Cyber Threat Intelligence: di cosa parliamo?

L'uso della lingua inglese nel mondo ricco di tecnologia in cui viviamo è una costante, al pari della velocità della luce nella fisica.

Capita spesso di parlare tra esperti di cybersecurity, magari di paesi diversi, dando per scontato che ci si capisca solo perché si usano termini inglesi come, per esempio, "cyber threat intelligence". 

La domanda che ci poniamo oggi é: quando diciamo "Cyber Threat Intelligence" tutti sanno di che si parla? Proviamo a capirlo assieme partendo dal termine "Threat". 

Consultando un vocabolario bilingue scopriamo che la parola "Threat" significa "minaccia". Se ci poniamo nel mondo cyber, possiamo fare riferimento alla definizione del National Institute for Standard and Technology (USA - NIST SP 800-30 / 150 e CNSSI-4009): che definisce "Cyber Threat" come: 

"Qualsiasi circostanza o evento capace di influire negativamente sulle operazioni di una organizzazione (missione, funzioni, immagine o reputazione), sui beni dell'organizzazione, sugli individui, altre organizzazioni o la Nazione attraverso un sistema informativo tramite accesso non autorizzato, distruzione, divulgazione, modifica delle informazioni e/o negazione del servizio."

Per capire cosa si intende per "Threat Intelligence" facciamo ricorso al sito di Kaspersky : 

"La threat intelligence consente di individuare e analizzare le minacce informatiche rivolte contro un'azienda, setacciando enormi quantità di dati, esaminandoli e contestualizzandoli alla ricerca di problemi reali e di soluzioni possibili." 

Mettendo assieme i concetti, possiamo dire che per Cyber Threat Intelligence si intende "la ricerca e l'analisi delle minacce informatiche rivolte contro un'azienda, una organizzazione, uno Stato e la loro contestualizzazione alla ricerca di problemi reali e delle loro soluzioni".

I principali obiettivi della Threat Intelligence sono:

- conoscere i propri avversari (attivisti, organizzazioni criminali, governi, concorrenti... l'Attribuzione);

- quali tattiche (il perché) e tecniche (il come) possono essere utilizzate contro la nostra azienda;

- quali sono i controlli da mettere in campo in base alle minacce e come mitigare il rischio (le possibili soluzioni). 

Esistono tantissimi strumenti impiegati per fare cyber threat intelligence; il MITRE ce ne fornisce diversi e per approfondire esistono alcuni ottimi articoli che consigliamo, tra i quali "Combattere i cattivi in modo strutturato" di Marco Rottigni e "Conoscere le cyber-tattiche dell'avversario" di Orazio Danilo Russo.

Chiarita la terminologia, passiamo ad un esempio pratico che aiuti a capire i concetti appena espressi.

Supponiamo di essere a capo di una società che si occupa di produzione e vendita di guanti in gomma che vendiamo sul territorio nazionale e oltre. Il CISO (Chief Information Security Officer) in coordinamento col CTO (Chief Technology Officer) dell'azienda ha scelto un antivirus per le postazioni di lavoro e per le macchine di controllo di produzione e ha stipulato un contratto con una società fornitrice di servizi di sicurezza.

Il ruolo della società fornitrice dei servizi di sicurezza è quello di raccogliere i dati di tutti i dispositivi della nostra società, di analizzarli, correlarli, contestualizzarli, alla ricerca di minacce reali e dirette contro la nostra società e suggerire le varie possibili modalità di mitigazione e/o soluzioni dei problemi e delle minacce identificate.

La scelta di una o più soluzioni, tra quelle proposte, dipende da tanti fattori, uno fra tanti il rapporto costo/efficacia.

Un esempio: supponiamo che dalla prima raccolta di dati sulle postazioni di rete emerga che alcune postazioni hanno un sistema operativo vecchio, non aggiornato o non più supportato. Tra le soluzioni che potrebbero essere suggerite troveremo sicuramente:

- aggiornare il sistema operativo;

- cambiare il sistema operativo non più supportato;

- cambiare le macchine incriminate.

Naturalmente le soluzioni elencate andranno a risolvere/mitigare solo alcune delle problematiche relative alla sicurezza aziendale, esistono infatti minacce di diverso tipo e non tutte hanno lo stesso effetto su una società od organizzazione. Dobbiamo sempre tener presente che per quanto saremo bravi e attenti non è possibile eliminare tutte le minacce!

La scelta della soluzione da mettere in atto spetterà alla società, che agisce solitamente sulla base di criteri economici ma anche contingenti. Nel nostro esempio, potrebbe capitare che le macchine individuate siano impiegate in un ciclo di produzione che non può essere interrotto senza compromettere l'intero processo e che quindi non sia possibile mettere in pratica tutte le soluzioni suggerite. La Cyber Threat Intelligence ha la sua importanza ma è solo un tassello della sicurezza aziendale. 

Per questo motivo non è possibile delegare tutto all'esterno, se non in casi molto particolari. Spetta al CISO e al CTO, che conoscono la società, i processi produttivi e il contesto operativo, prendere la decisione corretta sulla base di vari fattori, tra questi anche la Cyber Threat Intelligence.

Alessandro Rugolo, Annalisa Diana

Ringraziamo tutti gli amici di SICYNT per i suggerimenti che ci hanno consentito di migliorare l'articolo, rendendolo comprensibile a tutti.

Per approfondire:

- CNSSI-4009.pdf (rmf.org)

- Guide to Cyber Threat Information Sharing (nist.gov)

- SP 800-30 Rev. 1, Guide for Conducting Risk Assessments | CSRC (nist.gov)

- https://www.kaspersky.com/resource-center/definitions/threat-intelligence

- Introduction to Cyber Threat Intelligence (CTI): A Definitive Guide for The Beginners - Hackers Terminal

- The MITRE Corporation

Come creare la nostra Artificial Intelligence

immagine tratta da: 
https://p4pe.co/product/artificial-intelligence-and-machine-learning-essentials/

Abbiamo parlato spesso di Artificial Intelligence, ma non l'abbiamo ancora fatto dal punto di vista di chi vuole avvicinarsi alla materia e provare a costruire la sua propria AI.

Oggi invece ci avviciniamo ai più giovani cercando di spiegare cosa occorre per realizzare una AI, quali strumenti sono utili e come procedere passo passo verso il proprio obiettivo.

In questo articolo diamo per scontate alcune conoscenze, in particolare non spieghiamo cos'è una AI. Se proseguendo la lettura vi rendete conto di aver bisogno di rinfrescare qualche concetto, vi suggerisco di leggere l'articolo "La nuova rivoluzione digitale, il Deep Learning" di Andrea Piras, dove potrete trovare le definizioni e spiegazioni di AI, Machine Learning e Deep Learning.

