Un domani, guardandoci alle spalle, come descriveremo il momento che stiamo attraversando oggi nell’evoluzione dell’informatica? Il mondo di oggi, sotto diversi punti di vista, è scosso dal cambiamento innescato dall’adozione dell’intelligenza artificiale su larga scala. Le aziende e la società attraversano una transizione critica tra la fase di sperimentazione dell’AI e la sua industrializzazione, ed è fondamentale interrogarsi ora sulle incognite associate a questo passaggio, su grandi temi come i rischi cyber, la sovranità digitale e la sostenibilità (anche economica) dell’intelligenza artificiale. Ne abbiamo discusso con Kris Lovejoy, global practice leader, security & resiliency di Kyndryl, in visita a Milano.
Esperta di cybersicurezza, Lovejoy detiene diversi brevetti in questo campo e inoltre è stata una pioniera dell’intelligenza artificiale con BluVector, azienda da lei fondata e diretta, acquisita nel 2019 da Comcast. Ha inoltre lavorato come chief information security officer e vice president of IT risk di Ibm, società da cui Kyndryl è nata come spin-off nel 2021.
Viviamo in un’epoca di accelerazione digitale, segnata da molte trasformazioni. Dal suo punto di vista, in che cosa il mondo di oggi è diverso da quello di cinque o dieci anni fa?
Ottima domanda. Credo che la principale differenza sia il cambiamento che l’intelligenza artificiale sta portando nelle aziende. Penso non si tratti di hype ma di una realtà che sta trasformando nel profondo il modo in cui lavoriamo e le aziende. È un cambiamento profondo, che potrei paragonare all’invenzione dell’elettricità o al trasporto ferroviario, ma siamo ancora in un’era di sperimentazione. Proprio come accaduto con l’elettricità e con i treni, sarà necessario sviluppare le infrastrutture di supporto per arrivare all’industrializzazione del fenomeno. In questo momento di transizione i leader d’azienda dovranno creare le fondamenta per l’industrializzazione, fondamenta che sono fatte di persone, processi e tecnologie. Nell’intervallo che separa la sperimentazione dall’industrializzazione ci stanno sia rischi sia opportunità.
Quanto ci vorrà per l’adozione dell’AI “industrializzata” su larga scala? L’Europa ci arriverà ritardo, rispetto per esempio agli Stati Uniti?
Penso non più di cinque o dieci anni. Per l’Europa è ancora tutto da decidere, ma credo che il gap con gli Stati Uniti sia più piccolo di quanto non si pensi. L’Europa tende a essere maggiormente guidata dalla compliance, nel bene e nel male. Da un lato, la conformità normativa ha rallentato oppure ostacolato l’adozione di alcune tecnologie, per esempio per ragioni di privacy e di sovranità. D’altro canto, essendo guidate dalla compliance, le aziende europee sono state più rapide nell’aggiornare le proprie “fondamenta” per l’AI. Con la direttiva NIS2 e il regolamento Dora gli enti regolatori europei si sono concentrati sul garantire resilienza alle aziende. E poiché le tecnologie vecchie a volte non possono essere messe in sicurezza, la ricerca di resilienza ha favorito la modernizzazione. Per quanto riguarda l’innovazione Stati Uniti e Cina sono più avanti, ma l’Europa ha più solide fondamenta grazie alle quali l’AI potrà essere assimilata.
A proposito di “fondamenta” tecnologiche, secondo un vostro recente report per molte aziende è qui che si annidano problemi che ritardano l’innovazione. Quali criticità di infrastruttura IT persistono per l’adozione dell’AI?
Le aziende investono molto in infrastruttura, ma ancora spendono soldi per la parte legacy. E qui si crea un gap: mentre si parla di innovazione e di AI, in azienda il problema è ancora una infrastruttura legacy che è soggetta al rischio di cyber attacchi e che, per varie ragioni, non è pronta per l’intelligenza artificiale. Tra le ragioni, il fatto che l’AI lavori a velocità troppo elevate, che l’hardware sottostante non può supportare. Inoltre i dati richiesti per addestrare l’AI potrebbero essere inaccessibili o comunque di difficile accesso, o presentarsi in un formato non corretto. Se eseguita su un vecchio mainframe, che permette solo elaborazioni a lotti, l’AI non può avere quell’accesso ai dati in tempo reale di cui necessita. Così si crea un disallineamento fra le modalità di funzionamento dell’AI e la tecnologia sottostante.
