L’intelligenza artificiale s’ha da fare, nonostante tutto. Nonostante, cioè, le incertezze sulle regole da rispettare e le preoccupazioni di cybersicurezza aggiuntive rispetto a quelle che già normalmente affliggono le aziende. Spesso i manager d’azienda si sentono quasi costretti ad approvare progetti che riguardano l’AI, considerando le molte pressioni all’adozione che arrivano dai vendor, dagli studi di consulenza e dalle ricerche sul tema. A dirlo è “Securing the AI-Powered Enterprise”, studio condotto da Sapio Research per TrendAI, la nuova divisione di Trend Micro, su un ampio campione: sono stati coinvolti 3.700 responsabili IT e manager line of business di aziende da oltre 250 dipendenti, tra cui un centinaio di italiane.
Tra gli
intervistati italiani, il
60% ha detto di
si è sentito costretto ad approvare progetti di intelligenza artificiale, nonostante le preoccupazioni legate alla sicurezza. Ci sono pressioni legate al business che pesano, spesso, più delle remore legate a rischi di sicurezza e conformità. Molte aziende stanno adottando l’AI più rapidamente di quanto non riescano a gestire gli associati rischi, e moltissime non hanno definito delle policy di utilizzo.
Le lacune di governance e i rischi cyber
Quando nell’adottare una tecnologia nuova si cede alla pressione, sottoliena TrendAI, è facile che si creino lacune o incertezze nella governance e responsabilità poco chiare nella gestione dei rischi. Si creano anche le premesse ideali per la proliferazione della shadow AI, cioè dell’utilizzo “spontaneo” e non controllato di servizi e applicazioni di intelligenza artificiale, non espressamente previsti dall’IT aziendale.
Il 57% degli intervistati italiani crede che l’intelligenza artificiale stia superando le capacità di difesa, mentre il 23% ammette di essere poco sicuro (“moderatamente”) di saper comprendere il quadri giuridici che regolamentano l’intelligenza artificiale. Ma è sulla governance, soprattutto, che emergono aree scoperte e una scarsa maturità: solo il 20% delle aziende ha definito o sta definendo delle policy complete sull’AI. Il 41% ha citato come ostacolo la regolamentazione o standard di conformità poco chiari.
"Le organizzazioni sono consapevoli dei rischi, ma non dispongono degli strumenti per gestirli”, ha commentato Salvatore Marcis, country manager di TrendAI. “La maggior parte delle implementazioni risponde a esigenze di competitività, non a ragionamenti legati alla governance, e l’AI viene incorporata in sistemi critici senza i controlli necessari per una corretta gestione. Il nostro obiettivo è aiutare le organizzazioni a ottenere solidi risultati di business, continuando a gestire il rischio legato all’AI”.
(Immagine: TrendAI)
Agenti AI senza una strategia condivisa
Per quanto riguarda i sistemi autonomi più avanzati, come gli agenti AI, nelle aziende non c’è ancora piena fiducia in queste tecnologie e permangono preoccupazioni legate all’accesso ai dati, a possibili utilizzi impropri e alla mancanza di supervisione.
In particolare, per il 39% degli intervistati italiani il maggiore rischio è l’eventualità che gli agenti AI accedano a dati sensibili. Per il 25% i prompt dannosi potrebbero compromettere la sicurezza, mentre il 26% indica come criticità l’allargamento della superficie di attacco, il 28% teme l’abuso dello status di AI affidabile e rischi legati all’implementazione autonoma del codice. C’è anche, nel 28% delle aziende, un problema di mancata osservabilità e capacità di verificare i sistemi.
Quali potrebbero essere efficaci contromisure? Una possibile strategia, pur solamente reattiva, è quella di poter “spegnere” i sistemi in caso di guasto o uso improprio, ma tra i manager e responsabili IT italiani solo il 38% è favorevole a meccanismi di kill switch di questo tipo. Uno su tre non sa indicare contromisure alternative. Di fatto, sottolinea TrendAI, le aziende si stanno orientando verso l’intelligenza artificiale autonoma senza strategie condivise su come mantenere il controllo.
“L’intelligenza artificiale agentica introduce una nuova categoria di rischio”, ha sottolineato Marcis. “La nostra ricerca mostra che le organizzazioni sono preoccupate per l'esposizione dei dati sensibili e per la perdita di supervisione. Senza visibilità e controllo, le aziende implementano sistemi che non comprendono né possono governare pienamente, determinando un ulteriore aumento dei rischi”.