Individuare il problema

Può sembrare strano ma se si vuole costruire una AI bisogna individuare per bene il problema che si vuole risolvere. 

Precisiamo subito che un problema che appare semplice dal punto di vista umano potrebbe essere difficile o complesso per una AI e viceversa. L'AI è di solito molto efficace nello svolgere compiti ripetitivi e che magari potrebbero essere alienanti per una persona. Per esempio supponiamo di aver bisogno di raccogliere foto e disegni di alcuni tipi di frutta (pere e mele). Potremmo assumere una persona capace di disegnare e mandarla in giro alla ricerca di soggetti da disegnare. Leonardo da Vinci probabilmente avrebbe girato per i mercati cittadini e per le campagne realizzando di persona i disegni. Oppure potremmo assumere un fotografo, chiedendogli di realizzare degli scatti che poi utilizzeremo per le nostre necessità. Potremmo anche assumere qualcuno che si metta a scandagliare internet alla ricerca di immagini e che poi le salvi in due cartelle diverse a seconda del soggetto. Potremmo, nell'ultimo caso, utilizzare una AI creata per lo scopo. Come vedete il compito è relativamente semplice, ma metodologia e tecnologia impiegate sono diverse. 

Allo stesso modo è possibile che l'identico problema sia risolvibile utilizzando tipi differenti di Intelligenza Artificiale. Occorre dunque cercare di definire bene il problema e scegliere la metodologia migliore per raggiungere lo scopo. Infine, a seconda del problema, potrebbe anche capitare che utilizzare una AI si riveli inutile e dispendioso, ma noi non ci occuperemo di quest'ultimo caso.

Sui dati...

Definito il problema si potrebbe essere tentati dal passare alla scrittura del programma (codice) che ci aiuterà a risolverlo (parliamo sempre di raccogliere immagini, foto o disegni di pere e mele e di classificarle). Ma non è così, prima di tutto occorre pensare ai dati. Occorre cercare di capire con che tipo di dati abbiamo a che fare (strutturati o non strutturati) e come dobbiamo catalogarli: dobbiamo dividere le mele e le pere oppure occorre fare qualcosa di più complesso magari distinguendo tra frutti di diverso colore? L'analisi sui dati è molto importante e sarà utile in diverse fasi del nostro progetto, in particolare nella fase di addestramento della nostra AI, in pratica quando le viene insegnato a svolgere il compito per cui è stata creata.

Come ho detto prima i dati si possono dividere in due macro categorie: strutturati o non strutturati.

I dati strutturati sono conformi ad un modello, hanno una struttura ben definita, sono ordinati ed è possibile accedervi facilmente per impiegarli (sia da una persona, sia da un programma). Normalmente si conservano all'interno di database. Se consideriamo l'esempio delle mele e pere precedentemente introdotto, possiamo associare ai due frutti delle caratteristiche loro proprie (colore, dimensione, forma...) che serviranno per distinguerle e saranno utilizzati per addestrare l'algoritmo. 

I dati non strutturati sono invece video, foto, audio... molto più difficili da trattare.   

L'algoritmo

Dopo aver riflettuto sulla tipologia di dati con cui avremo a che fare, possiamo iniziare a pensare all'algoritmo più idoneo alla risoluzione del problema, algoritmo che diventerà il cuore della nostra AI. 

Possiamo dividere gli algoritmi in due categorie chiamate "supervised learning" e "unsupervised learning". 

Alla prima categoria (supervised learning) appartengono degli algoritmi che richiedono l'intervento umano, principalmente per classificare manualmente i dati che verranno poi impiegati per addestrare l'algoritmo. Se il nostro problema consistesse nel verificare le email in arrivo e selezionare quelle di spam, da mandare su una apposita cartella, probabilmente useremo un algoritmo di questa categoria utilizzando come esempi un numero molto elevato di messaggi che gli utilizzatori hanno classificato come legittimi o spam. Tra queste tecniche possiamo annoverare le neural networks, naive Bayes, linear regression, logistic regression, support vector machine (SVM), k-nearest neighbor, random forest.

Alla seconda categoria (unsupervised learning) appartengono algoritmi che non necessitano dell'intervento umano per classificare i dati e vi appartengono tre sottocategorie: clustering, association e dimensionality reduction. Sempre a titolo di esempio, se il nostro problema consiste nell'identificare attività potenzialmente malevole in una rete aziendale, probabilmente utilizzeremo un algoritmo di clustering per individuare l'insieme delle attività che appaiono molto diverse da quelle usuali. 

Addestrare l'AI

La fase successiva consiste nell'addestrare l'algoritmo a svolgere il compito. Per tornare al semplice esempio iniziale della suddivisione di immagini di pere e mele occorrerà addestrare il nostro algoritmo a riconoscere i due frutti con una certa accuratezza. L'accuratezza dipende da noi, è una cosa che dobbiamo decidere in base ai nostri obiettivi di business. Potremmo decidere che ci interessa una accuratezza dell'80%, il che significa che il nostro algoritmo dovrà essere in grado di riconoscere una pera o una mela da immagini di frutta 80 volte su cento. questo significa che possiamo gestire l'errore dell'algoritmo attraverso un'altra metodologia (per esempio mettendo una persona a controllare le immagini selezionate) oppure che l'errore non causa danni al nostro business o ancora che il danno causato è inferiore alla spesa che dovremmo sostenere per migliorare il processo di selezione.

Se però nella fase di addestramento non si riesce a raggiungere l'accuratezza richiesta potrebbe essere necessario fare un passo indietro e scegliere un diverso tipo di algoritmo. Ma prima di cambiare algoritmo è meglio verificarne la configurazione (attraverso i parametri di configurazione) e se il dataset selezionato per eseguire l'addestramento è corretto. Per tornare al solito esempio di selezione di mele e pere, se tra le immagini usate per l'addestramento abbiamo per errore utilizzato solo immagini di pere e mele di colore rosso potrebbe darsi che l'AI non riconosca pere e mele di altri colori non riuscendo perciò a raggiungere l'accuratezza richiesta. In questo caso sarà sufficiente modificare il dataset per comprendere frutti di vari colori, fino a raggiungere l'accuratezza richiesta.

Linguaggio di programmazione e piattaforma

Il passo successivo consiste nella scelta del linguaggio di programmazione da utilizzare. La scelta dipende dalle nostre conoscenze di programmazione.

