In Lombardia i reati informatici sono aumentati del 24,8% nel 2022 e secondo Cyber Guru, piattaforma di Cybersecurity Awareness, per difendersi da attacchi sempre più “intelligenti” le imprese devono evolvere radicalmente la loro Cultura Aziendale.
Ansia da prestazione e da reattività immediata, oltre che il timore di risultare inefficienti al proprio capo o cliente sono vulnerabilità umane fin troppo attaccabili dai cyber-criminali che oggi si avvalgono di nuovi strumenti di intelligenza artificiale come ChatGPT.
Non si ferma il dibattito pubblico su ChatGPT, il chatbot basato su AI e machine learning lanciato da OpenAI. A distanza di qualche mese dal suo lancio questo strumento ha creato scompiglio a causa dei truffatori che ne stanno sfruttando l’ingegnosità per ingannare gli utenti e ottenere guadagni illeciti. Ampi scenari si aprono non solo per i singoli ma anche per le aziende che, se da un lato possono trarre benefici in termini di miglioramento della produttività, dall’altro possono essere minacciate dai cybercriminali che si servono della debolezza del fattore umano.
Soltanto il 7% delle imprese italiane ritiene di essere in grado di difendersi da un cyberattacco, inoltre, nel 2021, l’82% delle violazioni avvenute a livello globale hanno coinvolto il fattore umano, tendenza che con l’avvento di servizi accessibili a tutti basati su AI e machine learning possono solo aumentare nel 2023. In particolare, Cyber Guru, società italiana specializzata nella Cyber Security Awareness, mette in guardia su come questi strumenti di intelligenza artificiale più all’avanguardia possano davvero trarre vantaggio dai meccanismi mentali chiamati bias cognitivi, mettendo a segno truffe basate su dinamiche di gerarchia all’interno di un ambiente di lavoro.
Bias cognitivi: ecco quando prestare attenzione
In azienda uno dei bias più diffusi è sicuramente il principio di autorità, un automatismo che si fonda sulla tendenza delle persone a compiere azioni o prendere decisioni sulla base dell’autorevolezza percepita negli altri. Tanto più una persona è autorevole, tanto meno si metteranno in discussione le sue richieste. Per questa ragione, non è poi così strano ricevere una mail, poi rivelatasi un tentativo di phishing, dal proprio CEO o Presidente che chiede supporto per un’attività.
Urgenza e rispetto delle consegne sono all’ordine del giorno, per cui ad intervenire sono anche il fattore tempo e il bias del presente. Siamo ormai abituati a dimostrarci sempre online e reattivi e questo ci induce a prendere decisioni sempre più rapidamente, in più prediligiamo i vantaggi ottenuti nell’immediato invece di quelli ottenuti sul lungo periodo (bias del presente).
“Nel 2022 i reati informatici sono cresciuti del 24,8% in Lombardia e il fattore umano è tra le principali cause di questo fenomeno, che, in combinazione con l’intelligenza artificiale, offre ai criminali metodi sempre nuovi e più raffinati di mettere a segno delle truffe. Per difendersi è fondamentale un profondo cambiamento nella cultura aziendale” spiega Leonida Gianfagna, CTO and Machine Learning Researcher di Cyber Guru “i tentativi di truffa informatica attuati grazie ai chatbot di ultima generazione possono trovare una valida opposizione solo in ambienti che incoraggiano il dialogo tra i dipendenti e il management, dove i sottoposti si sentono liberi di potersi interrogare su eventuali strane richieste dall’AD o dal Direttore Finanziario”.
A questo proposito, Cyber Guru suggerisce di non farsi cogliere impreparati adottando comportamenti responsabili che tutti possono mettere in pratica. In primo luogo, non bisogna rispondere in maniera impulsiva alle mail ricevute, soprattutto se si tratta di un nuovo thread: al contrario, è bene prendersi un momento per assicurarci che il mittente sia attendibile e che non ci siano errori di battitura nell’indirizzo e nel dominio. Se fino a poco tempo fa smascherare i tentativi di phishing era più semplice perché vi erano tanti strafalcioni nel testo, questi oggi stanno scomparendo grazie all’automazione e al machine learning.
E che dire dei deepfake video o vocali? Non è semplice individuarli, ma se quanto che ci viene chiesto di fare è particolarmente insolito è importante fare una telefonata in più a costo di risultare pedanti. In termini generali, un video deep fake può essere smascherato dai colori troppo accesi sullo sfondo, dall’immagine eccessivamente statica e traslucida dell’interlocutore, che parla con un labiale non sincronizzato e coerente con le parole pronunciate.
Se da una parte l’intelligenza artificiale può imparare da noi, anche noi possiamo imparare ad utilizzarla nel giusto modo sfruttandone tutte le potenzialità: “Cambiando la Cultura Aziendale, investendo sul fattore umano e sul clima nelle organizzazioni sarà possibile sfruttare l’IA avanzata senza rischi eccessivi” Conclude Leonida Gianfagna.