Legal issues of artificial intelligence systems in cybersecurity

Abstract

Η παρούσα πτυχιακή εργασία αφορά τις νομικές προεκτάσεις της τεχνητής νοημοσύνης (ΤΝ) στον χώρο της κυβερνοασφάλειας, εξετάζοντας τη διττή της χρήση, τόσο ως μέσο επίθεσης όσο και μέσο προστασίας. Στα πλαίσια της εργασίας αναλύεται η αξιοποίηση τεχνολογιών ΤΝ από κακόβουλους φορείς για επιθέσεις phishing, δημιουργία deepfakes, διαρροή πληροφοριών και ανάπτυξη πολυμορφικού κακόβουλου λογισμικού. Παράλληλα, εξετάζονται οι αμυντικές εφαρμογές, όπως το Cyber Threat Intelligence, η ανίχνευση απειλών, η ανάλυση συμπεριφοράς, τα Συστήματα Ανίχνευσης/Πρόληψης Εισβολών (IDS/IPS) και η ανίχνευση phishing. Σκοπός της μελέτης είναι η συγκριτική νομική ανάλυση των ρυθμιστικών πλαισίων της Ευρωπαϊκής Ένωσης, των Ηνωμένων Πολιτειών και της Κίνας, ερευνώντας τα πλεονεκτήματα και τους περιορισμούς της προσέγγισης κάθε δικαιοδοσίας. Τα βασικά κείμενα στα οποία επικεντρώνεται η μελέτη είναι το AI Act, ο GDPR, η Οδηγία NIS2 και το Cyber Resilience Act στην Ε.Ε., το AI Bill of Rights, Executive Orders και Cyber Information Sharing Act στις Η.Π.Α., καθώς και οι Deep Synthesis και Generative AI Provisions και ο Νόμος της Κυβερνοασφάλειας στην Κίνα. Επιπλέον, η μελέτη εξετάζει τις νομικές επιπτώσεις μέσα από υποθετικά σενάρια, διερευνώντας την διαφοροποίηση της εφαρμογής του δικαίου ανάλογα με το εκάστοτε νομικό σύστημα. Η ανάλυση αυτή πλαισιώνεται από προτάσεις που στοχεύουν στην ενίσχυση της νομικής σαφήνειας και στην προώθηση της υπεύθυνης χρήσης της τεχνητής νοημοσύνης στον κυβερνοχώρο. Με αυτόν τον τρόπο, η εργασία επιδιώκει να συμβάλει ουσιαστικά στον σύγχρονο διάλογο γύρω από την τεχνητή νοημοσύνη και το δίκαιο του κυβερνοχώρου, αναδεικνύοντας την ανάγκη για ισχυρά και ευέλικτα νομικά πλαίσια που συμβαδίζουν με τις ταχείς τεχνολογικές εξελίξεις.

This thesis explores the legal implications of artificial intelligence (AI) in cybersecurity, analysing its dual role as both an offensive and defensive tool. It examines how AI-powered technologies are leveraged by malicious actors for phishing, deepfakes, information leaks, and polymorphic malware, while also investigating defensive applications, including Cyber Threat Intelligence (CTI), threat detection, behavioral analysis, Intrusion Detection and Prevention Systems (IDS/IPS), and phishing detection. The study conducts a comparative legal analysis of regulatory frameworks in the European Union, the United States, and China, focusing on key instruments such as the EU AI Act, GDPR, NIS2, and Cyber Resilience Act; the U.S. AI Bill of Rights, Executive Orders, and Cyber Information Sharing Act; and China’s Deep Synthesis Provisions, Generative AI Provisions, and Cybersecurity Law. Building on these frameworks, the thesis identifies core legal principles, such as transparency, accountability, proportionality, and scalability, and assesses their relevance to AI-driven cybersecurity practices, as well as the key strengths and limitations in each jurisdiction's approach. Further, it undertakes an evaluative analysis of the legal ramifications of hypothetical jurisdictional scenarios related to artificial intelligence, posing sup-positional questions and exploring the question of how the application of law may vary depending on the legal system in which such scenarios occur. The study concludes with a set of recommendations aimed at improving legal clarity and promoting responsible AI use in cybersecurity. Finally, it aims to contribute to the evolving discourse on AI and cyber law by emphasizing the urgent need for robust legal frameworks that can keep pace with technological advancement.