IA e cybersecurity: il G7 pubblica le linee guida sullo SBOM per i sistemi di intelligenza artificiale
La sicurezza dei sistemi di intelligenza artificiale passa sempre più dalla capacità di conoscere, documentare e controllare i componenti che li costituiscono.
Con le linee guida “Software Bill of Materials for AI – Minimum Elements”, il G7 ha individuato un set minimo di informazioni utili per rafforzare la trasparenza della supply chain dell’IA, migliorare la gestione delle vulnerabilità e supportare i processi di cybersecurity risk management.
Il documento è stato elaborato nell’ambito del G7 Cybersecurity Working Group, con il contributo delle agenzie nazionali per la cybersicurezza dei Paesi G7 e della Commissione europea, e si colloca nel percorso già avviato nel 2025 con la visione condivisa sullo SBOM for AI.
Lo Software Bill of Materials, nel contesto dell’intelligenza artificiale, può essere descritto come un inventario strutturato dei componenti, delle dipendenze e delle relazioni di filiera che concorrono alla realizzazione di un sistema di IA.
Non si tratta solo di elencare librerie software o componenti tecniche.
Per i sistemi di intelligenza artificiale diventa necessario considerare anche modelli, dataset, infrastrutture, flussi di dati, controlli di sicurezza, metriche operative e informazioni sulla provenienza e sull’utilizzo dei dati.
Le linee guida G7 organizzano gli elementi minimi dello SBOM per l’IA in sette cluster: metadata, proprietà di sistema, modelli, proprietà dei dataset, infrastruttura, proprietà di sicurezza e indicatori di performance.
Particolarmente rilevanti, in chiave di governance aziendale, sono le informazioni relative ai data flow, al data usage, alla sensibilità dei dataset, alle licenze, ai controlli di sicurezza, ai riferimenti alle vulnerabilità e alle metriche di funzionamento del sistema.
Il documento chiarisce che gli elementi minimi proposti non hanno natura obbligatoria e non introducono nuovi requisiti, standard o obblighi legislativi.
La loro funzione è piuttosto quella di offrire una base comune di riferimento per sviluppatori, deployer, organizzazioni pubbliche e private, favorendo una maggiore consapevolezza sui rischi connessi all’adozione di sistemi di IA.
Il tema assume particolare importanza per le imprese che integrano soluzioni di intelligenza artificiale nei propri processi interni o nei servizi offerti a clienti, utenti e stakeholder.
In questi contesti, la conoscenza della composizione del sistema consente di valutare meglio le dipendenze tecnologiche, individuare eventuali vulnerabilità, comprendere l’origine dei dati e presidiare i rischi derivanti da componenti di terze parti.
Lo SBOM per l’IA può quindi diventare uno strumento rilevante per le funzioni IT, compliance, risk management, internal audit, procurement, privacy e legale, chiamate a valutare non solo le performance dei sistemi, ma anche la loro affidabilità, tracciabilità e sicurezza.
Sul piano operativo, le linee guida richiamano l’esigenza di passare da una governance dell’IA basata su dichiarazioni generali a una governance fondata su evidenze documentabili.
Per le organizzazioni, questo significa strutturare processi di controllo capaci di raccogliere e aggiornare informazioni su componenti, modelli, dataset, infrastrutture e presidi di sicurezza lungo l’intero ciclo di vita del sistema.
Il messaggio del G7 è chiaro: la sicurezza dell’intelligenza artificiale non può essere separata dalla trasparenza della sua catena di fornitura.
Conoscere “che cosa c’è dentro” un sistema di IA diventa una condizione essenziale per gestire vulnerabilità, responsabilità, dipendenze tecnologiche e rischi operativi.
In un contesto in cui l’intelligenza artificiale entra progressivamente nei processi decisionali, produttivi e organizzativi, lo SBOM per l’IA si candida a diventare uno degli strumenti di riferimento per una governance digitale più consapevole, verificabile e orientata alla sicurezza.
