Siamo di fronte a un cambiamento radicale nel panorama della sicurezza informatica. I modelli di intelligenza artificiale uncensored e “abliterated” (versioni modificate di AI open-source a cui sono state chirurgicamente rimosse tutte le barriere etiche) stanno trasformando quello che fino a ieri era un privilegio di pochi esperti in una capacità accessibile a chiunque disponga di un computer portatile. Questa democratizzazione della potenza offensiva rappresenta una discontinuità tecnologica che sfida ogni paradigma tradizionale di controllo, e le sue implicazioni per le infrastrutture di rete e i sistemi di comunicazione sono tanto profonde quanto sottovalutate. Il fenomeno opera in una zona d’ombra della consapevolezza collettiva.
Mentre viene discusso in gruppi specializzati e su canali Telegram di nicchia, manca una vera comprensione pubblica della sua portata. Eppure bastano pochi giorni dal rilascio di un nuovo modello open-weight perché emergano versioni abliterate capaci di rispondere senza alcuna obiezione a qualsiasi stimolo estremo. La cosa più inquietante è che tutto funziona anche su un normale laptop, completamente offline,
senza possibilità alcuna di controllo o monitoraggio esterno.
Indice degli argomenti
La minaccia più pericolosa
La minaccia fondamentale non risiede tanto nel fatto che questi modelli “insegnino il male” – le informazioni pericolose sono comunque reperibili altrove. Il vero problema è
l’automatizzazione e la semplificazione radicale dell’accesso a capacità offensive sofisticate e l’abbassamento della soglia minima di preparazione tecnica necessaria per compiere un attacco. Un tempo, orchestrare un attacco complesso contro un’infrastruttura di rete richiedeva team di esperti, conoscenze specialistiche accumulate in anni di studio e risorse considerevoli. Oggi, un individuo senza particolari competenze tecniche può ottenere da un modello abliterated istruzioni dettagliate per compromettere protocolli di routing, generare exploit zero-day o costruire attacchi DDoS coordinati di nuova generazione. Le risorse tecniche, organizzative e di operational security ovviamente non sono cambiate, cambia
l’aiuto che deriva da questi tool per la pianificazione e progettazione dell’attacco.
Non vi è dubbio che tendere le AI cambieranno radicalmente la dinamica degli attacchi, ma per quello, nel campo delle Tlc, servono ancora infrastrutture operative di rilievo. Nonostante questo, la disponibilità di modelli abliterati di grandi dimensioni è un segnale che non va assolutamente ignorato.
La sicurezza delle reti 5G e delle piattaforme IoT
Le reti di quinta generazione, con la loro architettura virtualizzata basata su software-
defined networking e network function virtualization, hanno quindi caratteristiche che le
rendono particolarmente vulnerabili agli attacchi cyber, alle backdoor, ecc. La flessibilità che ne costituisce il punto di forza diventa anche un punto di debolezza quando affrontata con strumenti offensivi altamente sofisticati. Se democratizzati e automatizzati, ovviamente, cosa cambia nel rischio cyber è la likelihood che un attacco venga compiuto, che più threat actors (i.e., i cybercriminali) possano pianificare, mettere in opera e condurre attacchi sofisticati, precedentemente riservati all’élite.
Gli Small Language Models (SLM), quella categoria di AI caratterizzata da
efficienza e capacità di operare su dispositivi con risorse limitate, permettono a una gamma molto più ampia di attori di implementare attacchi sofisticati e mirati. Il discorso generale non cambia con le reti IoT.
Il ruolo degli operatori
Quale ruolo possono giocare gli operatori di telecomunicazioni nello sviluppo di contromisure tecnologiche per contrastare l’uso malevolo dell’AI generativa?
Di fronte alla trasformazione radicale del panorama delle minacce, gli operatori di
telecomunicazioni non possono limitarsi a rafforzare le difese esistenti. Serve un cambio di paradigma che riconosca una verità fondamentale: la risposta deve essere sistemica, combinando educazione digitale, rafforzamento delle competenze di detection, cooperazione internazionale e, soprattutto, sviluppo di contromisure tecnologiche altrettanto democratizzate e accessibili.
