Neuromorphic Computing, il cervello di silicio, tra difesa e vulnerabilità

Quando i chip cominciano a pensare come neuroni, la cybersecurity deve fare i conti con regole del gioco completamente inedite.

Un nuovo paradigma computazionale

Per decenni l’industria informatica ha costruito i propri fondamenti sull’architettura di Von Neumann: processore separato dalla memoria, ciclo fetch-decode-execute, flusso di dati lineare. Uno dei principali ostacoli alla riduzione di latenza e consumo energetico nell’inferenza AI è proprio il cosiddetto collo di bottiglia di Von Neumann: in quasi tutti i microprocessori moderni la memoria è fisicamente separata dal processore, e lo spostamento continuo dei dati tra le due unità limita la velocità e consuma elettricità.

Il neuromorphic computing rompe questa logica partendo da un’analogia biologica radicale. L’approccio mira a progettare hardware e software che simulino le strutture e le funzioni neurali e sinaptiche del cervello umano per elaborare informazioni. Le sue origini risalgono agli anni Ottanta, quando Misha Mahowald e Carver Mead svilupparono i primi neuroni e sinapsi in silicio. Oggi, però, la maturazione tecnologica ha trasformato quello che era un esperimento accademico in un settore con ricadute concrete su sicurezza, difesa e intelligenza artificiale distribuita.

Il meccanismo fondamentale su cui si basano questi sistemi è la rete neurale a impulsi, o Spiking Neural Network (SNN). A differenza delle reti neurali artificiali convenzionali che elaborano valori continui, le SNN operano con impulsi: un neurone artificiale accumula carica e, quando supera una soglia, genera uno spike. Se non richiesto, rimane inattivo, e inattivo significa consumo energetico pari a zero. I neuroni biologici trasmettono segnali solo in risposta a cambiamenti, con un processamento sparso, parallelo e adattivo, consumando circa 20 watt per capacità di riconoscimento dei pattern di livello straordinario.

L’hardware: da Loihi a Hala Point, passando per TrueNorth

I protagonisti industriali di questo panorama sono essenzialmente due, Intel e IBM, con una platea crescente di attori specializzati.

Il chip Loihi di Intel Labs, annunciato formalmente nel 2017, integra 128 core neuromorfi, 3 processori x86 e oltre 33 MB di memoria SRAM on-chip, supportando reti neurali a impulsi asincroni fino a 130.000 neuroni compartimentali sintetici e 130 milioni di sinapsi, fabbricato su processo a 14 nm. La seconda generazione, Loihi 2, ha spinto ulteriormente le prestazioni: introdotto alla fine del 2021, conta circa un milione di neuroni per chip con programmabilità migliorata rispetto al predecessore.

Il confronto tra le generazioni è significativo: Loihi 2 supera il predecessore con una capacità di elaborazione fino a dieci volte superiore ed è accompagnato da Lava, un framework open source che supporta più metodi AI e hardware per lo sviluppo di applicazioni neuro-ispirate.

Il progetto più ambizioso di Intel si chiama Hala Point. Hala Point, il più grande sistema neuromorfico di Intel ad oggi, contiene 1,15 miliardi di neuroni e racchiude 1.152 processori Loihi 2 prodotti su nodo di processo Intel 4 in uno chassis per data center da sei unità rack delle dimensioni di un forno a microonde. Il sistema supporta fino a 1,15 miliardi di neuroni e 128 miliardi di sinapsi distribuiti su 140.544 core di elaborazione neuromorfica, con un consumo massimo di 2.600 watt, e include oltre 2.300 processori x86 integrati per calcoli ausiliari.

Le prestazioni del sistema sono state misurate ufficialmente da Intel: i sistemi basati su Loihi possono eseguire inferenza AI e risolvere problemi di ottimizzazione usando cento volte meno energia a velocità fino a cinquanta volte superiori rispetto ad architetture CPU e GPU convenzionali, raggiungendo efficienze fino a 15 TOPS/W su deep neural network convenzionali senza necessità di raggruppare i dati in batch. Hala Point è stato inizialmente distribuito presso i Sandia National Laboratories per la ricerca in ambito AI e difesa.

Sul fronte IBM, il percorso evolutivo è stato differente. TrueNorth, introdotto nel 2014, è un processore di rete su chip con 4.096 core, ciascuno con 256 neuroni programmabili simulati, per un totale di poco più di un milione di neuroni. IBM dichiara un consumo di soli 70 milliwatt e una densità di potenza pari a un diecimillesimo di quella dei microprocessori convenzionali.

