Combattere l’AI con l’AI: sembra un paradosso, ma non lo è. L’intelligenza artificiale è un complesso insieme di tecnologie che possono essere sfruttate anche a fini malevoli e anche per sferrare cyberattacchi (per esempio, per smontare un algoritmo crittografico o nel social engineering). Ma allo stesso tempo l’AI da anni è entrata e sempre più fa parte delle soluzioni di cybersicurezza grazie alle sue capacità di automazione, di scoperta di pattern e di analisi comportamentale. Oggi lo scenario sta cambiando perché con l’avanzata dell’intelligenza artificiale generativa (GenAI) si aprono nuovi rischi legati alla privacy e alla protezione dei dati aziendali.
Una ricerca di Gartner, “Generative AI Security and Risk Management”, svela che su un campione di 150 responsabili IT e di cybersicurezza aziendali, interpellati nel mese di aprile scorso, il 34% ha già adottato o sta implementando strumenti di sicurezza potenziati dall’AI proprio per mitigare i rischi associati alla GenAI. Il campione include sole aziende che già utilizzano l’intelligenza artificiale generativa in una certa misura (applicazioni fatte e finite o modelli fondativi, come GPT-4).
Al 34% degli utenti attuali si aggiunge un 56% intervistati che ha detto di stare “esplorando” soluzioni di cybersicurezza basata su AI per una possibile adozione. Più in generale, le tecnologie di sicurezza informatica più usate (o in fase di implementazione) mirano a potenziare la privacy, il ModelOps e il monitoraggio dei modelli di intelligenza artificiale.
Quali sono i principali rischi della GenAI per le aziende, o almeno i rischi percepiti? Tra gli intervistati il 57% teme la fuoriuscita di dati riservati tramite codice software generato dall’AI, mentre il 58% è preoccupato dei pregiudizi o errori nelle risposte fornite dai chatbot.
L'importanza di avere una strategia
Per gestire i rischi dell'AI generativa, adottare isolatamente alcune tecnologie di cybersicurezza non è sufficiente. Gartner sottolinea la necessità, per le aziende, di definire una strategia di AI Trism (Trust, Security, Risk and Security Management), ovvero di gestione della sicurezza, affidabilità e rischi connessi alla GenAI. Attualmente, però, solo il 24% dei reponsabili IT e di cybersicurezza intervistati ha detto di avere la piena responsabilità della gestione dei rischi legati alla GenAI. Tuttavia la quasi totalità, il 93%, è coinvolta in questo almeno in una certa misura.
“I responsabili dell’IT e della gestione di cybersicurezza e rischi, oltre a implementare strumenti di sicurezza, devono pensare di supportare una strategia per l’AI Trism”, ha dichiarato Avivah Litan, distinguished VP analyst di Gartner. “L’AI Trism gestisce i flussi di dati e processi tra utenti e aziende che ospitano modelli fondativi di AI generativa, e per proteggere l’azienda dev’essere uno sforzo continuo, non un esercizio isolato”.
Una questione di responsabilità
Una questione resta pendente: a chi spetta la responsabilità della gestione e mitigazione dei rischi connessi alla GenAI? Il 93% dei rispondenti ha detto di essere più o meno coinvolto in questo, ma solo il 24% si assume la piena responsabilità dei rischi.
“Le aziende che non gestiscono i rischi dell’AI”, ha proseguito Titan, “vedranno i propri modelli non performare come dovrebbero e, nel caso peggiore, potrebbero causare danni a persone o cose. Questo porterà a fallimenti di cybersicurezza, contraccolpi finanziari e di reputazione e danni a persone per via di risultati non corretti, manipolati, non etici o pregiudizievoli. Le cattive performance dell’AI possono anche portare le aziende a prendere cattive decisioni di business”.