Epistemologia
come sa la macchina
how the machine knows
L'opacità del modello come rischio.
Model opacity as a risk.
Come l'AI cambia il rischio cyber, le elezioni e la democrazia — e come, nonostante tutto, può curare.
How AI reshapes cyber risk, elections and democracy — and how, despite everything, it can still heal.
L'Europa è sotto una pressione cyber convergente e continua. Ma il bersaglio più profondo non è l'infrastruttura: è la sfera pubblica — il modo in cui una collettività forma il proprio giudizio. Questo dossier ricostruisce il quadro fattuale (chi attacca, quanto è fragile il continente, perché elezioni e democrazia sono già campo di battaglia) e propone una chiave: il cyber come dispositivo che cattura e dà forma ai soggetti, l'AI come pharmakon — veleno e rimedio insieme. La chiave gira su tre registri — come sa la macchina, come sappiamo con la macchina, cosa la macchina fa di noi — e arriva a una tesi costruttiva: la cura non è più tecnologia, è formazione.
Europe is under convergent, continuous cyber pressure. Yet the deepest target is not infrastructure: it is the public sphere — the way a collectivity forms its judgment. This dossier reconstructs the factual picture (who attacks, how fragile the continent is, why elections and democracy are already a battlefield) and proposes a reading: the cyber domain as an apparatus that captures and shapes subjects, and AI as a pharmakon — poison and remedy at once. The reading turns on three registers — how the machine knows, how we know with the machine, what the machine does to us — and arrives at a constructive thesis: the cure is no longer technology, it is formation.
Il primo dato è di scala. Il cybercrime ha smesso di essere artigianato: è un'industria con economie di scala, divisione del lavoro e curve di crescita da settore maturo. Il tratto distintivo del 2026 è che l'intelligenza artificiale ne abbassa la soglia d'ingresso — interi attacchi possono essere orchestrati in modo autonomo, a velocità e portata prima irraggiungibili.
The first fact is one of scale. Cybercrime has ceased to be a craft: it is an industry, with economies of scale, division of labour and the growth curves of a mature sector. The signature trait of 2026 is that artificial intelligence lowers its barrier to entry — entire campaigns can be orchestrated autonomously, at a speed and reach previously out of reach.
La lettura: non un problema dei reparti IT, ma una questione di sovranità. La digitalizzazione ha stratificato asset nuovi su sistemi legacy fragili, allargando la superficie più velocemente delle difese. Confidence: 88%. [0–3M]
The reading: not an IT-department problem, but a matter of sovereignty. Digitalisation has layered new assets onto fragile legacy systems, widening the attack surface faster than the defences. Confidence: 88%. [0–3M]
Il rilevamento ENISA più recente fotografa un continente bersaglio stabile. Sotto il rumore — la grande maggioranza degli incidenti è hacktivismo ideologico via DDoS, a basso impatto — opera uno strato più sofisticato: secondo ENISA gli attori state-nexus intensificano in silenzio lo spionaggio contro pubblica amministrazione e industrie strategiche.
ENISA's most recent landscape pictures a continent that remains a steady target. Beneath the noise — the great majority of incidents are low-impact ideological hacktivism via DDoS — a more sophisticated layer operates: according to ENISA, state-nexus actors quietly intensify espionage against public administration and strategic industries.
Il fenomeno strutturale è la convergenza: criminali, hacktivisti e Stato condividono strumenti e infrastrutture, e le linee si confondono per scelta. Nota di metodo: l'attribuzione a singoli Stati è probabilistica e contesa, e qui è sempre riportata a fonti istituzionali — ENISA, CERT-EU, CISA — non affermata in proprio. Confidence: 80%. [0–12M]
The structural phenomenon is convergence: criminals, hacktivists and states share tools and infrastructure, and the lines blur by design. A note on method: attribution to individual states is probabilistic and contested, and here it is always reported to institutional sources — ENISA, CERT-EU, CISA — never asserted in our own name. Confidence: 80%. [0–12M]
Né Washington né Pechino sono al riparo. Negli Stati Uniti, secondo CISA e l'intelligence alleata, due campagne attribuite ad attori cinesi definiscono lo stato dell'arte: una pre-posizionata dentro infrastrutture critiche (acqua, energia, telecomunicazioni, trasporti) in attesa, non per rubare ma per poter colpire in caso di crisi; l'altra, di spionaggio su operatori telecom, con visibilità sulla geolocalizzazione di un numero molto ampio di persone, inclusi funzionari.