Nel 2023, con NorthPole, IBM ha compiuto un ulteriore salto qualitativo. NorthPole è un’estensione di TrueNorth, progettata per l’inferenza neurale in otto anni di sviluppo. Nei test sui modelli ResNet-50 e YOLOv4, il prototipo ha dimostrato maggiore efficienza energetica, efficienza spaziale e latenza inferiore rispetto a qualsiasi altro chip sul mercato, risultando circa 4.000 volte più veloce di TrueNorth.

Il chip conta 22 miliardi di transistor su un processo a 12 nm, con 256 core, ciascuno capace di eseguire 2.048 operazioni per ciclo con precisione a 8 bit. Rispetto a GPU basate sullo stesso nodo 12 nm, NorthPole è 25 volte più efficiente dal punto di vista energetico nel numero di frame interpretati per joule, e supera tutte le principali architetture prevalenti, incluse quelle su processi più avanzati come GPU implementate su nodo a 4 nm. Un limite architetturale rilevante va però esplicitato: il chip è concepito solo per l’inferenza e non può gestire LLM di grandi dimensioni come GPT-4 a causa dei vincoli di memoria on-chip.

I nuovi risultati del 2024 hanno poi esteso queste prestazioni al dominio degli LLM: nei test su un LLM da 3 miliardi di parametri sviluppato a partire dal modello Granite-8B-Code-Base di IBM, NorthPole ha raggiunto una latenza inferiore a 1 millisecondo per token, risultando 46,9 volte più veloce della GPU con maggiore efficienza energetica disponibile, mantenendo al tempo stesso un’efficienza energetica 72,7 volte superiore rispetto alla GPU con latenza più bassa.

Una revisione comparativa pubblicata su MDPI Electronics nel gennaio 2026 propone un framework a cinque dimensioni per classificare le implementazioni neuromorfe, ovvero tecnologia di processo, scala, consumo energetico, modelli neuronali e caratteristiche architetturali, evidenziando come TrueNorth ottimizzi l’efficienza energetica estrema attraverso un’architettura event-driven specializzata, mentre Loihi offra un equilibrio tra scala e capacità di apprendimento.

Le opportunità per la cybersecurity

Comprendere il potenziale difensivo dei chip neuromorfi richiede di ragionare su tre dimensioni: efficienza operativa, capacità di apprendimento adattivo e scalabilità verso l’edge computing.

Anomaly detection in tempo reale

Le piattaforme basate su Loihi hanno dimostrato apprendimento on-chip per il rilevamento di anomalie nel traffico di rete utilizzando la Spike-Timing-Dependent Plasticity (STDP), un meccanismo di apprendimento biologicamente plausibile che modifica i pesi sinaptici in funzione della correlazione temporale tra impulsi. Come approfondito anche nella nostra analisi sull’anomaly detection tramite reti neurali, il vantaggio rispetto ai sistemi tradizionali non è solo energetico, ma concettuale: le SNN sono particolarmente adatte a modellare pattern comportamentali dinamici e a identificare anomalie senza fare affidamento su dataset etichettati, colmando il limite dei classificatori di machine learning supervisionato tradizionali che spesso producono alti tassi di falsi positivi e scarsa adattabilità.

Un caso documentato riguarda un sistema memristivo descritto su ResearchGate nel 2025: il sistema neuromorfico basato su memristori raggiunge una precisione dell’87% nel rilevamento di anomalie, una velocità di elaborazione di 16,1 GOPS (774 volte più veloce di un processore edge commerciale) e un’efficienza energetica di 783 GOPS/W, consumando soli 20,5 milliwatt durante il rilevamento.

Sistemi IDS su reti industriali e IoT

Un approccio documentato da IEEE descrive un sistema neuromorfico cognitivo per la Network Intrusion Detection che unisce la potenza algoritmica del deep learning con processori neuromorfi veloci ed efficienti dal punto di vista energetico. I dati vengono codificati numericamente, addestrati con tecniche non supervisionate di tipo Auto Encoder e poi mappati su pesi crossbar e parametri neuronali.

Per l’IoT e i sistemi 5G/6G, un framework pubblicato nel 2025 propone un approccio a doppio livello: le SNN eseguono il rilevamento delle anomalie in tempo reale a bassa potenza al margine della rete, mentre reti neurali grafiche temporali modellano le relazioni in evoluzione tra dispositivi connessi e minacce, consentendo al sistema di anticipare pattern di attacco e di adeguare dinamicamente le politiche di sicurezza prima che avvenga una compromissione.

