Codex Security di OpenAI ha scansionato 1,2 milioni di commit e ha rilevato 10.561 vulnerabilità di elevata gravità, ridefinendo il concetto di conformità automatizzata. Il CTO del Pentagono si è scontrato pubblicamente con Anthropic sulla guerra autonoma e sulla politica sulle armi basate sull’intelligenza artificiale. Transparent Tribe, collegato al Pakistan, produce in massa malware generato dall'intelligenza artificiale in più lingue. Nel frattempo, il reporting dei rischi ICT di DORA entra in una fase critica di conformità e i requisiti della catena di fornitura NIS2 si stanno restringendo in tutti gli Stati membri dell’UE. Ecco cosa devono sapere i team addetti alla conformità questa domenica mattina.
OpenAI ha lanciato il Codice Sicurezzaon marzo 7, an AI-powered security agent that scanned 1.2 million commits across open-source repositories during its beta period, identifying792 critico e 10.561 di gravità elevata risultati, inclusi nuovi CVE in OpenSSH, GnuTLS, GOGS, PHP e Chromium.
Codex Security opera in tre fasi: analizza la struttura del repository per creare un modello di minaccia rilevante per la sicurezza, identifica le vulnerabilità radicate nel contesto del sistema, quindi sottopone a test di pressione i risultati in un ambiente sandbox per convalidarli prima che emergano risultati. I tassi di falsi positivi sono diminuiti di oltre il 50% durante la beta.
Ciò rappresenta un cambiamento di paradigma per i quadri di conformità che impongono la gestione delle vulnerabilità:
| Progetto | CVE | Impatto |
|---|---|---|
| GnuPG | CVE-2026-24881, CVE-2026-24882 | Le operazioni crittografiche compromettono |
| GnuTLS | CVE-2025-32988, CVE-2025-32989 | Difetti di implementazione TLS |
| GOG | CVE-2025-64175, CVE-2026-25242 | Sfruttamento della piattaforma di hosting Git |
| Torio | 7 CVE (da CVE-2025-35430 a 35436) | Software per infrastrutture nucleari/critiche |
Le organizzazioni soggette a NIS2, DORA o a normative specifiche del settore dovrebbero valutare ora gli strumenti di scansione delle vulnerabilità basati sull’intelligenza artificiale. Man mano che questi strumenti diventano ampiamente disponibili, le autorità di regolamentazione considereranno sempre più insufficiente la gestione manuale delle vulnerabilità. L’asticella delle “misure tecniche adeguate” si sta alzando.
Direttore tecnologico del Pentagono Emil Michael ha rivelato pubblicamente di essersi scontrato con la società di intelligenza artificiale Antropico sulle capacità di guerra autonoma. L’esercito sta sviluppando procedure per consentire diversi livelli di autonomia nella guerra a seconda dei livelli di rischio.
Questo confronto mette in luce il divario normativo fondamentale tra l’implementazione dell’IA militare e i quadri di governance dell’IA civile:
La legge dell’UE sull’IA esclude esplicitamente dal suo campo di applicazione le applicazioni militari e di sicurezza nazionale (articolo 2, paragrafo 3). Tuttavia, questo scontro evidenzia domande cruciali:
Gruppo minaccioso allineato al Pakistan Tribù Trasparente sta utilizzando strumenti di codifica AI per produrre in serie impianti di malware in Nim, Zig e Crystal, linguaggi meno conosciuti progettati per eludere il rilevamento. I ricercatori di Bitdefender chiamano questa "industrializzazione del malware assistita dall'intelligenza artificiale" e hanno coniato il termine "vibeware" per malware generato dall’intelligenza artificiale.
Questo sviluppo crea sfide senza precedenti per tutti i principali framework di conformità:
Allo stesso tempo, Microsoft ha riferito che gli hacker abusano dell'intelligenza artificiale in ogni fase degli attacchi informatici — dalla ricognizione e dall'ingegneria sociale allo sfruttamento delle attività di sviluppo e post-compromesso. Questo passaggio sistemico dall’uso improprio isolato dell’IA all’integrazione completa dell’IA nella catena di attacco richiede una risposta normativa a livello quadro.