I linguaggi che possono essere utilizzati sono tanti ma i più comuni sono Python e R in quanto possiedono già molte librerie già pronte all'uso che semplificano la scrittura del codice. Infine è necessario scegliere la piattaforma che ci consentirà di costruire la nostra AI. Esistono varie piattaforme che aiutano nella realizzazione del nostro progetto, tra queste per esempio TensorFlow è una piattaforma open source che permette di fare delle prove senza spendere niente, oppure Numpy, Keras, Pandas, scikit-learn, Matplotlib, Seaborn e cosi via, il panorama è veramente ampio.

Non resta che provare...

A proposito, dimenticavo di dire che la nostra AI si alimenta continuamente dei dati che riceve. Ne tiene traccia e li utilizza. Così è possibile insegnarle a fare previsioni, magari sulla qualità e tipo di mele che troveremo al mercato nei mesi prossimi. Ma questo è un altro problema! 

Alessandro Rugolo

(Ringrazio tutti gli amici di SICYNT che mi hanno consigliato ed aiutato a migliorare l'articolo)

Per approfondire:

- La nuova rivoluzione digitale, il deep learning - Difesa Online

- Step-by-Step Methods To Build Your Own AI System Today | upGrad blog

- What is Structured Data? - GeeksforGeeks

- What is Supervised Learning? | IBM

- Types of Artificial Intelligence Algorithms You Should Know [A Complete Guide] | upGrad blog

- Unsupervised Learning for Cyber (hmgstrategy.com)

Amazon e Stellantis per l'automotive del futuro

(foto: https://techtarget.itmedia.co.jp/)

Nel mese di gennaio di questo splendido (si fa per dire) 2022, una notizia è stata riportata da alcuni giornali ma probabilmente è passata inosservata dai più, me compreso.

Si tratta del partenariato strategico tra Stellantis e Amazon. 

Ricordo che Stellantis (con quartier generale nei Paesi Bassi) è la multinazionale automotive nata nel 2021 dalla fusione della italo-americana Fiat Chrysler e della francese PSA.

Non credo sia necessario invece ricordare cosa sia Amazon. 

Il partenariato strategico farà si che Alexa (l'assistente virtuale di Amazon) sarà incluso nativamente nei veicoli prodotti dal gruppo, allo scopo di svolgere le funzioni relative a numerosi comandi vocali. Secondo alcuni articoli Alexa avrà anche il compito di gestire non solo il veicolo ma anche la domotica relativa al proprietario del veicolo, unendo in una unica interfaccia numerose funzionalità.

Amazon si occuperà della gestione dei dati generati dalla totalità dei veicoli di Stellantis, più di dodici milioni al momento (34 milioni previsti al 2030), cosa che permetterà di sviluppare nuovi servizi.

Tra le novità c'è anche lo sviluppo di una nuova generazione di chip per le autovetture, adattate alle esigenze dei costruttori di auto.

Naturalmente ci si potrebbe porre diverse domande in merito alla partnership.

La prima domanda riguarda il trattamento di dati da parte della multinazionale (Stellantis), che nonostante la sede nei Paesi Bassi, quindi in Europa, è di proprietà, tra gli altri, per il 14 % della Exor N.V. (controllata dalla famiglia Agnelli), per il 7 % dalla PSA (Peugeot S.A.) e per il 3 % da Dongfeng Motor Corporation (produttore di automobili dello stato cinese con sede a Wuhan).

Quali sono i possibili problemi che si potrebbero verificare ? Dove saranno custoditi i dati personali? A chi ci si dovrà rivolgere in caso di problemi legali? Chi sarà responsabile qualora un ransomware dovesse compromettere i sistemi e bloccare automobili o abitazioni, magari interi quartieri? 

In caso di guerra (e quella commerciale e finanziaria sappiamo bene essere sempre in corso) cosa può accadere? In caso di furto di credenziali milioni di auto e di proprietà collegate potrebbero essere hackerate, bloccate, distrutte. E chi scommetterebbe sulla incolumità di personaggi politici o capi militari o di fazione considerati nemici ? Cosa potrebbe accadere in caso di un attacco statuale contro i sistemi di guida automatica di milioni di auto, magari per creare il caos preliminare ad un attacco convenzionale? 

La seconda domanda riguarda le possibilità per Alexa di impiego dei dati per analisi e successiva valorizzazione. Come verranno impiegati i dati? Per lo sviluppo di servizi utili in qualche modo all'utente ma anche, e soprattutto, per migliorare gli utili delle multinazionali che sono indubbiamente in una posizione di forza.

La terza domanda riguarda la cyber security. Siamo sicuri che sia utile rendere ancora più connesso il mondo in cui ci muoviamo e lavoriamo tutti i giorni? Attenzione, non sono certo uno di quelli che dicono che la tecnologia è il diavolo, la tecnologia (quella digitale in particolare) è utile per tanti aspetti, ma è anche molto vulnerabile.  

Ancora una volta, noi singoli acquirenti non potremo fare altro che stare a vedere cosa accade, sperando di non doverne pagare le conseguenze.

Renzo Arbore direbbe: "Meditate, gente, meditate...".

Alessandro Rugolo 

Per approfondire:

- Partenariat stratégique d’ampleur entre Stellantis et Amazon (incyber.fr);

- Official Global Website | Stellantis;

- Amazon Alexa Official Site: What is Alexa?

- Stellantis and Amazon Collaborating on Connected Vehicles | Datamation;

- Amazon’s tech is headed to millions of Stellantis vehicles in 2024 | TechCrunch 

Infrastrutture Critiche: standard condivisi per la protezione cyber

(foto: https://www.quanterion.com)

La situazione in cui stiamo vivendo ci sta mostrando ogni giorno che le guerre cyber hanno caratteristiche completamente differenti dai conflitti tradizionali. Un attacco cyber segue i principi della guerra asimmetrica: non c’è un fronte ben definito, gli attacchi possono arrivare da qualunque parte ed in qualunque momento. Anche con risorse tutto sommato limitate si possono creare danni sostanziali: la protezione pertanto deve essere diffusa, aggiornata e strutturata secondo criteri condivisi.

E importante avere un approccio metodologico corretto e che sia in grado di coprire tutte le difese da implementare per la protezione di sistemi e reti necessari al funzionamento del Paese.

Nel mondo delle infrastrutture critiche, l’erogazione dei servizi di pubblica utilità ha la massima priorità e deve essere mantenuta, per assicurare che non si verifichino danni alle persone, all’ambiente, ai sistemi di processo. Danni che potrebbero arrivare a causare ingenti perdite di vite umane e di capitali finanziari.

In quest’ottica la normativa NIS ha dato un forte contributo nella individuazione degli obiettivi da proteggere, nella presa di coscienza dei rischi e ha permesso di prendere coscienza delle reali misure di protezione cibernetica esistenti nel Paese.

