← Torna al Blog
Conformità e normative Rottura 8 marzo 2026 10 min di lettura

Gli agenti di sicurezza dell'intelligenza artificiale rimodellano il panorama della conformità, il Pentagono si scontra con Anthropic sulla guerra autonoma - Raccolta delle normative sulla sicurezza

Codex Security di OpenAI ha scansionato 1,2 milioni di commit e ha rilevato 10.561 vulnerabilità di elevata gravità, ridefinendo il concetto di conformità automatizzata. Il CTO del Pentagono si è scontrato pubblicamente con Anthropic sulla guerra autonoma e sulla politica sulle armi basate sull’intelligenza artificiale. Transparent Tribe, collegato al Pakistan, produce in massa malware generato dall'intelligenza artificiale in più lingue. Nel frattempo, il reporting dei rischi ICT di DORA entra in una fase critica di conformità e i requisiti della catena di fornitura NIS2 si stanno restringendo in tutti gli Stati membri dell’UE. Ecco cosa devono sapere i team addetti alla conformità questa domenica mattina.


🤖 Sicurezza OpenAI Codex: gli agenti AI entrano nell'arena della gestione delle vulnerabilità

OpenAI ha lanciato il Codice Sicurezzaon marzo 7, an AI-powered security agent that scanned 1.2 million commits across open-source repositories during its beta period, identifying792 critico e 10.561 di gravità elevata risultati, inclusi nuovi CVE in OpenSSH, GnuTLS, GOGS, PHP e Chromium.

Come funziona

Codex Security opera in tre fasi: analizza la struttura del repository per creare un modello di minaccia rilevante per la sicurezza, identifica le vulnerabilità radicate nel contesto del sistema, quindi sottopone a test di pressione i risultati in un ambiente sandbox per convalidarli prima che emergano risultati. I tassi di falsi positivi sono diminuiti di oltre il 50% durante la beta.

Rilevanza normativa

Ciò rappresenta un cambiamento di paradigma per i quadri di conformità che impongono la gestione delle vulnerabilità:

CVE chiave scoperti

ProgettoCVEImpatto
GnuPGCVE-2026-24881, CVE-2026-24882Le operazioni crittografiche compromettono
GnuTLSCVE-2025-32988, CVE-2025-32989Difetti di implementazione TLS
GOGCVE-2025-64175, CVE-2026-25242Sfruttamento della piattaforma di hosting Git
Torio7 CVE (da CVE-2025-35430 a 35436)Software per infrastrutture nucleari/critiche

Conclusioni sulla conformità

Le organizzazioni soggette a NIS2, DORA o a normative specifiche del settore dovrebbero valutare ora gli strumenti di scansione delle vulnerabilità basati sull’intelligenza artificiale. Man mano che questi strumenti diventano ampiamente disponibili, le autorità di regolamentazione considereranno sempre più insufficiente la gestione manuale delle vulnerabilità. L’asticella delle “misure tecniche adeguate” si sta alzando.


⚔️ Il CTO del Pentagono si scontra con la guerra antropica sulla guerra autonoma

L'etica dell'intelligenza artificiale incontra la realtà militare

Direttore tecnologico del Pentagono Emil Michael ha rivelato pubblicamente di essersi scontrato con la società di intelligenza artificiale Antropico sulle capacità di guerra autonoma. L’esercito sta sviluppando procedure per consentire diversi livelli di autonomia nella guerra a seconda dei livelli di rischio.