Neither Washington nor Beijing is shielded. In the United States, according to CISA and allied intelligence, two campaigns attributed to Chinese actors define the state of the art: one pre-positioned inside critical infrastructure (water, energy, telecommunications, transport), lying in wait — not to steal, but to be able to strike in a crisis; the other, telecom espionage, with visibility over the geolocation of a very large number of people, officials included.
La lezione non è la sofisticazione del nemico: è che debolezze basilari e prevenibili — non zero-day — spiegano gran parte della vulnerabilità.
The lesson is not the adversary's sophistication: it is that basic, preventable weaknesses — not zero-days — account for much of the vulnerability.
È un punto decisivo e controintuitivo: la fragilità delle potenze è in larga parte auto-inflitta, più questione di igiene di base che di asimmetria tecnologica. Sulle vulnerabilità interne cinesi le fonti aperte occidentali sono scarse: trattarle alla pari sarebbe inferenza, non dato. Confidence: 78%. [3–12M]
This is a decisive and counter-intuitive point: the powers' fragility is largely self-inflicted, more a matter of basic hygiene than of technological asymmetry. On China's own internal vulnerabilities Western open sources are thin: to treat them as equivalent would be inference, not data. Confidence: 78%. [3–12M]
L'AI agisce sui due fronti. In attacco: campagne autonome, malware polimorfico che riscrive il proprio codice, ingegneria sociale via deepfake, avvelenamento dei modelli. Il salto di paradigma è già documentato — nel novembre 2025 un fornitore di modelli ha reso pubblica la prima campagna di spionaggio in cui l'AI non consigliava ma eseguiva l'attacco, attribuita con alta confidenza a un gruppo statale.
AI works on both fronts. On offence: autonomous campaigns, polymorphic malware that rewrites its own code, deepfake-driven social engineering, model poisoning. The paradigm shift is already documented — in November 2025 a model provider disclosed the first espionage campaign in which AI did not advise but executed the attack, attributed with high confidence to a state-sponsored group.
In difesa: contenimento delle violazioni molto più rapido, spesa globale in sicurezza in forte crescita, l'imperativo industriale di «combattere l'AI con l'AI». Ma — e qui §17 impone cautela — chi guadagni di più al margine non è predeterminato: dipende da diffusione e politiche, non dalla tecnologia in sé. Sul fronte europeo la risposta normativa è densa ma in ritardo: a inizio 2026 solo circa sedici Stati su ventisette avevano pienamente recepito la direttiva NIS2; il continente resta diviso in due velocità. Confidence: 82%. [3–24M]
On defence: far faster breach containment, sharply rising global security spend, the industrial imperative to "fight AI with AI". But — and here §17 demands caution — which side gains more at the margin is not predetermined: it depends on diffusion and policy, not on the technology itself. In Europe the regulatory response is dense but late: by early 2026 only about sixteen of twenty-seven states had fully transposed the NIS2 directive; the continent remains split into two speeds. Confidence: 82%. [3–24M]
Qui il dossier cambia profondità. Il bersaglio più insidioso non è una rete elettrica: è la formazione del giudizio collettivo. ENISA cataloga il fenomeno come manipolazione e interferenza informativa straniera (FIMI). Non si attacca un server: si attacca la fiducia. E le elezioni sono il punto di massima resa.
Here the dossier shifts in depth. The most insidious target is not a power grid: it is the formation of collective judgment. ENISA files the phenomenon as Foreign Information Manipulation and Interference (FIMI). One does not attack a server: one attacks trust. And elections are the point of maximum yield.
