IA utilizzati da enti pubblici o aziende, lo SBOM permette di capire rapidamente dove quel componente sia presente e quali sistemi risultino esposti. È un meccanismo analogo ai richiami nel settore automobilistico o alimentare: identificare il componente critico e intervenire rapidamente.

C’è poi un aspetto geopolitico e industriale. Il documento nasce infatti in un contesto di crescente competizione tecnologica tra Stati Uniti, Europa e Cina. La trasparenza della filiera IA viene considerata un elemento strategico anche per ridurre dipendenze da tecnologie opache o sviluppate in Paesi percepiti come meno affidabili sotto il profilo cyber. Non a caso il G7 collega il tema della sicurezza IA alla resilienza economica e nazionale.

Le linee guida non introducono obblighi vincolanti immediati, ma fissano un primo standard condiviso tra le principali economie occidentali. È probabile che nei prossimi anni queste indicazioni confluiscano in future normative europee o internazionali, soprattutto nei settori critici come sanità, difesa, energia e pubblica amministrazione.

Un altro elemento rilevante riguarda il rapporto tra IA generativa e disinformazione. Rendere trasparente la composizione dei sistemi IA può aiutare anche a contrastare utilizzi malevoli, deepfake e manipolazioni algoritmiche, perché diventa più semplice verificare origine, affidabilità e catena di sviluppo delle applicazioni. Andrea Billet di ACN ha definito lo SBOM “la trasparenza declinata in formato tecnico”, sottolineando la necessità di sapere se “gli ingredienti siano genuini”.

In prospettiva, il vero valore delle linee guida potrebbe essere quello di creare un linguaggio comune internazionale sulla sicurezza dell’intelligenza artificiale. Un passaggio preliminare ma fondamentale per arrivare a standard condivisi, certificazioni e requisiti minimi di sicurezza per le applicazioni IA utilizzate da governi e imprese.

Linee guida Software Bill of Materials (SBOM)

Fonte: ACN