La tensione fondamentale

Questo confronto mette in luce il divario normativo fondamentale tra l’implementazione dell’IA militare e i quadri di governance dell’IA civile:

Implicazioni della legge UE sull'intelligenza artificiale

La legge dell’UE sull’IA esclude esplicitamente dal suo campo di applicazione le applicazioni militari e di sicurezza nazionale (articolo 2, paragrafo 3). Tuttavia, questo scontro evidenzia domande cruciali:


🦠 Industrializzazione del malware basata sull'intelligenza artificiale: "Vibeware" di Transparent Tribe

Gli autori delle minacce abbracciano lo sviluppo assistito dall'intelligenza artificiale

Gruppo minaccioso allineato al Pakistan Tribù Trasparente sta utilizzando strumenti di codifica AI per produrre in serie impianti di malware in Nim, Zig e Crystal, linguaggi meno conosciuti progettati per eludere il rilevamento. I ricercatori di Bitdefender chiamano questa "industrializzazione del malware assistita dall'intelligenza artificiale" e hanno coniato il termine "vibeware" per malware generato dall’intelligenza artificiale.

Sfide normative

Questo sviluppo crea sfide senza precedenti per tutti i principali framework di conformità:

Avviso di Microsoft

Allo stesso tempo, Microsoft ha riferito che gli hacker abusano dell'intelligenza artificiale in ogni fase degli attacchi informatici — dalla ricognizione e dall'ingegneria sociale allo sfruttamento delle attività di sviluppo e post-compromesso. Questo passaggio sistemico dall’uso improprio isolato dell’IA all’integrazione completa dell’IA nella catena di attacco richiede una risposta normativa a livello quadro.


🏦 DORA Compliance: il reporting sui rischi ICT entra nella fase critica

As of marzo 2026, theLegge sulla resilienza operativa digitale (DORA) è pienamente in vigore per gli enti finanziari dell’UE. I requisiti del quadro di gestione del rischio ICT di cui agli articoli 5-16 sono ora soggetti a revisione prudenziale, con le autorità europee di vigilanza (AEV) che valutano attivamente la conformità.

Cosa devono fare adesso gli enti finanziari

Requisito DORAStatoAzione richiesta
Quadro di gestione del rischio ICT (Art. 5-16)🔴 Applicazione attivaDocumentazione completa del quadro e approvazione a livello di consiglio
Segnalazione di incidenti ICT (Art. 17-23)🔴 Applicazione attivaStabilire canali di segnalazione alle autorità competenti entro i termini prescritti
Test di resilienza operativa digitale (Artt. 24-27)🟡 Periodo di transizioneImplementare test di base; TLPT avanzato per soggetti a rilevanza sistemica
Rischio ICT verso terzi (Artt. 28-44)🟡 Fase di valutazioneMappare tutti i fornitori di servizi ICT critici; iniziare le revisioni contrattuali
Condivisione delle informazioni (Art. 45)🟢VolontarioPrendere in considerazione l'adesione ad accordi di condivisione delle informazioni sulle minacce

DORA + Intersezione di sicurezza AI

Gli sviluppi di questa settimana, in particolare gli agenti di sicurezza basati sull’intelligenza artificiale (Codex Security) e le minacce generate dall’intelligenza artificiale (Transparent Tribe), creano una duplice sfida per le entità finanziarie: devono valutare gli strumenti basati sull’intelligenza artificiale per la conformità e allo stesso tempo difendersi dalle minacce basate sull’intelligenza artificiale. L'approccio tecnologicamente neutrale di DORA implica che le autorità di vigilanza valuteranno il risultato della gestione del rischio, non degli strumenti specifici utilizzati, ma lo standard di cura è implicitamente in aumento.


🇪🇺 NIS2 Responsabilità della catena di fornitura: la rete che si stringe

Numerosi sviluppi di questa settimana rafforzano la portata crescente dei requisiti della catena di fornitura NIS2:

Violazione del sistema di sorveglianza dell'FBI: lezioni per l'UE

The ongoing FBI investigation into a breach of its surveillance data system (first reported marzo 7) continues to raise questions about government system security. For EU organizations, this incident serves as a reminder thatNIS2 Articolo 21, paragrafo 2, lettera d) richiede misure di sicurezza della catena di fornitura che tengano conto delle vulnerabilità nei rapporti con i fornitori diretti, compresi i sistemi governativi e di condivisione dell’intelligence.

