Il caso Galileu apre una nuova sfida: quando un atto processuale diventa un input per l’intelligenza artificiale

Security Awareness
16 Luglio 2026
AI e giustizia

Per decenni un atto processuale ha avuto una funzione precisa: essere letto da persone. Magistrati, avvocati, consulenti tecnici e cancellieri ne interpretano i contenuti, ne pesano gli argomenti, ne ricostruiscono il valore probatorio. I sistemi informatici si sono limitati, fino a oggi, a conservarlo, trasmetterlo, archiviarlo.

Il caso che ha dato origine a questa riflessione arriva dal Brasile, da un processo del lavoro in cui due avvocati avevano inserito, all’interno di un atto, una frase invisibile all’occhio distratto ma perfettamente leggibile da un sistema automatico, che chiedeva esplicitamente all’intelligenza artificiale di contestare la petizione in modo superficiale senza impugnare i documenti. Il giudice non ha impiegato settimane per accorgersene: ha individuato il testo con strumenti informatici nel corso della normale analisi del fascicolo, sanzionando entrambi i legali e trasmettendo gli atti all’ordine professionale competente per i profili disciplinari.

Il dato più interessante, però, non è la sanzione in sé. È che il tribunale non ha dovuto dimostrare che l’AI fosse stata effettivamente influenzata né che il tentativo avesse prodotto conseguenze concrete: è bastato che il deposito di un atto con istruzioni occulte violasse i principi di correttezza e buona fede processuale. Non serve che l’inganno funzioni. Basta che sia stato scritto, e depositato.

Può sembrare una differenza sottile. In realtà è un cambio di paradigma.

Un documento che non viene più soltanto letto

Sempre più organizzazioni adottano strumenti di AI per analizzare grandi volumi documentali, e il settore legale non fa eccezione. Esistono già piattaforme in grado di sintetizzare fascicoli, individuare riferimenti normativi, confrontare sentenze, cercare precedenti e supportare la gestione documentale.

In questi contesti il documento smette di essere un semplice testo da consultare: diventa la materia prima su cui il sistema costruisce le proprie elaborazioni. E qui il caso brasiliano introduce un elemento che cambia la prospettiva: un modello linguistico non distingue per natura tra un contenuto da analizzare e un’istruzione da eseguire, tutto ciò che finisce nel suo contesto viene processato come potenziale comando.

Quando il contenuto diventa comando: cos’è il prompt injection

Nel linguaggio della cybersecurity esiste un termine specifico per questo fenomeno: prompt injection. Si tratta della tecnica che consiste nel nascondere, dentro un contenuto che un sistema di AI è destinato a leggere, un’istruzione camuffata da testo normale, con l’obiettivo di fargli eseguire un’azione diversa da quella per cui è stato incaricato.

Esiste una distinzione importante tra due varianti: quella diretta, in cui è l’utente stesso a provare a manipolare il sistema, e quella indiretta, in cui l’ordine è nascosto in un documento terzo che l’AI è autorizzata a leggere. Il caso brasiliano appartiene proprio a questa seconda categoria: l’atto processuale, un testo che nessuno si aspetterebbe capace di “parlare” a una macchina, è diventato il veicolo dell’attacco.

Un aspetto tecnico rende il fenomeno ancora più insidioso. Una ricerca recente del MIT (presentata a ICML 2026) ha mostrato che i modelli linguistici tendono a inferire l’autorità di un testo dal suo stile, più che dai marcatori tecnici che nell’architettura separano sistema, utente e strumenti; e se un testo suona come il ragionamento autorevole del modello stesso, tende a essere trattato come tale anche quando proviene da una fonte poco affidabile. Nello studio, simulando un falso ragionamento interno all’interno di un canale utente, i ricercatori hanno ottenuto un tasso di successo dell’attacco del 60% sui modelli più avanzati, contro un tasso vicino allo zero per i tentativi di manipolazione diretta e grezza. Non è la logica del testo a ingannare il sistema: è il tono con cui è scritto.

Non serve nemmeno che il testo sia leggibile

Il livello più sofisticato del fenomeno riguarda l’occultamento tecnico vero e proprio. Un comando può essere reso invisibile a un lettore umano usando caratteri Unicode a larghezza zero o di controllo bidirezionale (le stesse tecniche descritte dai cosiddetti Trojan Source attacks individuati dall’Università di Cambridge nel 2021) restando comunque perfettamente eseguibile da un sistema che elabora il testo carattere per carattere. Un atto può quindi apparire innocuo agli occhi di un giudice e contenere comunque un’istruzione operativa per qualunque algoritmo lo processi.

La fiducia nei documenti richiede un requisito in più

La digitalizzazione della giustizia ha concentrato finora l’attenzione su autenticità, firma elettronica, integrità del file, protezione dei dati. Elementi imprescindibili, ma non più sufficienti da soli.