Compiuto il primo passo, è importante che venga ora presa in considerazione la peculiarità dei sistemi di controllo industriale che rappresentano il cuore pulsante di ogni infrastruttura che fornisce servizi essenziali. Pensiamo a un DCS (Distribuited Control System) in un impianto petrolchimico o in una industria farmaceutica, a uno SCADA (Supervision Control And data Acquisition) in una rete di distribuzione elettrica, del gas o dell’acqua potabile, a un sistema BMS (Building Management System) per il controllo di un ospedale. Ebbene tutte queste infrastrutture hanno la necessità di proteggere in modo puntuale il loro funzionamento, secondo regole che siano chiare, ben definite e di facile applicazione, in termini di tecnologie e processi. E che siano comprensibili ed applicabili in un contesto che non sia puramente dedicato all’Information Technology, ma che possano sposarsi con il modus operandi di chi interagisce con il mondo cyber-fisico, ed abbia un background non solo IT.

Safety e Security

Nella terminologia dei sistemi di controllo industriale si usa una terminologia derivata dalla lingua anglosassone che distingue tra Safety e Security. In italiano non abbiamo questa distinzione, da noi si parla di “sicurezza” in senso omnicomprensivo, ma la distinzione anglofona ha un suo perchè.

La Safety ha a che fare con la sicurezza HSE, Health, Safety & Environment” (letteralmente: Salute, Sicurezza e Ambiente), mentre Security si occupa di sicurezza dei dati, che nel mondo industriale sono pero’ relativi non tanto ai dati personali, quanto ai dati necessari a mantenere un processo attivo e funzionante in modo corretto.

In alcuni ambiti vi sono infatti i sistemi preposti alla salvaguardia della safety, i cosiddetti Safety Instrumented Systems (SIS) che hanno il compito di agire come estrema linea di difesa prima che un sistema possa produrre un danno catastrofico. A titolo di esempio, sono i sistemi che sovraintendono ad uno shut-down di emergenza, prima che possa avvenire una esplosione in un reattore di processo, alla chiusura di una parte di impianto soggetta ad un incendio, in modo che l’incendio non si propaghi, sono i sistemi che regolano il traffico in un tunnel. Ebbene questi sistemi devono già rispettare dei livelli di sicurezza ben precisi che vengono definiti da standard internazionali, ripresi anche da leggi nazionali (tra gli altri l’IEC 61511, IEC61508) che danno delle scale di sicurezza da rispettare in funzione dei rischi da mitigare e di conseguenza dei danni che potrebbero essere causati da un malfunzionamento. E recentemente in alcuni paesi l’obbligo di protezione include anche la cybersecurity per i sistemi SIS.

La scala di sicurezza per la safety va da SIL1: valore minimo, a SIL4: massima sicurezza di impianto. SIL sta per Safety Integrity Level.

Quanto detto è una pratica utilizzata da tempo e accettata in tutti i comparti industriali e nelle infrastrutture critiche e consente di definire in modo chiaro e preciso come proteggere l’uomo, sia esso un lavoratore, un utente o un cittadino da danni che possono essere causati dai macchinari, intesi nel loro senso piu’ completo.

Analogamente al metodo di classificare la sicurezza “safety” con una scala di facile comprensione ed applicabilità, esiste uno standard “de facto” specifico per la protezione dei sistemi di controllo industriale OT (Operational Technology) da attacchi cibernetici: l’IEC62443, che sta ormai assumendo una valenza orizzontale, cioè valida in ogni contesto ove vi siano da proteggere dei sistemi o delle reti, dalle azioni malevole dell’uomo.

Lo standard è nato negli stati uniti all’inizio degli anni 2000 come ISA99 ed è stato poi recepito a livello internazionale come IEC62443. Una delle parti di questo standard definisce proprio, in funzione dei rischi e delle minacce da cui proteggersi, dei livelli di sicurezza cyber da implementare.

Quali sono le minacce? Come possono essere classificate, per poi implementare delle misure di protezione?

A tal proposito vi sono diverse classificazioni, ma una delle piu efficaci è quella dell’ FBI che identifica le seguenti:

Lo standard IEC62443-3-3 identifica i Security Level, come livelli di sicurezza da implementare, in funzione di parametri di rischio riconducibili alle minacce sopraelencate, basate su quattro principali fattori: Motivazioni, Skills, Mezzi e Risorse.

L’applicazione di un livello di sicurezza SL4 consente ad una infrastruttura critica di avere una altissima protezione per far fronte ad attacchi di guerra cibernetica scatenati da APT (Advanced Persistent Threats), da organizzazioni cioè che dispongono di risorse estese, mezzi sofisticati, conoscenze approfondite nell’ambito dei sistemi di controllo industriale (ICS) e che hanno forti motivazioni.

Come è perché valutare un Security Level (SL)?

Un SL rappresenta un parametro oggettivo, non soggetto a derive che possono essere ereditate dalla esperienza del singolo, dalla forza di convincimento di un technology supplier, o alla storia aziendale pregressa. Lo standard definisce 7 parametri (Fuctional Requirements) su cui valutare il livello di sicurezza: Identification Authentication Control, User Control, Data Integrity, Data Confidentiality, Restricted Data Flow, Timely response to Event, System Availability.

Ciascun FR ha dei controlli supplementari da rispettare, in funzione del grado di sicurezza da ottenere. Vi sono delle check list puntuali per valutare il Security Level del sistema e della rete, con piu’ di 100 items da controllare.

Qual è il vantaggio di introdurre un approccio “standard based” per proteggere le infrastrutture del Paese? Un approccio di questo tipo dà la possibilità di richiedere, con chiarezza, un livello minimo di sicurezza, basato sul rischio, che tenga conto delle conseguenze che un attacco potrebbe avere sul sistema.

Dal lato dell’operatore, si propone un modello di classificazione già entrato nel suo modus operandi per quanto riguarda la sicurezza fisica con i livelli SIL definiti in precedenza. E come ulteriore beneficio, si dà agli operatori la possibilità di definire un percorso di messa in sicurezza sviluppabile a “milestones” al fine di raggiungere un Security Level Target chiaro, in un lasso di tempo ragionevole.

L’approccio della implementazione di protezioni cyber secondo la IEC62443 con Security Level è sempre più diffuso in ambito internazionale. Infatti, oggi molti progetti internazionali richiedono il rispetto dei livelli SL 2 o SL3, laddove le infrastrutture siano ritenute critiche e gli effetti di attacchi malevoli possano avere conseguenze per la popolazione o l’ambiente.