Nota §17 — oltre l'allarmismo. Attribuire un esito elettorale «al deepfake» sovrastima la tecnologia e sottovaluta il terreno. La ricerca accademica sul caso slovacco mostra che pesarono di più fattori strutturali: sfiducia storica nei media, predisposizione complottista, narrazioni filo-Cremlino radicate da oltre un decennio. La tecnologia accende un fuoco solo dove c'è esca. Questo non riduce il rischio: ne sposta il baricentro dalla macchina alla condizione della sfera pubblica. Confidence: 84%. [0–24M]
§17 note — beyond the hype. To attribute an electoral outcome "to the deepfake" overstates the technology and underrates the ground. Peer-reviewed work on the Slovak case shows that structural factors mattered more: historic media distrust, conspiratorial disposition, pro-Kremlin narratives entrenched for over a decade. Technology lights a fire only where there is kindling. This does not lower the risk: it shifts its centre of gravity from the machine to the condition of the public sphere. Confidence: 84%. [0–24M]
I tre registri che seguono non sono digressioni: sono il modo in cui un dato diventa conoscenza. Cosa la macchina sa; come noi sappiamo con essa; cosa essa fa di noi. Tre piani — epistemologia, metodo, etica — che il pharmakon tiene insieme.
The three registers that follow are not digressions: they are how a fact becomes knowledge. What the machine knows; how we know with it; what it does to us. Three planes — epistemology, method, ethics — held together by the pharmakon.
La prima domanda non è etica ma epistemica: che tipo di sapere è quello di un modello? Un sistema di apprendimento automatico non comprende: correla. Produce inferenze potenti su regolarità statistiche, senza modello causale e senza accesso trasparente alle proprie ragioni. L'opacità non è un difetto accidentale: è una proprietà strutturale del modo in cui questi sistemi «sanno».
The first question is not ethical but epistemic: what kind of knowing is a model's? A machine-learning system does not understand: it correlates. It produces powerful inferences over statistical regularities, with no causal model and no transparent access to its own reasons. Opacity is not an accidental flaw: it is a structural property of how these systems "know".
Applicata al rischio, l'intuizione ribalta la gerarchia del pericolo. La minaccia maggiore non è l'AI deliberatamente malevola, ma l'AI legittima che opera in autonomia senza essere pienamente compresa — dove anche un errore può diventare operativo e propagarsi. L'agente che esegue un'intrusione, o il modello che decide cosa amplificare in un feed, agisce senza sapere di agire. La superficie d'attacco, allora, non è solo tecnica: è epistemica.
Applied to risk, the insight inverts the hierarchy of danger. The greater threat is not deliberately malicious AI but legitimate AI operating autonomously without being fully understood — where even an error can become operational and propagate. The agent executing an intrusion, or the model deciding what to amplify in a feed, acts without knowing that it acts. The attack surface, then, is not only technical: it is epistemic.
Se la macchina sa per correlazione opaca, la conoscenza affidabile non nasce dal modello ma dalla relazione tra analista e modello — un'agency epistemica distribuita. Qui vive il metodo FP3, non come marchio ma come disciplina verificabile, misurata su quattro vincoli che questo stesso dossier mette in atto sotto gli occhi del lettore:
If the machine knows by opaque correlation, reliable knowledge arises not from the model but from the relation between analyst and model — a distributed epistemic agency. This is where the FP3 method lives — not as a brand but as a verifiable discipline, measured against four constraints that this very dossier enacts before the reader's eyes:
— Falsificabilità. Ogni previsione è formulata ex ante con un falsifier dichiarato (§III.12).
— Calibrazione. Confidence esplicita, scoring di Brier sullo storico, aggiornamento bayesiano solo su eventi materiali.
— Trasparenza dei registri. Separazione tra registro espressivo e claim formale; distinzione costante tra dato e inferenza.
— Anti-overclaim (§17). Nessuna deriva verso il consenso, nessuna metrica gonfiata.
— Falsifiability. Every forecast is stated ex ante with a declared falsifier (§III.12).
— Calibration. Explicit confidence, Brier scoring against the record, Bayesian updating only on material events.
— Transparency of registers. A separation between expressive register and formal claim; a constant distinction between data and inference.
— Anti-overclaim (§17). No drift toward consensus, no inflated metrics.
La conseguenza filosofica è precisa: la diade analista-AI non è uno strumento che amplifica un soggetto già dato, ma un luogo in cui l'agency epistemica si costituisce. Il sapere è prodotto della relazione, non possesso individuale.
