Cybersicurezza: la visione del G7 sui software dell’IA

Con un comunicato stampa del 16 giugno 2025, l’Agenzia per la cybersicurezza nazionale informa che l’Ufficio Federale per la Sicurezza Informatica della Germania e l'Agenzia per la cybersicurezza nazionale (ACN), nell’ambito del Gruppo di lavoro G7 sulla cybersicurezza, hanno redatto congiuntamente il documento “Una visione condivisa del G7 sull’inventario dei software dell’IA” che è stato condiviso dal Gruppo di lavoro durante l’ultima riunione tenutasi a Ottawa, dal 12 al 13 maggio 2025.

Il documento pone le basi per l’adozione di linee guida volte ad aumentare la sicurezza cyber dell’intelligenza artificiale nei nostri rispettivi contesti nazionali. Data l’evoluzione continua dei quadri legali e politici tra i membri del G7, questo documento resta aperto a ulteriori sviluppi.

Nel dettaglio, il Gruppo di Lavoro sulla Cybersicurezza del G7 suggerisce di introdurre un concetto comune di Software Bill of Materials per l’IA (SBOM per l’IA). Un SBOM per l’IA consiste in un registro strutturato dei dettagli e delle relazioni nella catena di fornitura per le varie componenti utilizzate nella costruzione di un sistema di IA. L’obiettivo di un SBOM per l’IA è contribuire a rafforzare la sicurezza dei sistemi di IA tramite la trasparenza della catena di fornitura dell’IA e la tracciabilità dei suoi componenti e dipendenze.

Il documento in commento presenta una visione condivisa e un primo riepilogo ad alto livello del concetto di SBOM per l’IA, inclusi i suoi benefici per la cybersicurezza, le sue proprietà e una proposta iniziale per i suoi elementi minimi esemplificativi. Sebbene gli SBOM per l’IA non siano esplicitamente uno strumento di cybersicurezza, se progettati e usati correttamente insieme a strumenti adeguati (es. software di gestione delle vulnerabilità), potrebbero favorire quell’inventario trasparente necessario per contribuire a mettere in sicurezza la catena di fornitura.

Perché un SBOM per l’IA sia efficace, è necessario che siano soddisfatte le seguenti tre proprietà:

• essere in grado di catturare gli aspetti statici e dinamici dei sistemi di IA (es. i dataset utilizzati per l’addestramento, il test e la validazione durante il ciclo di vita del sistema o i risultati dell’apprendimento) che li distinguono dai sistemi software tradizionali;
• essere facilmente elaborabile automaticamente e generato da strumenti in formato leggibile da una macchina;
• riuscire a sfruttare il più possibile formati di dati strutturati, per garantire che le informazioni rilevanti siano disponibili in modo trasparente su richiesta di tutti gli stakeholder.

Inoltre, è altrettanto importante definire chiaramente il set di informazioni che un SBOM per l’IA dovrebbe includere, definite come i suoi “elementi minimi”.

Il documento si conclude con una prospettiva sui prossimi passi necessari per proseguire con l’implementazione tecnica di un quadro SBOM per l’IA, sarà sicuramente necessario concentrarsi sulla definizione di una visione tecnica condivisa per affrontare queste sfide, partendo da un’analisi dello stato dell’arte dei quadri esistenti, da realizzarsi nella seconda metà del 2025. Seguiranno ulteriori lavori su raccomandazioni tecniche e linee guida, aprendo la strada alla definizione di un quadro comune G7 che favorisca l’adozione dello SBOM per l’IA da parte di operatori pubblici e privati.