A tal proposito, basti ricordare come nel 2015, in seguito all’attacco cyber BlackEnegy alla rete elettrica di Kiev, che creò un blackout a metà della città, analisi forensi abbiano dimostrato come l’implementazione di un Security Level 2 nel sistema di controllo della rete elettrica, avrebbe evitato che l’exploit andasse a buon fine.

Concludendo, credo che sia giunto il momento di prestare particolare attenzione non solo alla difesa della privacy dei dati personali o alla conservazione dei dati di business, ma anche alla difesa delle infrastrutture critiche in termini di continuità di funzionamento e di rischi HSE, applicando uno standard che sia dedicato alla protezione cyber dei sistemi di controllo industriale in senso lato, come l’IEC61443.

E’ importante che vi sia una attenzione del legislatore nel dare agli operatori dei servizi essenziali guide certe per implementare misure di protezione omogenee e che vengano definiti dei livelli di cibersicurezza minimi, tali da proteggere la Security delle infrastrutture critiche, cosi come già avviene per la Safety. La protezione delle infrastrutture del Paese deve essere impostata con parametri certi, oggettivi e misurabili.


Umberto Cattaneo

(IEC62443 expert, PMP, membro di IEC62443 TC65/WG10)

Intelligenza Artificiale e Forze dell'Ordine: tecnologia ed etica del progetto AIDA

Sempre più di frequente, l’Intelligenza Artificiale (IA) viene utilizzata dalle Forze dell’Ordine per contrastare reati anche molto diversi tra di loro tra cui il cybercrime (crimine informatico) e il terrorismo. Ma qual è la percezione dei cittadini rispetto a questa tecnologia, promettente ma non perfetta, quando usata in ambito sicurezza e difesa? 

La prevenzione del crimine: gli obiettivi di AIDA

Il tema della prevenzione del crimine è particolarmente caro a AIDA che punta però a qualcosa di ancora più sottile con il suo progetto di ricerca europeo intitolato Artificial Intelligence and advanced Data Analytics for Law Enforcement Agencies (Intelligenza Artificiale e Analisi avanzata dei Dati per le Forze dell'Ordine),: la previsione dei crimini. Qualcosa che può suonare familiare ai fan del film “Minority Report”, con un Tom Cruise molto giovane nei panni del capitano John Anderton e un sistema, il “Precrimine”, che era così perfetto (all’apparenza) da consentire alla Polizia di evitare i crimini prima che questi accadessero nella realtà.

Insomma un traguardo ambizioso, quello di voler prevenire i crimini prevedendoli attraverso sofisiticati algoritmi di Machine Learning e di Intelligenza Artificiale in grado di scandagliare e analizzare le informazioni grazie a una piattaforma di analisi dei dati descrittiva e predittiva. Ma per centrare il risultato, tutt’altro che dettato dal mero sviluppo di tecnologie, seppur innovative, AIDA ha deciso di “lavorare” su una moltitudine di aspetti. Uno di questi è incentrato sulla componente sociale. Ovvero cosa penserebbero le persone di un uso così importante dell’Intelligenza Artificiale al servizio dalle Forze dell’Ordine? L’importanza della posta in palio ha indotto l’Unione Europea a finanziare il progetto di ricerca Europeo AIDA con quasi otto milioni di euro all’interno del programma Horizon 2020 (grant agreement n° 883596), partito ufficialmente a settembre 2020 e si concluderà a settembre 2022, a 24 mesi esatti di distanza.

In Italia il progetto è guidato da Engineering Ingegneria Informatica e vede Pluribus One, con sede a Cagliari, alla guida del Work Package incentrato sulla generazione di sistemi di IA per la gestione e l’acquisizione delle informazioni e per la contemporanea analisi dei gruppi criminali. 

Il progetto AIDA mira a sviluppare una piattaforma di analisi dei dati e un insieme di strumenti ad hoc per contrastare in modo efficace le attività criminali. Senza però tralasciare la componente sociale, ovvero l’impatto che un utilizzo così massiccio dell’intelligenza artificiale da parte dei tutori dell’ordine pubblico potrebbe avere sui cittadini. 

Per questo motivo, il progetto ha contemplato un primo sondaggio quantitativo a cui ne è seguito uno qualitativo che è andato a indagare più profondamente nel pensiero delle persone, per cercare di mettere a fuoco idee, paure, dubbi e tutto quello che può venire in mente quando si tira in ballo l’Intelligenza Artificiale in ambito sicurezza. 

La prima parziale analisi dei sondaggi quantitativi (di cui vi abbiamo parlato in un precedente articolo) che sono stati compilati da 2850 persone in 11 diversi paesi europei ha evidenziato, per esempio che soprattutto in Estonia, Spagna e Inghilterra c’è una totale fiducia nelle Forze dell’Ordine e nel loro operato da parte dei cittadini. I risultati sono stati presentati dal partner CENTRIC, centro d'eccellenza nella ricerca contro il crimine e nel contrasto al terrorismo, con sede presso l’Università di Sheffield Hallam (Regno Unito), alla conferenza IKE’21 (20th Int'l Conf on Information & Knowledge Engineering)(1).

L’obiettivo di AIDA è quello di mettere a disposizione delle Forze dell’Ordine un sistema e degli strumenti utili a aumentare la sicurezza mondiale. Ma non senza considerare l’impatto che un uso massiccio dell’IA potrebbe avere sulle persone comuni. 

Ecco perché lo sviluppo della piattaforma e dei tool correlati sarà organizzato nel rispetto della privacy e terrà conto della componente etica dalla quale non si dovrebbe mai prescindere.

Il sondaggio qualitativo

Il sondaggio sull’IA utilizzata dalle Forze dell’Ordine ha coinvolto dieci nazioni in Europa, per un totale di circa 140 interviste a comuni cittadini. 

Germania, Grecia, Olanda, Inghilterra, Spagna, Portogallo, Italia, Repubblica Ceca, Estonia e Romania hanno dunque preso parte in modo attivo a questa preziosa parte di ricerca che avrà un peso importante per capire che tipo di percezione hanno le persone su una tecnologia sempre più dirompente. 

Videocamere, droni, monitoraggio online fanno ormai infatti parte del quotidiano. Ma sono tecnologie che mettono a disagio i cittadini? 

Oppure, per contro, questi si sentono più sicuri quando queste tecnologie vengono usate? E il fatto che le Forze dell’Ordine possano utilizzarle rappresenta un vantaggio o uno svantaggio se si pensa alla privacy?

Le domande sono state rivolte ai partecipanti che hanno potuto così spiegare le loro sensazioni, esprimendo anche dubbi e eventuali perplessità su un utilizzo dell’Intelligenza Artificiale che potrebbe non essere esente da criticità. 