Con l’ingresso dell’AI si aggiunge un requisito ulteriore: poter contare non solo sull’origine del documento, ma anche sul modo in cui verrà interpretato dai sistemi automatici. C’è un dettaglio del caso brasiliano che merita attenzione particolare: il comando nascosto era scritto per colpire potenzialmente sia i sistemi di AI della controparte sia quelli eventualmente già in uso presso l’apparato giudiziario stesso. Chi lo ha scritto, in altre parole, dava per scontato che l’intelligenza artificiale fosse già entrata nei flussi di lavoro dei tribunali, non solo in quelli degli studi legali.

Un impatto che coinvolge l’intera filiera

I magistrati avranno bisogno di strumenti affidabili, progettati per separare con chiarezza il contenuto di un documento dalle istruzioni che ne governano l’elaborazione automatica.

Gli avvocati si troveranno a confrontarsi con una dimensione nuova nella redazione degli atti: il giudice resterà il destinatario finale, ma è sempre più probabile che il documento venga elaborato preliminarmente anche da sistemi automatici impiegati per ricerca, classificazione o sintesi.

Anche la Pubblica Amministrazione dovrà misurarsi con questo cambiamento, man mano che l’AI entra nei processi documentali e nei servizi ai cittadini. La sicurezza non potrà più limitarsi a proteggere infrastrutture e banche dati, ma dovrà estendersi ai contenuti che alimentano questi sistemi.

Per i consulenti tecnici si apre un ambito del tutto nuovo: valutare un documento potrebbe significare, in futuro, esaminarne non solo la validità giuridica, ma anche il possibile impatto sui processi automatizzati che lo elaborano.

Organizzazioni internazionali come OWASP e NIST dedicano già crescente attenzione ai rischi che nascono dall’interazione tra documenti e modelli di intelligenza artificiale. Il principio di fondo è chiaro: nessun contenuto ricevuto può essere considerato innocuo per il solo fatto di presentarsi come un normale documento.

Le piattaforme legal-tech del futuro dovranno integrare meccanismi capaci di analizzare gli input in modo sicuro, separando il contenuto documentale dalle istruzioni che governano il funzionamento dell’AI e riducendo il rischio che informazioni costruite ad hoc possano alterare i risultati dell’elaborazione. Non un invito a diffidare dei documenti, ma il riconoscimento che il loro ruolo è cambiato.

Una riflessione che supera il singolo caso

Il valore del caso Galileu non si esaurisce nella vicenda giudiziaria che lo ha portato all’attenzione degli operatori del diritto. Il suo contributo più rilevante sta nell’aver messo in luce un fenomeno destinato a ripetersi sempre più spesso: i documenti hanno smesso di essere semplici contenitori di informazioni e sono diventati elementi che interagiscono con sistemi intelligenti.

Per anni la cybersecurity si è concentrata su reti, server e applicazioni. Oggi si aggiunge una dimensione nuova: quella della sicurezza documentale nell’era dell’intelligenza artificiale. Comprendere questa evoluzione significa prepararsi a una giustizia sempre più digitale senza rinunciare a un principio fondamentale: la fiducia nei documenti deve restare garantita, anche quando il primo lettore non è più una persona, ma un algoritmo.

Resta però un elemento che nessuna piattaforma, per quanto sofisticata, potrà mai sostituire: la capacità delle persone di riconoscere un rischio prima ancora che diventi un incidente.
Perché se è vero che i sistemi imparano dai documenti che analizzano, è altrettanto vero che le organizzazioni imparano dalle competenze di chi quei documenti li tratta ogni giorno. Investire nella consapevolezza di chi lavora a contatto con dati sensibili resta, oggi più che mai, il primo presidio di sicurezza… quello che nessun algoritmo può replicare da solo!

Articoli correlati

News

Siamo orgogliosi di annunciare che Cyber Guru è stata inclusa nella prestigiosa lista “Top 100 EdTech Companies 2025” di TIME Magazine e Statista.

AWARENESS TRAINING

  • Awareness

    Formazione continua per costruire conoscenza e consapevolezza

  • Channel

    Un’esperienza formativa coinvolgente, in formato serie TV

  • Chatbot NEW

    Modalità conversazionale per la formazione nei luoghi di lavoro

COMPLIANCE TRAINING

PHISHING TRAINING

  • Phishing

    Formazione adattiva personalizzata

  • PhishPro

    L’add-on per un addestramento avanzato

REAL TIME AWARENESS

Cyber Advisor NEW

GenAI cybersecurity assistant Scopri Guru, l'assistente AI specializzato in cybersecurity!

RISORSA IN EVIDENZA

Ebook

Cyber Guru Academy Content Creators

Contenuti che fanno la differenza Ideare, progettare e produrre contenuti formativi in grado di generare interesse, coinvolgimento e motivazione ad apprendere, è una sfida quotidiana per il dipartimento Academy di Cyber Guru. Perché è ormai chiaro che per addestrare le persone a difendersi dal cyber crime non basta una piattaforma accattivante e una moltitudine di contenuti.