L'APT iraniano prende di mira le infrastrutture critiche statunitensi

Iranian threat actors have been confirmed inside networks of a U.S. airport, bank, and software company since at least febbraio 2026. Under NIS2, EU entities with U.S. supply chain dependencies must assess whether their American partners' compromised status affects their own risk posture.

Sfruttamento dell'ICS Rockwell

Una vulnerabilità di Rockwell Automation scoperta nel 2021 viene ora sfruttata attivamente negli attacchi contro i sistemi di controllo industriale. Questo divario di cinque anni tra la divulgazione e lo sfruttamento evidenzia perché i requisiti di gestione delle vulnerabilità di NIS2 ai sensi dell’Articolo 21 richiedono un monitoraggio continuo, non solo l’applicazione di patch iniziali.

NIS2 Supply Chain Checklist — marzo 2026


📅 Calendario regolamentare: date chiave in vista

DataQuadroPietra miliare
11 marzo 2026Martedì della patchMicrosoft marzo 2026 Patch Tuesday — expect critical patches; forecast warns "AI security may be an oxymoron"
2 maggio 2026Legge dell'UE sull'IAGli obblighi di trasparenza del modello GPAI entrano in vigore: i fornitori devono documentare le misure di sicurezza informatica
2 agosto 2026Legge dell'UE sull'IAI requisiti del sistema di IA ad alto rischio diventano applicabili (articoli da 6 a 49)
17 ottobre 2026NIS2Termine ultimo per il recepimento da parte degli Stati membri: tutti i 27 paesi dell'UE devono avere NIS2 nella legislazione nazionale
17 gennaio 2027DORAPiena operatività del quadro di supervisione dei fornitori terzi di TIC critici

🔑 Punti chiave per i team di conformità

  1. Gli strumenti di sicurezza basati sull’intelligenza artificiale stanno diventando strumenti di conformità. La capacità di Codex Security di scansionare 1,2 milioni di commit e convalidare i risultati nei sandbox stabilisce un nuovo punto di riferimento per ciò che significa "misure tecniche appropriate" ai sensi di NIS2, DORA e GDPR.
  2. Il dibattito sulla guerra autonoma dell’IA determinerà la governance dell’IA commerciale. Lo scontro Pentagono-Anthropic segnala che la politica militare sull’IA limiterà o amplierà inevitabilmente ciò che le società commerciali di IA possono offrire, influenzando gli strumenti di sicurezza informatica a duplice uso.
  3. Il malware generato dall’intelligenza artificiale richiede una difesa basata sull’intelligenza artificiale. Il vibeware di Transparent Tribe e l'avvertimento di Microsoft sull'integrazione degli attacchi IA a catena completa fanno sì che le organizzazioni che si affidano esclusivamente alle difese tradizionali potrebbero non superare i test di adeguatezza normativa.
  4. L'applicazione del DORA è reale e attiva. Le entità finanziarie dovrebbero considerare il primo trimestre del 2026 come un periodo di convalida della conformità: le autorità di vigilanza stanno osservando.
  5. La responsabilità della catena di fornitura NIS2 ha portata globale. La violazione dell’FBI, le campagne APT iraniane e lo sfruttamento dell’ICS di Rockwell dimostrano tutti che il rischio della catena di approvvigionamento non rispetta i confini geografici.

Rimani al passo con i requisiti normativi

La scansione di sicurezza automatizzata di KENSAI ti aiuta a soddisfare i requisiti di conformità NIS2, DORA e EU AI Act con una valutazione continua della vulnerabilità sull'intera superficie di attacco.

Avvia la scansione di sicurezza gratuita →

8 marzo 2026

Fonti: The Hacker News, SecurityWeek, BleepingComputer, Help Net Security, Bitdefender, Microsoft, OpenAI, CISA