I dati emersi dal blocco di interviste in italiano condotte tra gli Over 65 ha messo in evidenza alcuni interessanti aspetti. Ovvero che ci sono diverse sfumature nella percezione che le persone hanno rispetto all’Intelligenza Artificiale usata dalle Forze dell’Ordine. Si passa da chi si fida e si fiderebbe ciecamente anche in caso di un uso più “stringente” di questa tecnologia, a chi invece nutre più di una perplessità e tira in ballo termini decisamente forti come quello di uno scenario poliziesco. Perché della Polizia si fiderebbe sì, ma con cautela. 

E ancora, c’è chi già adesso si sente infastidito da un certo tipo di interferenza nella vita di tutti i giorni (videosorveglianza, monitoraggio online) e invece chi proprio perché “spiato” si sente in qualche modo più sicuro. 

I dati, raccolti nazione per nazione, verranno analizzati e processati da CENTRIC e divulgati da EUROPOL, Ufficio Europeo di Polizia, partner di progetto e responsabile per la disseminazione dei risultati di ricerca ottenuti all’interno di AIDA.

Il tema della previsione del crimine dunque è più attuale che mai ma ancora c’è molto da lavorare in questa direzione. Con buona pace degli appassionati di “Minority Report” che probabilmente dovranno attendere ancora un po’ di tempo prima di assistere al concretizzarsi di una piattaforma in stile “Precrimine”.

Maris Matteucci

1. L’articolo scientifico (P.S. Bayerl, B. Akhgar, E. La Mattina, B. Pirillo, I.Cotoi, D. Ariu, M.Mauri, J. Garcìa, D. Kavallieros, A. Kardara, K. Karagiorgou, “Strategies to counter Artificial Intellingence in Law Enforcement: Cross-Country Comparison of Citizens in Greece, Italy and Spain”) verrà pubblicato sul circuito Springer come conference proceeding.

DIFESA ON AIR (MERCOLEDI' 23 FEBBRAIO ALLE 21.00): "CYBERWAR: E' GIA' COMINCIATA ?"

(foto: information-age.com)

Che cosa sta succedendo attorno a noi? 

Per quale motivo non passa giorno senza che nuovi cyber attacchi mettano a repentaglio i nostri dati e più in generale le nostre infrastrutture critiche?

Perché vi sono Stati che si sono organizzati (o lo stanno facendo) come se si fosse in guerra? 

Cosa significa APT?

Quali sono i rischi cyber legati alla sempre crescente importanza strategica del dominio spaziale?

Cos'è la cyber war? 

Cosa si intende per hybrid war?

In compagnia di esperti del settore e di tutti coloro che vorranno seguirci o porre domande (via facebook), cominceremo proprio dal cercare una risposta a queste ultime due domande per provare a capire quali sono i rischi che la nostra società, sempre più interconnessa e basata sull'impiego di tecnologie digitali, sta affrontando.

PREVISIONE E PREDIZIONE. INTELLIGENZA ARTIFICIALE E INTELLIGENZA UMANA. CHI CONDIZIONA CHI?

(Foto: www.golegal.co.za)

Uomo e macchina. 

Un binomio a cui, ormai, siamo abituati e che impaurisce ogni volta che lo si pronuncia. 

Il dilemma di fondo è quello di capire fino a che punto l’uomo debba cedere spazi di manovra alla macchina.

Uno dei campi del sapere in cui si discute maggiormente è senz’altro quello del diritto, in particolare delle decisioni giudiziarie cosiddette automatizzate.

E’ vero che avremo un giudice robot molto presto? Per rispondere, si individui prima cosa si intende, in generale, per previsione e predizione.

Esistono almeno quattro situazioni nelle quali il diritto e gli operatori (giuristi e legislatori) si misurano con la «previsione» ovvero con la necessità/capacità di vedere e valutare in anticipo ciò che accadrà in futuro. Vediamole.

1. La previsione normativa.

Nel lessico dei giuristi compare spesso l’espressione «previsione normativa» per indicare la situazione astratta che il legislatore immagina e alla cui esistenza viene riconnesso il sorgere di determinate conseguenze. In dati contesti coincide con la cosiddetta «fattispecie astratta».

Il concetto di previsione è, quindi, connaturato a quello di norma: il compito di quest’ultima è prefigurare una situazione possibile del futuro. Quando interpretiamo un enunciato normativo siamo portati, da un lato, ad immaginare le circostanze di fatto nelle quali esso può trovare applicazione e, dall’altro, a chiederci il perché di quella previsione, cercando di individuare le ragioni che hanno spinto il legislatore a fare o a non fare certe scelte.

2. La previsione/prevedibilità della risposta dell’ordinamento: la certezza del diritto.

In una prospettiva connessa a quanto appena detto si colloca la previsione dell’esito di una controversia.

La sentenza segna il passaggio dalla «previsione normativa» astratta alla giustizia del singolo caso al quale quella previsione viene applicata. È il momento nel quale la fattispecie concreta si adatta perfettamente alla fattispecie astratta secondo un modello di ragionamento di tipo sillogistico. L’idea di un «diritto calcolabile» riposa sulla convinzione che l’esito di ogni controversia debba essere «prevedibile». Proprio tale assunto dà corpo ad uno dei pilastri della nostra civiltà giuridica: quello della «certezza del diritto». Il sistema giuridico compulsato in ordine ad un determinato problema deve fornire sempre la medesima risposta. Perché certo è solo ciò che è prevedibile. 

3) La previsione degli effetti della regolazione.

Assumendo l’ottica propria dei regolatori/legislatori (e dei giuristi che con loro collaborano) si deve ricordare come, da qualche lustro, sempre maggiore enfasi venga posta sulla necessità di «prevedere» gli effetti delle norme e della regolazione: le norme si devono emanare solo se, al termine di una adeguata istruttoria, si è ragionevolmente certi che sortiranno gli effetti voluti e previsti.

Occorre quindi essere ragionevolmente in grado di «prevedere»:

a) come reagiranno i consociati alle nuove regole (se terranno o meno i comportamenti auspicati e/o imposti);

b) se davvero gli effetti prodotti dalle nuove regole porteranno al conseguimento degli obiettivi voluti.

4. La previsione/predittività dell’intelligenza artificiale.

La nuova frontiera è rappresentata dalle capacità predittive dell’intelligenza artificiale, anche se meglio sarebbe dire della «data science» e del «data mining» applicati al mondo del diritto («legal analytics»). Tralasciando il ben noto caso statunitense Loomis (nel quale al software COMPAS sembrava essere stata delegata la capacità di prevedere l’attitudine alla recidiva del signor Loomis) qui si intende la capacità di elaborare previsioni mediante un calcolo probabilistico effettuato da algoritmi operanti su base semplicemente statistica o su base logica.