Il concetto di AI difensiva distribuita rappresenta probabilmente l’approccio più
promettente. Se i modelli abliterated democratizzano la capacità offensiva, le organizzazioni devono sviluppare sistemi di intelligenza artificiale difensiva che operano secondo la stessa logica di accessibilità e distribuzione. Non si tratta di contrapporre un modello centralizzato a minacce distribuite – strategia destinata al fallimento – ma di creare un ecosistema difensivo altrettanto distribuito e resiliente. Che poi, a dire il vero, il concetto stesso di resilienza è superato, a causa dell’accelerazione che anche il cybercrime ha avuto. Si preferisce oggigiorno parlare di antifragilità.
La differenza è sostanziale. La cyber resilienza riguarda la capacità di “resistere e riprendersi” dopo un attacco informatico, riportando le operazioni al loro stato originale nel minor tempo possibile. L’antifragilità, invece, va oltre: significa “migliorare” dopo uno stress, utilizzando attacchi ed eventi avversi come opportunità per rafforzare le difese e crescere, non solo per resistere o ripristinare. In questo senso, l’antifragilità può essere considerata un obiettivo superiore rispetto alla cyber resilienza, poiché permette ai sistemi di diventare migliori grazie agli attacchi e agli imprevisti, anziché limitarsi a sopravvivergli.
Le zero trust architecture
Un’altra interessante evoluzione è quella delle zero trust architecture, potenziate
dall’intelligenza artificiale. Il principio del “non fidarsi mai, verificare sempre” diventa
ancora più critico quando gli attaccanti possono utilizzare AI adulterate o quando le AI
diventano agentiche e distribuite. La validazione continua dell’identità e del contesto, anche delle stesse AI, supportata da AI difensiva capace di rilevare anomalie sottili, rende significativamente più difficile compiere attacchi automatizzati. Questo, però, è un tema ancora di frontiera.
Infine, come sottolineato nel white paper, sono fondamentali una vera discussione pubblica e una consapevolezza diffusa, anche tra i professionisti sull’uso corretto e non delle AI. I programmi di formazione per clienti enterprise non possono limitarsi ai tradizionali temi di security awareness o ai corsi su come fare richieste alle AI, ma devono includere specificamente minacce, opportunità e casi di uso adeguati dei modelli AI. Per usare il termine corretto, passare dall’AI-literacy all’AI-competency.
Le aziende dovrebbero formare i propri team su questi argomenti: come verificare il lavoro dell’AI, come utilizzarla in modo sicuro e cosa evitare. Sta diventando una competenza lavorativa fondamentale. Il più grande errore è non imparare affatto a utilizzare l’AI. Il futuro non riguarda l’AI che sostituisce le persone; riguarda le persone che sanno come usare l’AI in modo responsabile. Tutti gli argomenti sono ben rappresentati nella formazione sulla cybersecurity del Cefriel.
Gli impatti delle regole Ue sull’AI
Il tentativo dell’Unione europea di regolamentare l’intelligenza artificiale attraverso l’AI Act rappresenta uno sforzo ambizioso e necessario, ma permangono aree di incertezza interpretativa quando applicato ai modelli abliterated. Queste incertezze riflettono una sfida fondamentale: come regolamentare tecnologie intrinsecamente decentralizzate e non controllabili attraverso approcci centralizzati tradizionali.
Sebbene i modelli abliterated possano circolare anche al di fuori dell’UE, l’AI Act può avere portata extraterritoriale in taluni casi (es. immissione sul mercato UE o uso dell’output nell’Unione), per cui la mera collocazione geografica non è decisiva.
I modelli abliterated sono scaricati da repository internazionali, eseguiti su hardware locale, utilizzati in contesti che non attraversano confini nazionali in modo rilevabile. Un cittadino europeo può scaricare un modello da Hugging Face, modificarlo ulteriormente, e utilizzarlo completamente offline; il fatto che l’uso non sia rilevato non ne implica la liceità. L’uso offline rende il monitoraggio tecnicamente impraticabile.