The philosophical consequence is precise: the analyst–AI dyad is not a tool that amplifies an already-given subject, but a site where epistemic agency is constituted. Knowledge is a product of the relation, not an individual possession.
Se conoscere con l'AI ci co-costituisce come soggetti, il cyber non è un campo di battaglia esterno: è un dispositivo che cattura, orienta e dà forma alla vita. La sorveglianza che geolocalizza milioni di persone non è solo spionaggio: è vita che «prende forma» dentro l'apparato. Due torsioni reggono il piano.
If knowing with AI co-constitutes us as subjects, the cyber domain is not an external battlefield: it is an apparatus that captures, orients and shapes life. Surveillance that geolocates millions is not merely espionage: it is life "taking form" inside the apparatus. Two turns hold this plane.
Eravamo già stati cambiati dalle immagini; ora siamo attaccati e governati attraverso di esse. Il deepfake non inganna su un fatto: corrode la facoltà di credere ai propri occhi e alle proprie orecchie. Ciò che si incrina non è un sistema, ma il patto percettivo tacito su cui poggia il legame sociale. Lo sguardo, un tempo garanzia di presenza, diventa luogo di sospetto. La difesa è anche una pedagogia dello sguardo.
We had already been changed by images; now we are attacked and governed through them. The deepfake does not deceive about a fact: it corrodes the capacity to believe one's own eyes and ears. What cracks is not a system but the tacit perceptual pact on which the social bond rests. The gaze, once a guarantee of presence, becomes a place of suspicion. Defence is also a pedagogy of the gaze.
Il paradigma dominante della sicurezza è bellico: difesa, deterrenza, perimetro, fortezza. Un'etica della cura lo rovescia: la vulnerabilità non è il difetto della fortezza isolata, è una condizione relazionale. Il linguaggio stesso degli organismi europei lo ammette suo malgrado — «i sistemi sono interconnessi, una disruzione su un lato ha effetto a catena». Tesi: la fragilità europea non è solo un deficit di difesa, è una crisi della cura dell'interdipendenza.
The dominant security paradigm is martial: defence, deterrence, perimeter, fortress. An ethics of care inverts it: vulnerability is not the flaw of the isolated fortress, it is a relational condition. Even the language of European bodies admits this in spite of itself — "systems are intertwined; a disruption on one side ripples down the chain". Thesis: Europe's fragility is not only a defence deficit, it is a crisis in the care of interdependence.
La democrazia stessa, vista così, è un dispositivo — e il caso rumeno ne mostra l'ambivalenza più profonda. Per proteggere il voto, il voto è stato sospeso. È una forma di «stato d'eccezione» applicata alla democrazia, e si lascia leggere in due modi entrambi coerenti: come atto di custodia (difendere l'integrità da una cattura straniera) e come atto sovrano (l'apparato che decide quale volontà popolare conti). Il compito non è dare un verdetto — il dossier resta neutrale — ma vedere il meccanismo: la stessa struttura che difende può catturare. La cura porta con sé il veleno.
Democracy itself, seen this way, is an apparatus — and the Romanian case shows its deepest ambivalence. To protect the vote, the vote was suspended. It is a form of "state of exception" applied to democracy, and it reads two coherent ways at once: as an act of guardianship (defending integrity from foreign capture) and as a sovereign act (the apparatus deciding which popular will counts). The task is not to render a verdict — the dossier stays neutral — but to see the mechanism: the same structure that defends can capture. The cure carries the poison.
C'è di più. La manipolazione non lavora sulla ragione, ma sul desiderio e sull'affetto: sfrutta la spinta umana a elevarsi, ad appartenere, a essere riconosciuti. Il soggetto pubblico si costituisce attraverso immagine e affezione, non attraverso argomenti. È lì che colpisce l'attacco — e quindi è lì, e non solo nel codice, che deve operare la cura.
There is more. Manipulation does not work on reason but on desire and affect: it exploits the human drive to rise, to belong, to be recognised. The public subject is constituted through image and affection, not through argument. That is where the attack lands — and therefore that is where, and not only in the code, the cure must operate.