La «legal analytics» può essere usata per prevedere l’esito di un giudizio. 

Nel 2016, ad esempio, è stato svolto uno studio che, grazie ai progressi nell’elaborazione del linguaggio naturale e nell’apprendimento automatico, si proponeva di costruire modelli predittivi utili a svelare gli schemi che guidano le decisioni giudiziarie. Il lavoro ha previsto l’esito dei casi analizzati dalla Corte europea dei diritti umani basandosi sul loro contenuto testuale: la previsione è riuscita nel 79% dei casi. E, più in generale, può essere usata per predire i comportamenti di tutti gli attori del sistema giuridico. Lex Machina, una emanazione di Lexis-Nexis, combina dati e software per creare set di dati su giudici, avvocati, parti e soggetti di cause legali, analizzando milioni di pagine di informazioni sulle controversie. Con questi dati gli avvocati possono prevedere i comportamenti e gli esiti che produrranno le diverse possibili strategie legali.

La «legal analytics» si propone di predire gli esiti dei processi: non già sulla base di un rigoroso e meccanico ragionamento giuridico, bensì alla luce di sofisticate analisi algoritmico/statistiche di moli enormi di dati (big data).

Un conto è ipotizzare possibili orientamenti di una corte, dei giudici, degli operatori. Altra cosa è prevedere con certezza l’esito del singolo giudizio. Per ottenere questo dovremmo disporre di algoritmi in grado di governare incertezza e imprevedibilità. Ed, in ogni caso, residuerebbe il problema etico circa la legittimità di affidare una decisione giuridica a questo tipo di algoritmo.

A proposito di quest’ultimo aspetto, è doveroso richiamare il lavoro fatto dalla Commissione Europea per l’efficienza della giustizia (CEPEJ), la quale ha adottato la cosiddetta Carta Etica Europea sull’utilizzo dell’intelligenza artificiale nei sistemi giudiziari e negli ambiti connessi. La Carta, emanata nel 2018, ha stabilito cinque princìpi cardine sull’uso della Intelligenza Artificiale nel sistema “giustizia”.

• Intanto, si veda cosa intende l’Europa per intelligenza artificiale.

Insieme di metodi scientifici, teorie e tecniche finalizzate a riprodurre mediante le macchine le capacità cognitive degli esseri umani. Gli attuali sviluppi mirano a far svolgere alle macchine compiti complessi precedentemente svolti da esseri umani. Tuttavia, l’espressione “intelligenza artificiale” è criticata dagli esperti, che distinguono tra intelligenze artificiali “forti” (capaci di contestualizzare problemi specializzati di varia natura in maniera completamente autonoma) e intelligenze artificiali “deboli” o “moderate” (alte prestazioni nel loro ambito di addestramento). Alcuni esperti sostengono che le intelligenze artificiali “forti”, per essere in grado di modellizzare il mondo nella sua interezza, necessiterebbero di progressi significativi della ricerca di base e non soltanto di semplici miglioramenti delle prestazioni dei sistemi esistenti. Gli strumenti menzionati nel presente documento sono sviluppati utilizzando metodi di apprendimento automatico, ovvero intelligenze artificiali “deboli”.

• E che cosa intende per Predictive justice (Giustizia Predittiva).

Per giustizia predittiva si intende l’analisi di una grande quantità di decisioni giudiziarie mediante tecnologie di intelligenza artificiale al fine di formulare previsioni sull’esito di alcune tipologie di controversie specialistiche (per esempio, quelle relative alle indennità di licenziamento o agli assegni di mantenimento). Il termine “predittivo” utilizzato dalle società di legal tech è tratto dalle branche della scienza (principalmente la statistica) che consentono di predire risultati futuri grazie all’analisi induttiva. Le decisioni giudiziarie sono trattate al fine di scoprire correlazioni tra i dati in ingresso (criteri previsti dalla legge, fatti oggetto della causa, motivazione) e i dati in uscita (decisione formale relativa, per esempio, all’importo del risarcimento). Le correlazioni che sono giudicate pertinenti consentono di creare modelli che, qualora siano utilizzati con nuovi dati in ingresso (nuovi fatti o precisazioni introdotti sotto forma di parametri, quali la durata del rapporto contrattuale), producono secondo i loro sviluppatori una previsione della decisione. Alcuni autori hanno criticato questo approccio sia formalmente che sostanzialmente, sostenendo che, in generale, la modellizzazione matematica di determinati fenomeni sociali non è un compito paragonabile ad altre attività quantificabili più facilmente (isolare i fattori realmente causativi di una decisione giudiziaria è un compito infinitamente più complesso di giocare, per esempio, una partita di Go o riconoscere un’immagine): il rischio di false correlazioni è molto più elevato. Inoltre, in dottrina, due decisioni contraddittorie possono dimostrarsi valide qualora il ragionamento giuridico sia fondato. Conseguentemente la formulazione di previsioni costituirebbe un esercizio di carattere puramente indicativo e senza alcuna pretesa prescrittiva.

Fissati i termini, scopriamo quali sono i principi basilari stabiliti dalla CEPEJ.

1. PRINCIPIO DEL RISPETTO DEI DIRITTI FONDAMENTALI:

assicurare l’elaborazione e l’attuazione di strumenti e servizi di intelligenza artificiale che siano compatibili con i diritti fondamentali. Quando gli strumenti di intelligenza artificiale sono utilizzati per dirimere una controversia, per fornire supporto nel processo decisionale giudiziario, o per orientare il pubblico, è essenziale assicurare che essi non minino le garanzie del diritto di accesso a un giudice e del diritto a un equo processo (parità delle armi e rispetto del contraddittorio).

Ciò significa che, fin dalle fasi dell’elaborazione e dell’apprendimento, dovrebbero essere pienamente previste norme che proibiscono la violazione diretta o indiretta dei valori fondamentali protetti dalle Convenzioni sovranazionali.

Human rights by design.

2. PRINCIPIO DI NON-DISCRIMINAZIONE:

prevenire specificamente lo sviluppo o l’intensificazione di qualsiasi discriminazione tra persone o gruppi di persone. Data la capacità di tali metodologie di trattamento di rivelare le discriminazioni esistenti, mediante il raggruppamento o la classificazione di dati relativi a persone o a gruppi di persone, gli attori pubblici e privati devono assicurare che le metodologie non riproducano e non aggravino tali discriminazioni e che non conducano ad analisi o usi deterministici.

Il metodo deve essere NON discriminatorio.