Kris Lovejoy, global practice leader, security & resiliency di Kyndryl
In Europa quello della sovranità digitale è un tema caldo. Qual è la vostra visione in merito?
Fin dalla nostra nascita, in Kyndryl abbiamo compreso l’importanza del tema. Grazie anche alla nostra mentalità da startup, siamo stati in grado di ricreare la nostra architettura e abbiamo, quindi, costruito le nostre capacità e il nostro modello di go-to-market in modo da soddisfare i requisiti di sovranità. Questo non accade necessariamente per tutti i vendor. Che si tratti di aziende europee o statunitensi, oggi la sovranità viene vista come una questione di resilienza, in cui è necessario mantenere il controllo sui rischi per il business. Bisogna considerare la catena di fornitura – servizi cloud inclusi –, pensare a potenziali disruption e garantirsi un ambiente tecnologico che supporti l’operatività continua anche in quei casi.
Questo significa anche dover avere un “piano B” per evitare interruzioni di operatività o lock-in?
Sì, bisogna avere un “piano B” e anche un “piano C”!
A proposito di disruption, l’AI ha già dimostrato di poter avere un impatto dirompente sulla cybersicurezza, con grandi benefici ma anche nuovi rischi, e penso per esempio alle capacità di rilevamento delle vulnerabilità di strumenti come Claude Mythos, di Antrhopic, o Daybreak, di OpenAI. Dobbiamo preoccuparcene?
Oggi nel codice software ci sono molti errori e vulnerabilità che emergono solo quando si passa “in produzione”. Molti leader aziendali si sentono sotto pressione, spinti a introdurre l’AI per ragioni di concorrenza o di produttività. Alcuni si fanno prendere dal panico e corrono su progetti senza contromisure di sicurezza, e questo è un problema. I nuovi strumenti di AI da lei citati possono identificare vulnerabilità concatenate, cioè vulnerabilità a basso rischio che le aziende non considerano una priorità da risolvere. Assemblate tra loro, diventano però un’unica vulnerabilità ad alto rischio. Gli strumenti AI, inoltre, possono anche generare il codice di attacco.
In tutto ciò, un fatto positivo è che negli ultimi anni le tecnologie di difesa perimetrale sono migliorate e risultano efficaci nella maggior parte degli attacchi. Il vero problema sta all’interno del perimetro: pensiamo a un attacco di phishing basato su AI che raggiunga un utente e ne faccia il proprio “cavallo di Troia” all’interno dell’organizzazione. C’è poi il problema degli insider che, con buone o cattive intenzioni, possono creare rischi per l’azienda semplicemente utilizzando gli strumenti di AI.
Intelligenza artificiale a parte, dove si annidano oggi i principali rischi cyber per le aziende?
Oggi, specialmente in Europa, i “cattivi” della cybersfera prendono di mira i fornitori tecnologici, in particolare le piccole società di consulenza IT, per arrivare alle aziende utenti. Anche per ragioni di sovranità e di rispetto delle regole dell’Unione Europea, molta nuova tecnologia è stata realizzata su componenti open-source. Gli attaccanti ne sono consapevoli e quindi prendono di mira i repository open-source. Non so quanto in Europa si comprenda che la pervasiva adozione della tecnologia open source possa essere un veicolo di backdoor o ransomware. Credo questa sia una delle aree su cui dovremmo focalizzarci, bilanciando le esigenze di sovranità e velocità con la sicurezza. Una cosa è l’open source proposto dai vendor che hanno con le aziende un rapporto di fiducia, altra è quello sviluppato senza avere accesso ai giusti strumenti di sicurezza e di testing.
Un altro, anzi forse il principale problema odierno nelle aziende è l’assenza di igiene informatica: scarsa visibilità sulle infrastrutture, mancanza di inventari, mancanza di automazioni per rimediare i problemi, processi di gestione delle patch molto deboli. Quello dell’igiene informatica è forse il problema principale e più sottovaluto nelle aziende.
