McKinsey in un recente articolo dal titolo:” L’intelligenza artificiale e la sua svolta rivoluzionaria, l’intelligenza artificiale generativa, sono caratterizzate da rapidi progressi e i legislatori sono sotto pressione per tenere il passo.”.[1] Esso afferma che <<Il rapido avanzamento dell’intelligenza artificiale generativa (gen AI) spinge gli enti regolatori di tutto il mondo a correre per comprendere, controllare e garantire la sicurezza della tecnologia, il tutto preservandone i potenziali benefici. In tutti i settori, l’adozione dell’IA gen ha presentato una nuova sfida per le funzioni di rischio e conformità: come bilanciare l’uso di questa nuova tecnologia in un quadro normativo in evoluzione e disomogeneo.>>.
McKinsey inoltre aggiunge: <<Mentre i governi e le autorità di regolamentazione cercano di definire come dovrebbe essere un tale ambiente di controllo, gli approcci in via di sviluppo sono frammentati e spesso disallineati, rendendo difficile la navigazione per le organizzazioni e causando una sostanziale incertezza.>>.
Se consideriamo, come giustamente sottolineato recentemente dal Presidente di AIPSA, Alessandro Maria Manfredini, che gli hacker incominciano a utilizzare l’Intelligenza Artificiale, per questa ragione occorrono “consapevolezza, lungimiranza e investimenti”.
Inoltre, ha ricordato che: “ il 90% delle PMI italiane non ha nemmeno un security manager al proprio interno”. E ove esiste un Security Manager o un CISO, molto spesso questi non hanno il peso nelle decisioni aziendali che dovrebbero avere.
Non ultimo, aggiungo io, poche sono le aziende che hanno definito il proprio “risk appetite” e “risk tolerance”, indicatori indispensabili per definire i valori richiesti dalla business continuity, quali l’RTO e MTPD.
Nel frattempo, il mercato si muove; aumentano continuamente le nuove applicazioni AI e sempre più sono quelli che si affidano ad esempio a ChatGPT per articoli, memo, testi di email, manuali di procedure, e, aggiungerei, per ipotizzare strategie di sicurezza (sperando non si tratti di infrastrutture critiche!). Questi utilizzatori si sono chiesti su quale base cognitiva si basa ChatGPT? Quali disposizioni legislative? Quali riferimenti tecnici?
Ricordiamo che FORTUNE[2] ha inviato tempo fa questo messaggio: <<you have to check everything that ChatGPT tells you>>! E non a caso ha ribadito una chiara indicazione : << Chatbot users should not share private information with software, expert warns[3]>>.
Oltre a queste incertezze, non trascuriamo che le minacce aumentano in numero e “qualità”.
Gli hacker imparano e mettono in pratica strumenti come la già citata clonazione della voce e dell’immagine.
Secondo McKinsey la nuova legislazione dovrebbe almeno assicurare che:
- Siano creati tassonomia ed inventario dei modelli, e registrare il loro utilizzo;
- Implementare una struttura di governance per AI e gen AI;
- Stabilire robusti principi e “guardrail” per lo sviluppo di AI e gen AI;
- Stabilire una robusta cybersecurity e tecnologia;
- Educare gli utenti e fornire chiare istruzioni d’uso.
A differenza di altre Nazioni (cfr. figura allegata), l’Unione Europea si è impegnata a far sì che l’uso dell’intelligenza artificiale nell’UE venga regolato dall’AI Act. Infatti, <<la priorità del Parlamento è garantire che i sistemi di intelligenza artificiale utilizzati nell’UE siano sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell’ambiente. I sistemi di intelligenza artificiale dovrebbero essere supervisionati dalle persone, piuttosto che dall’automazione, per prevenire esiti dannosi. Il Parlamento vuole inoltre stabilire una definizione uniforme e neutrale dal punto di vista tecnologico per l’intelligenza artificiale che potrebbe essere applicata ai futuri sistemi di intelligenza artificiale[4]>>.
Il 9 dicembre 2023 il Parlamento ha raggiunto un accordo provvisorio con il Consiglio sulla legge sull’AI. Il testo concordato dovrà ora essere adottato formalmente sia dal Parlamento che dal Consiglio per diventare legge dell’UE.
Ciò conferma la volontà dei Paesi UE ad avere una aggiornata, efficace e coerente legislazione per la protezione degli asset critici.
In Italia però 4 milioni di PMI, di cui molte appartengono alla filiera operativa di infrastrutture critiche o rilevanti, sono a rischio.
CW
[1] Il titolo originale dell’articolo è:<< As gen AI advances, regulators—and risk functions—rush to keep pace>>. Tutte le traduzioni sono a mia cura, prevalentemente utilizzando Google.
[2] Per consultare l’articolo cliccare qui