A differenza dei servizi cloud-based come ChatGPT o Claude, dove ogni interazione passa attraverso server dell’azienda e può essere soggetta a logging e moderazione, i modelli abliterated eseguiti localmente non lasciano tracce esterne. La riduzione dei costi computazionali dei recenti modelli SLM (Small Language Model) anche di dimensioni ragguardevoli (svariati Gb) potrebbe rendere questi scenari più frequenti, fermo restando il rispetto delle norme applicabili. La responsabilità diffusa rappresenta una sfida rilevante. Non esiste un soggetto chiaramente identificabile responsabile dell’uso improprio.
Chi è responsabile quando un modello viene rilasciato in forma open-weight, modificato da una persona, redistribuito da un’altra, scaricato da una terza, e infine utilizzato per scopi illeciti da una quarta? Il Regolamento AI individua diverse categorie di operatori (ad es. fornitori, utilizzatori/deployer, importatori, distributori), chi sviluppa e immette sul mercato modelli, o chi li integra in applicazioni commerciali. Un privato cittadino che usa un modello open source per conto proprio non rientra nella definizione di “fornitore” o “deployer” soggetto alla legge. In linea generale, l’uso esclusivamente personale resta fuori campo, fatti salvi altri regimi giuridici eventualmente applicabili.
Questa esclusione, comprensibile dal punto di vista della proporzionalità regolatoria, crea però un vuoto normativo significativo. Il paradosso si amplifica quando consideriamo che l’AI Act potrebbe, in alcuni casi, incentivare il rilascio di modelli open‑weight o più agili per restare al di sotto di soglie che attivano obblighi più stringenti.
Gli LLM sono soggetti all’AI Act al di sopra di una certa capacità computazionale, avere dei modelli più agili li farebbe sgusciare al di sotto dei radar normativi. Questo aspetto merita un approfondimento tecnico‑giuridico dedicato.
Di fronte a queste sfide, l’approccio regolatorio che punti principalmente al controllo delle versioni abliterated rischia di essere poco efficace per i motivi appena discussi. La regolamentazione dovrebbe concentrarsi invece a monte, sui modelli base open-weight originali.
Se regolamentare direttamente gli utenti finali è impraticabile, applicare l’AI Act alle
piattaforme di distribuzione come Hugging Face potrebbe essere più efficace. A seconda del ruolo effettivamente svolto, tali piattaforme potrebbero essere qualificate come distributori e soggette a specifici obblighi.
Queste piattaforme potrebbero essere obbligate a implementare sistemi di moderazione per identificare e rimuovere modelli abliterated, condurre due diligence sui modelli pubblicati, e fornire reporting obbligatorio di modelli sospetti alle autorità.
Questo approccio non è privo di problemi. Le piattaforme possono sostenere di essere
semplici hosting provider, non responsabili per i contenuti caricati dagli utenti. La natura tecnica dei modelli rende difficile per il personale non specializzato identificare quali siano stati abliterated. E anche se una piattaforma rimuove un modello, esso può facilmente riapparire su altre piattaforme, anche al di fuori della giurisdizione europea; resta comunque possibile l’applicazione dell’AI Act quando l’output è usato nell’Unione.
Inoltre, la quasi totalità dei modelli abliterated e uncensored sono pubblicati con scopi ludici: creare storie horror o sottilmente erotiche, ecc. Mai dichiaratamente per utilizzi di cybercrime o criminali. Il problema si intreccia con la libertà di espressione.
Il problema resta complesso e in evoluzione. La proporzionalità della misura regolatoria impone che non si possa imporre un embargo o una censura preventiva. La presa di coscienza di questo tipo di minacce e lo studio di contromisure specifiche siano oggi prioritari, in attesa di ulteriori chiarimenti applicativi e linee guida.