C’è poi la questione della supply chain, a cui accennavo: la maggior parte delle aziende si concentra sulla sicurezza dei fornitori con cui ha una relazione economica di peso, trascurando invece quelli più piccoli, reclutati per specifici progetti. Inoltre credo si dovrebbe cominciare a prestare attenzione al rischio quantistico, considerando che tra qualche anno esisteranno sistemi capaci di rompere la crittografia a 64-bit in pochi minuti, anziché in anni di tempo. I mainframe e il codice Java scritto per il mainframe sono particolarmente esposti a questo problema.
Le vostre previsioni tecnologiche per il 2026 si sono finora concretizzate?
In relazione all’uso dell’AI generativa come supporto alla produttività individuale, c’è un aspetto che mi ha sorpreso. Non credevo che i leader aziendali avrebbero trascurato di pensare al controllo dei costi prima di sguinzagliare queste tecnologie tra i loro dipendenti. Ora si sono resi conto che il consumo dei token è costoso. Inoltre non avevano pensato alla necessità di avere dati di qualità e, in terzo luogo, alla portata del cambiamento nelle modalità di lavoro che è necessario attuare per trarre vantaggio dall’AI. Diciamo che per l’intelligenza artificiale le aziende hanno letto la prima pagina ma non tutto il manuale di istruzioni…
Per quanto riguarda, invece, l’uso di strumenti di AI per la creazione di codice, mi aspettavo di vedere una certa sperimentazione. Ora, però, alcuni si rendono conto che questo metodo è costoso e che il codice è di cattiva qualità. Ciò che nell’ambiente di sperimentazione sembrava fantastico dimostra poi, in produzione, di non funzionare. Ci sono grandi sfide di sicurezza, affidabilità, scalabilità, sovranità e sostenibilità dei costi, questi sono gli aspetti difficili da considerare nello sviluppo software. Gli strumenti AI possono creare codice molto rapidamente, ma non sono ancora arrivati al punto di soddisfare automaticamente questi cinque aspetti. Sono ancora le persone a doverci pensare.
Una previsione per il 2027?
Credo che l’anno prossimo sentiremo parlare di due cose. La prima sono i micro-modelli, perché iniziamo a renderci conto che quelli di grandi dimensioni sono troppo difficili da mantenere e da addestrare. I micro-modelli, invece, sono più semplici da addestrare e, quel che più conta, è più facile mantenere l'affidabilità e l’integrità dei dati che li alimentano. Se ci fosse un errore, sarebbe possibile estrarre la funzionalità usata per addestrare l’algoritmo. E questo con i modelli monolitici non si può fare.
In secondo luogo, sentiremo parlare del valore dell’AI per la modernizzazione delle infrastrutture. Nella maggior parte delle aziende oggi si spende molto per la manutenzione delle infrastrutture legacy: l’innovazione è intrappolata e si crea quello che chiamiamo “stallo nella modernizzazione”. Credo, quindi, che molte aziende utilizzeranno l’AI stessa per trasformare le fondamenta tecnologiche, in modo che possano adottare e assimilare l’intelligenza artificiale. Penso sentiremo parlare di modernizzazione e di operazioni autonome, concetti che riguarderanno sia la cybersicurezza sia le reti.
Su quali attività vi concentrerete in Kyndryl?
Vogliamo restare focalizzati sul lavoro che già facciamo con i nostri clienti, ma farlo con l’AI. Aiutare le aziende a trasformare i processi di business con l’AI, a modernizzare le loro infrastrutture con l’AI, a operare utilizzando l’AI. Inoltre forniamo sicurezza e resilienza per l’Agentic AI. Le richieste che ci arrivano dai clienti riguardano la modernizzazione ma anche la sovranità, specie in Europa. Lavoriamo per definire gli accordi contrattuali corretti e le scelte di outsourcing, co-sourcing e insourcing. Sempre più, inoltre, stiamo realizzando assessment sulla “preparazione” dei data center aziendali rispetto ai nuovi workload di intelligenza artificiale.