Il paradigma del neuromorphic cyber-twin

Pubblicato su Frontiers in Big Data nel 2025, il framework del Neuromorphic Cyber-Twin integra l’intelligenza neuromorfica con i Digital Twin per costruire architetture di difesa cognitive. L’architettura include un encoder di spike, un core di inferenza neuromorfica, un modulo decisionale, un’interfaccia fisica e un ciclo di retroazione, con apprendimento federato basato su STDP che produce delta sinaptici locali, aggregati per formare un modello condiviso e ridistribuiti ai nodi edge.

La collaborazione Ericsson-Intel nelle telecomunicazioni

Un esempio concreto di applicazione industriale è la collaborazione tra Ericsson Research e Intel Labs. Ericsson Research ha sviluppato un prototipo di ricevitore radio per l’acceleratore AI neuromorfico Loihi 2, basato su reti neurali a impulsi neuromorfe, che ha ridotto la comunicazione dei dati del 75-99% per reti di accesso radio (RAN) efficienti dal punto di vista energetico. Come membro dell’Intel Neuromorphic Research Community, Ericsson Research sta ricercando nuove tecnologie AI che forniscano efficienza energetica e inferenza a bassa latenza nei sistemi telecom. Il prototipo è stato dimostrato al Mobile World Congress di Barcellona nel 2024.

I rischi: quando il paradigma inedito diventa superficie d’attacco

La stessa caratteristica che rende i chip neuromorfi potenti difensori, ovvero la loro natura stocastica, event-driven e temporalmente codificata, li espone a vulnerabilità di sicurezza senza precedenti nel panorama tradizionale.

Attacchi adversarial specifici per le SNN

Il problema degli attacchi adversarial assume nelle SNN una dimensione temporale del tutto nuova. Modificando sottilmente la temporizzazione degli spike, gli attaccanti possono ingannare le reti neurali a impulsi sfruttando vulnerabilità simili a quelle degli attacchi adversariali tradizionali, ma con un vettore radicalmente diverso: nei compiti visivi, gli esempi avversariali su SNN si ottengono manipolando la struttura temporale dei treni di spike, e uno spostamento del tempo di spike all’interno di un input codificato temporalmente può alterare l’output della rete senza modificare la semantica complessiva dell’input. Questo è documentato nell’survey sulle minacce emergenti pubblicato su arXiv nel gennaio 2026.

Un paper di febbraio 2026 pubblicato su arXiv identifica un punto critico nell’architettura stessa delle SNN: i neuroni con potenziale di membrana vicino alla soglia di attivazione sono i fattori chiave che limitano la robustezza delle SNN addestrate direttamente; questi neuroni stabiliscono il limite superiore della forza massima degli attacchi adversariali sulle SNN e sono inclini al cambio di stato in presenza di piccole perturbazioni.

Una categoria particolarmente insidiosa è quella degli attacchi backdoor: pattern spazio-temporali vengono incorporati nei dati di addestramento come trigger nascosti, sfruttando vulnerabilità che non hanno equivalenti nelle reti neurali tradizionali a causa della struttura temporale propria delle SNN.

Del tutto inedita è poi la classe dei Neuromorphic Mimicry Attacks (NMA), formalizzata in un paper arXiv del maggio 2025: questi attacchi sfruttano la natura probabilistica e non deterministica dei chip neuromorfi per eseguire intrusioni occulte, imitando l’attività neuronale legittima attraverso tecniche come la manomissione dei pesi sinaptici e l’avvelenamento degli input sensoriali, eludendo così i sistemi di rilevamento delle intrusioni tradizionali con rischi concreti per veicoli autonomi, impianti medici intelligenti e reti IoT.

Attacchi side-channel e reverse engineering

Le architetture neuromorfe emergenti introducono nuove superfici d’attacco, in particolare a causa dell’elaborazione asincrona event-driven e del comportamento stocastico dei dispositivi. Tra i rischi concreti figurano attacchi tramite canali laterali di potenza ed elettromagnetici, vulnerabilità hardware e software, problemi di affidabilità dovuti ad architetture basate su memoria e sfruttabilità del comportamento della memoria per estrarre informazioni sensibili.

Il rischio di reverse engineering dei modelli embedded merita una riflessione specifica. Quando un modello SNN viene distribuito su un chip neuromorfico in un dispositivo IoT, in un veicolo autonomo o in un’infrastruttura critica, i pesi sinaptici rappresentano proprietà intellettuale ad alto valore. Come evidenziato nello stesso survey del gennaio 2026, le sfide nella sicurezza includono hardware Trojan, watermarking, cifratura, reverse engineering e attacchi che prendono di mira architetture diverse o derivano da interazioni software cross-domain.