As of marzo 2026, theLegge sulla resilienza operativa digitale (DORA) è pienamente in vigore per gli enti finanziari dell’UE. I requisiti del quadro di gestione del rischio ICT di cui agli articoli 5-16 sono ora soggetti a revisione prudenziale, con le autorità europee di vigilanza (AEV) che valutano attivamente la conformità.
| Requisito DORA | Stato | Azione richiesta |
|---|---|---|
| Quadro di gestione del rischio ICT (Art. 5-16) | 🔴 Applicazione attiva | Documentazione completa del quadro e approvazione a livello di consiglio |
| Segnalazione di incidenti ICT (Art. 17-23) | 🔴 Applicazione attiva | Stabilire canali di segnalazione alle autorità competenti entro i termini prescritti |
| Test di resilienza operativa digitale (Artt. 24-27) | 🟡 Periodo di transizione | Implementare test di base; TLPT avanzato per soggetti a rilevanza sistemica |
| Rischio ICT verso terzi (Artt. 28-44) | 🟡 Fase di valutazione | Mappare tutti i fornitori di servizi ICT critici; iniziare le revisioni contrattuali |
| Condivisione delle informazioni (Art. 45) | 🟢Volontario | Prendere in considerazione l'adesione ad accordi di condivisione delle informazioni sulle minacce |
Gli sviluppi di questa settimana, in particolare gli agenti di sicurezza basati sull’intelligenza artificiale (Codex Security) e le minacce generate dall’intelligenza artificiale (Transparent Tribe), creano una duplice sfida per le entità finanziarie: devono valutare gli strumenti basati sull’intelligenza artificiale per la conformità e allo stesso tempo difendersi dalle minacce basate sull’intelligenza artificiale. L'approccio tecnologicamente neutrale di DORA implica che le autorità di vigilanza valuteranno il risultato della gestione del rischio, non degli strumenti specifici utilizzati, ma lo standard di cura è implicitamente in aumento.
Numerosi sviluppi di questa settimana rafforzano la portata crescente dei requisiti della catena di fornitura NIS2:
The ongoing FBI investigation into a breach of its surveillance data system (first reported marzo 7) continues to raise questions about government system security. For EU organizations, this incident serves as a reminder thatNIS2 Articolo 21, paragrafo 2, lettera d) richiede misure di sicurezza della catena di fornitura che tengano conto delle vulnerabilità nei rapporti con i fornitori diretti, compresi i sistemi governativi e di condivisione dell’intelligence.
Iranian threat actors have been confirmed inside networks of a U.S. airport, bank, and software company since at least febbraio 2026. Under NIS2, EU entities with U.S. supply chain dependencies must assess whether their American partners' compromised status affects their own risk posture.
Una vulnerabilità di Rockwell Automation scoperta nel 2021 viene ora sfruttata attivamente negli attacchi contro i sistemi di controllo industriale. Questo divario di cinque anni tra la divulgazione e lo sfruttamento evidenzia perché i requisiti di gestione delle vulnerabilità di NIS2 ai sensi dell’Articolo 21 richiedono un monitoraggio continuo, non solo l’applicazione di patch iniziali.
| Data | Quadro | Pietra miliare |
|---|---|---|
| 11 marzo 2026 | Martedì della patch | Microsoft marzo 2026 Patch Tuesday — expect critical patches; forecast warns "AI security may be an oxymoron" |
| 2 maggio 2026 | Legge dell'UE sull'IA | Gli obblighi di trasparenza del modello GPAI entrano in vigore: i fornitori devono documentare le misure di sicurezza informatica |
| 2 agosto 2026 | Legge dell'UE sull'IA | I requisiti del sistema di IA ad alto rischio diventano applicabili (articoli da 6 a 49) |
| 17 ottobre 2026 | NIS2 | Termine ultimo per il recepimento da parte degli Stati membri: tutti i 27 paesi dell'UE devono avere NIS2 nella legislazione nazionale |
| 17 gennaio 2027 | DORA | Piena operatività del quadro di supervisione dei fornitori terzi di TIC critici |
La scansione di sicurezza automatizzata di KENSAI ti aiuta a soddisfare i requisiti di conformità NIS2, DORA e EU AI Act con una valutazione continua della vulnerabilità sull'intera superficie di attacco.
Avvia la scansione di sicurezza gratuita →8 marzo 2026
Fonti: The Hacker News, SecurityWeek, BleepingComputer, Help Net Security, Bitdefender, Microsoft, OpenAI, CISA