3. PRINCIPIO DI QUALITÀ E SICUREZZA:

in ordine al trattamento di decisioni e dati giudiziari, utilizzare fonti certificate e dati intangibili con modelli elaborati multidisciplinarmente, in un ambiente tecnologico sicuro. I creatori di modelli di apprendimento automatico dovrebbero poter fare ampio ricorso alla competenza dei pertinenti professionisti del sistema della giustizia e ricercatori nei campi del diritto e delle scienze sociali. La costituzione di squadre di progetto miste, per brevi cicli di elaborazione, al fine di produrre modelli funzionali è uno dei metodi organizzativi che permettono di ottenere il meglio da tale approccio multidisciplinare.

Più siamo a progettare, meglio è.

4. PRINCIPIO DI TRASPARENZA, IMPARZIALITÀ ED EQUITÀ:

rendere le metodologie di trattamento dei dati accessibili e comprensibili, autorizzare verifiche esterne. Deve essere raggiunto un equilibrio tra la proprietà intellettuale di alcune metodologie di trattamento e l’esigenza di trasparenza (accesso al processo creativo), imparzialità (assenza di pregiudizi), equità e integrità intellettuale (privilegiare gli interessi della giustizia) quando si utilizzano strumenti che possono avere conseguenze giuridiche, o che possono incidere significativamente sulla vita delle persone. Dovrebbe essere chiaro che tali misure si applicano all’intero processo creativo, così come alla catena operativa, in quanto la metodologia di selezione e la qualità e l’organizzazione dei dati influenzano direttamente la fase dell’apprendimento.

L’Intelligenza Artificiale deve poter essere verificata da terze parti.

5. PRINCIPIO DEL “CONTROLLO DA PARTE DELL’UTILIZZATORE”:

precludere un approccio prescrittivo e assicurare che gli utilizzatori siano attori informati e abbiano il controllo delle loro scelte. L’utilizzo di strumenti e servizi di intelligenza artificiale deve rafforzare e non limitare l’autonomia dell’utilizzatore. L’utilizzatore deve essere informato con un linguaggio chiaro e comprensibile del carattere vincolante o meno delle soluzioni proposte dagli strumenti di intelligenza artificiale, delle diverse possibilità disponibili, e del suo diritto di ricevere assistenza legale e di accedere a un tribunale. Deve inoltre essere informato in modo chiaro di qualsiasi precedente trattamento di un caso mediante l’intelligenza artificiale, prima o nel corso di un procedimento giudiziario, e deve avere il diritto di opporvisi, al fine di far giudicare il suo caso direttamente da un tribunale ai sensi dell’articolo 6 della CEDU.

Essere correttamente informati per controllare le proprie scelte.

Conclusioni:

A ben vedere i principi dettati dalla CEPEJ ci indicano un via, che può essere riassunta (adattandola al contesto giudiziario) con una nozione elaborata durante il dibattito internazionale sviluppatosi nell’ambito dell’ONU sulle armi autonome. Nell’impossibilità di determinare lo stato computazionale dello strumento di intelligenza artificiale e, quindi, un controllo completo sull’esecuzione dell’algoritmo predittivo, per ovviare all’alterazione della «correttezza e della parità del contraddittorio fra le parti e fra queste ed il giudice» dovrebbe rinforzarsi la richiesta che la decisione predittiva sia resa senza servirsi unicamente dei risultati meramente probabilistici ottenuti, non soltanto poiché il suo assolvimento non è sempre adeguatamente verificabile.

Ci si riferisce al suggerimento dottrinale secondo cui andrebbe sancito che l’impiego della macchina in sede giurisdizionale sia assoggettato a un controllo umano significativo rappresentato dalle seguenti imprescindibili condizioni:

1) che il suo funzionamento sia reso pubblico e vagliato conformemente ai criteri di peer review;

2) che sia noto il potenziale tasso di errore;

3) che adeguate spiegazioni traducano la “formula tecnica” costitutiva dell’algoritmo nella regola giuridica, così da renderla leggibile e comprensibile dal giudice, dalle parti e dai loro difensori;

4) che sia salvaguardato il contraddittorio sulla scelta degli elementi archiviati, sui loro raggruppamenti e sulle correlazioni dei dati elaborati dall’apparato di intelligenza artificiale, particolarmente in relazione all’oggetto della controversia;

5) che la loro accettazione da parte del giudice sia giustificata alla luce di quanto emerso in giudizio e per le circostanze di fatto valutato secondo il principio del libero convincimento.

Enrica Priolo

Sitografia:

https://rm.coe.int/carta-etica-europea-sull-utilizzo-dell-intelligenza-artificiale-nei-si/1680993348

https://teseo.unitn.it/biolaw/article/view/1353

https://www.agendadigitale.eu/cultura-digitale/predire-il-futuro-fra-machine-learning-e-magia/

https://archiviodpc.dirittopenaleuomo.org/d/6735-sistema-penale-e-intelligenza-artificiale-molte-speranze-e-qualche-equivoco

S. QUATTROCOLO, Equità del processo penale e automated evidence alla luce della convenzione europea dei diritti dell’uomo, in Rev. italo-española der. proc., 2019, consultabile su http://www.revistasmarcialpons.es/rivitsproc/

https://www.europarl.europa.eu/RegData/etudes/STUD/2020/656295/IPOL_STU(2020)656295_EN.pdf

https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_it.pdf

https://archiviodpc.dirittopenaleuomo.org/upload/3089-basile2019.pdf

Bibliografia:

Intelligenza Artificiale. Un approccio moderno, Russell e Norvig, Pearson.

Yuval Noah Harari, Homo Deus: a brief history of tomorrow,Vintage publishing.

G.W.F. HEGEL, Lineamenti di filosofia del diritto, 1821, trad. it., Bari, 1996.

G. ROMANO, Diritto, robotica e teoria dei giochi: riflessioni su una sinergia, in G. Alpa (a cura di), Diritto e intelligenza artificiale, Pisa, 2020

G. TAMBURRINI, Etica delle macchine. Dilemmi morali per robotica e intelligenza artificiale, Roma, 2020

U. RUFFOLO – A. AMIDEI, Intelligenza Artificiale, human enhancement e diritti della persona, in Intelligenza artificiale. Il diritto, i diritti, l’etica, già anticipate in U. RUFFOLO – A. AMIDEI, Intelligenza Artificiale e diritti della persona: le frontiere del "transumanesimo”, in Giur. it., 2019

J. LASSÈGUE, Justice digitale. Révolution graphique et rupture anthropologique, Paris, 2018

J. NIEVA-FENOLL, Intelligenza artificiale e processo, 2018, trad. it., Torino, 2019

S. SIGNORATO, Giustizia penale e intelligenza artificiale. Considerazioni in tema di algoritmo predittivo, in Riv. dir. proc., 2020