L’assenza di framework difensivi standardizzati

Il rischio più profondo è sistemico. Lo strato software, che include le regole di apprendimento, le rappresentazioni dei modelli e le codifiche degli input, manca di strategie difensive standardizzate contro la manipolazione. I toolkit di attacco e difesa specifici per le SNN sono ancora in fase di sviluppo accademico, senza equivalenti industriali maturi. I metodi di adversarial training classici come FGSM non si trasferiscono direttamente alle SNN a causa delle loro caratteristiche discrete e temporali. Questo aspetto si inserisce nel più ampio tema, già esplorato su queste pagine, del rapporto tra intelligenza artificiale e cybersecurity e delle vulnerabilità introdotte dai nuovi paradigmi di apprendimento automatico.

Il mercato e la dimensione strategica

Il neuromorphic computing non è più solo ricerca di laboratorio. Secondo stime di mercato pubblicate a marzo 2026, il mercato globale del neuromorphic computing per la difesa era valutato a 1,8 miliardi di dollari nel 2025 ed è proiettato a espandersi con un CAGR del 20,5% dal 2026 al 2034, raggiungendo circa 9,7 miliardi di dollari. Il Nord America domina con il 42,3% della quota di mercato, trainato dagli investimenti del Dipartimento della Difesa degli Stati Uniti.

Intel Corporation mantiene la posizione di fornitore commerciale più avanzato con Loihi 2, che vanta partnership con oltre 200 istituzioni a livello globale tramite l’Intel Neuromorphic Research Community. IBM Corporation rimane influente attraverso l’architettura TrueNorth e i programmi di ricerca finanziati dalla DARPA, dove TrueNorth è valutato per la fusione di sensori multimodali.

Verso una sicurezza neuromorfica: sfide aperte

La ricerca di inizio 2026 individua alcune direzioni prioritarie per costruire una postura di sicurezza adeguata a questo paradigma.

Sul fronte della robustezza dei modelli, il metodo Threshold Guarding Optimization (TGO), proposto a febbraio 2026 su arXiv, indica una strada concreta: il metodo incorpora vincoli aggiuntivi nella funzione di perdita per allontanare i potenziali di membrana dei neuroni dalla loro soglia di attivazione, aumentando la sparsità del gradiente delle SNN e riducendo il limite teorico superiore degli attacchi adversariali, e introduce neuroni a spike con rumore per rendere probabilistico il meccanismo di attivazione, riducendo la probabilità di cambio di stato sotto piccole perturbazioni.

Sul fronte dell’apprendimento federato, l’architettura NCT propone di distribuire l’intelligenza difensiva senza centralizzare i dati sensibili, ma con una sfida specifica: le SNN federate con apprendimento STDP presentano sfide uniche dovute agli aggiornamenti locali dipendenti dal tempo e al comportamento asincrono, richiedendo protocolli di aggiornamento federati e framework sicuri per la condivisione dei modelli SNN su scala distribuita.

Rimane aperta la questione della standardizzazione regolamentare. Le sfide tecniche includono il co-design hardware-software, la standardizzazione e misure di sicurezza robuste, con la necessità di collaborazione interdisciplinare e metodologie innovative trasversali a neuromorphic computing, simulazione di digital twin, cybersecurity e sistemi embedded. Nessun ente normativo internazionale ha ancora emesso linee guida specifiche per la sicurezza dei sistemi neuromorfi. NIS2, DORA e il Cyber Resilience Act europeo non contemplano esplicitamente questa classe di dispositivi, lasciando un vuoto regolatorio che la velocità del mercato rischia di allargare ulteriormente.

Riflessioni conclusive

Il neuromorphic computing rappresenta probabilmente la frattura epistemica più profonda che la cybersecurity abbia affrontato dall’avvento del cloud computing. Non si tratta semplicemente di un nuovo tipo di processore da mettere in sicurezza, ma di un cambiamento nel modo in cui l’intelligenza artificiale percepisce il mondo, lo temporizza e lo apprende. Le opportunità difensive sono concrete e documentate: rilevamento delle anomalie a consumo energetico quasi nullo, apprendimento adattivo senza dipendenza dal cloud, capacità di pattern recognition sul traffico di rete in tempo reale. Ma ogni vettore di valore introduce un vettore di rischio speculare.

La sfida per chi si occupa di sicurezza informatica non è aspettare che i chip neuromorfi diventino mainstream per poi affannarsi in difesa. È costruire oggi la conoscenza, i framework di analisi e le contromisure adeguate a un paradigma che, in silenzio, opera già nei laboratori di difesa di mezzo mondo e nelle reti di telecomunicazione di domani.