I registri convergono su una figura. L'AI è un pharmakon: ciò che è, costitutivamente e insieme, veleno e rimedio. Il «moltiplicatore bidirezionale» del §I.4 ha qui il suo nome. La domanda «l'AI è la soluzione?» è mal posta: non è soluzione né minaccia, è entrambe, e la sua valenza non è decisa dalla sostanza ma dalla cura — dal modo, dalla dose, dalla relazione con cui la si pratica.
The registers converge on a single figure. AI is a pharmakon: that which is, constitutively and at once, poison and remedy. The "two-way multiplier" of §I.4 finds its name here. The question "is AI the solution?" is ill-posed: it is neither solution nor threat, it is both, and its valence is decided not by the substance but by the care — by the manner, the dose, the relation with which it is practised.
Quanto la lasciamo opaca (epistemologia), come esercitiamo l'agency con essa (metodo), come ci prendiamo cura del soggetto che trasforma (etica): è qui — non nella tecnologia — che il pharmakon diventa veleno o rimedio.
How opaque we let it remain (epistemology), how we exercise agency with it (method), how we care for the subject it transforms (ethics): it is here — not in the technology — that the pharmakon becomes poison or remedy.
Se la valenza del pharmakon si decide sui tre registri, allora la cura non è più tecnologia: è formazione. La lezione del §I.5 è inequivoca — la manipolazione attecchisce dove trova esca: sfiducia, analfabetismo dello sguardo, isolamento. L'antidoto non è un filtro migliore, è la condizione della sfera pubblica: agency epistemica diffusa, capacità di leggere la macchina e l'immagine, standard condivisi di prova.
If the pharmakon's valence is decided on the three registers, then the cure is no longer technology: it is formation. The lesson of §I.5 is unequivocal — manipulation takes root where it finds kindling: distrust, illiteracy of the gaze, isolation. The antidote is not a better filter, it is the condition of the public sphere: widespread epistemic agency, the capacity to read both the machine and the image, shared standards of evidence.
L'AI può essere parte del rimedio — provenienza e watermarking dei contenuti, rilevazione, verifica su scala, strumenti didattici — ma soltanto dentro una pratica di cura. E la cura ha un luogo: l'università, e in particolare il punto in cui la filosofia incontra l'informatica — etica e tecnologia del sé. È il modello degli spazi di ricerca interdisciplinari che già uniscono i due dipartimenti: lì la riflessione etica e l'expertise tecnica non si guardano da lontano.
AI can be part of the remedy — content provenance and watermarking, detection, verification at scale, pedagogical tools — but only within a practice of care. And care has a place: the university, and in particular the point where philosophy meets computer science — ethics and the technology of the self. It is the model of those interdisciplinary research spaces that already join the two departments: there, ethical reflection and technical expertise do not regard each other from afar.
Chiamiamolo per quello che è: un cyber learning come cura fatta istituzione — formare soggetti capaci di tenere insieme i tre registri. Lo stesso metodo FP3 (falsificabilità, calibrazione, trasparenza) è, in piccolo, una pedagogia dell'igiene epistemica. La proposta non è un allarme, è una linea: trattare il rischio cyber non come problema di difesa, ma come problema della formazione di soggetti epistemici ed etici.
Call it what it is: a cyber learning as care made institution — forming subjects able to hold the three registers together. The FP3 method itself (falsifiability, calibration, transparency) is, in miniature, a pedagogy of epistemic hygiene. The proposal is not an alarm, it is a line of work: to treat cyber risk not as a problem of defence, but as a problem of the formation of epistemic and ethical subjects.
Questo dossier è anche un banco di prova. La triade che ne regge la chiave — epistemologia dell'AI, agency della diade umano-macchina, soggettivazione ed etica — non è ornamento: è la struttura, in forma applicata, di una riflessione che parte da come la macchina sa, passa per come noi sappiamo con essa, e arriva a cosa essa fa del soggetto e a come se ne può aver cura.
This dossier is also a testbed. The triad that holds its key — epistemology of AI, the agency of the human–machine dyad, subjectivation and ethics — is not ornament: it is the structure, in applied form, of an inquiry that begins from how the machine knows, passes through how we know with it, and arrives at what it does to the subject and how one may care for it.