Model Risk Management: gestire il rischio degli algoritmi in cybersecurity

Nel 2025, i modelli di Machine Learning (ML) e Intelligenza Artificiale (AI) sono onnipresenti in cybersecurity: dai SIEM predittivi ai controlli SOAR, dagli algoritmi per l’autenticazione ai sistemi di scoring del rischio. Tuttavia, modelli mal calibrati o non governati rappresentano un nuovo vettore di rischio.

• Falsi negativi → attacchi che passano inosservati
• Falsi positivi → overload nel SOC
• Blocchi ingiustificati → interruzioni operative
• Bias algoritmici → discriminazioni e vulnerabilità
• Non conformità normativa → rischio legale, audit, sanzioni

→ La soluzione è introdurre un solido programma di Model Risk Management (MRM) per garantire affidabilità, trasparenza e controllo.

Cos’è il Model Risk Management in ambito cyber

Il Model Risk Management (MRM) è l’insieme di processi, controlli e metriche per:

• Identificare i modelli usati nella sicurezza IT
• Valutarne performance e affidabilità
• Monitorarne il comportamento nel tempo
• Documentare versioni, dati, owner e rischi noti

Tipologie di modelli AI in cybersecurity:

• ML per anomaly detection
• Algoritmi per risk scoring di utenti e asset
• Modelli NLP per analisi ticket
• AI-based per autenticazione e autorizzazione

Perché serve un MRM per la sicurezza

Compliance

• AI Act, NIS2, DORA → trasparenza, explainability, auditabilità
• ISO/IEC 27001:2022 richiede controllo su automazioni (A.8.28, A.8.31)

Sicurezza operativa

• Modelli non validati → potenziale per breach o disservizi

Audit e governance

• Il board chiede evidenze e accountability sui processi automatizzati

Etica e bias

• Evitare comportamenti discriminatori verso ruoli, lingue, regioni

Framework operativo in 6 fasi

Inventory e classificazione

• Censimento modelli AI/ML
• Categorizzazione per impatto (es. controllo vs supporto)
• Esempio: “Modello X – rileva traffico C2 – categoria: alto impatto”

Documentazione & ownership

• Scopo, dati di training, limitazioni
• Owner tecnico + owner funzionale
• Versionamento + metadati

Validazione e testing indipendente

• Accuracy, precision, recall
• Test su scenari realistici (insider, exploit, noise)
• Review esterna o cross-team

Monitoraggio continuo e retraining

• Drift detection → performance degradation
• Alert automatici → soglie su precision/recall
• Retraining periodico (es. trimestrale)

Explainability e audit trail

• Modelli interpretabili (es. SHAP, LIME)
• Log di decisione
• Version control + documentazione di output

Risk Register e KPI

• Registrazione nel RA
• KPI: % decisioni errate, impatto incidente
• KRI collegati al programma di sicurezza

MRM e DevSecOps: integrare i controlli nella pipeline AI

Nel contesto DevSecOps, l’MRM dovrebbe essere integrato nel ciclo di vita del modello AI, non applicato ex post. Ogni nuova versione di algoritmo che entra in produzione dovrebbe passare per:

• Revisione automatizzata con validazione accuracy e drift
• Pipeline CI/CD AI che includa step di test explainability
• Check compliance AI Act/DORA prima del deploy

Includere il MRM nel CI/CD riduce i costi di mitigazione e accelera l’adozione AI in sicurezza.

MRM come leva per il Cyber Insurance

Un programma MRM ben documentato supporta:

• Risk transparency con broker e assicuratori
• Quantificazione impatto errori modello (Expected Loss)
• Premi assicurativi più bassi

Le aziende con MRM integrato hanno ottenuto premi ridotti del 15–25% nei rinnovi polizza cyber.

Metriche per valutare il successo del MRM

KPI strategici:

• % modelli documentati vs attivi
• % modelli con audit log completo
• % modelli con owner assegnati

KRI tecnici:

• % false positive/negative per modello
• % retraining effettuati on schedule
• Numero di incidenti legati a modelli AI

Queste metriche, raccolte e presentate trimestralmente, permettono di mostrare maturità operativa agli auditor e al board.

Esempi settoriali

Finanza

• Algoritmi scoring utenti + SOAR
• Falsi positivi: disservizi online banking
• MRM implementato con test settimanali + audit ogni 3 mesi

Sanità

• AI per triage incidenti + classificazione PHI breach
• Explainability richiesta per audit HIPAA/GDPR
• Uso di SHAP per logistica delle decisioni automatiche

Manifattura

• ML per threat detection su reti OT/ICS
• MRM con monitoraggio continuo su device e firmware

Normative collegate

• AI Act (UE) → Art. 9, 10, 13 – Risk Management, dataset, trasparenza
• DORA → Art. 10-11 – ICT Critical Systems incl. ML/AI
• ISO/IEC 27001:2022 → A.8.28, A.8.31 – controlli automazioni
• NIS2 → Art. 21 – misure tecniche proporzionate e gestite
  

Mini checklist MRM per il SOC

• Inventario centralizzato dei modelli AI/ML?
• Owner tecnico e funzionale?
• Documentazione dati, limiti e versioni?
• Test di validazione regolari?
• Monitoraggio performance e retraining?
• Registrazione nel Risk Register?
• Logging e explainability attiva?

❓FAQ

• I modelli AI devono essere registrati nel Risk Register?
• Sì, soprattutto quelli ad alto impatto. Il RA deve includere rischi introdotti o mitigati da algoritmi.
• Serve una piattaforma specifica per fare MRM?
• No, si può iniziare con Excel, documenti e audit interni. L’importante è la governance e la tracciabilità.
• È obbligatorio secondo l’AI Act?
• Sì. Il regolamento UE impone MRM per sistemi ad alto rischio, tra cui quelli in cybersecurity operativa.

Errori comuni nell’adozione MRM

• Trattare l’MRM come compliance e non come funzione di sicurezza
• Nessun test indipendente su modelli critici
• Dipendenza cieca da output modello → assenza di controllo umano
• Nessun collegamento tra incidenti e modelli coinvolti
• Mancanza di retraining post-violazione o incidente

Ogni errore sopra descritto è stato rilevato come causa diretta in audit falliti su SOAR/AI-based SOC.

Glossario tecnico

• (MRM) Model Risk Management: gestione del rischio degli algoritmi
• Drift: degradazione della performance del modello nel tempo
• Explainability: capacità di spiegare come e perché un modello ha preso una decisione
• Precision/Recall: metriche chiave per valutare efficacia dei modelli
• Risk Register: Registro ufficiale dei rischi documentati, incluso l’AI risk
• AI Act: Regolamento UE per l’uso affidabile e trasparente dell’Intelligenza Artificiale

📥 Scarica la checklist MRM PDF (20 controlli fondamentali)

👉🏻 Scarica ora – Nessuna registrazione