Quest’anno il tema di Change Up, l’annuale appuntamento che Archiva Group dedica alla sua business community, è stato l’intelligenza. Non solo quella artificiale, ma nell’accezione più ampia del termine, perché, come sostiene la stessa Archiva, l’intelligenza deve creare opportunità, conoscenza consapevolezza e generare valore per tutti. Solo in questo modo è possibile rendere a prova di futuro e spingere in avanti le tre importanti direttrici che governano il nostro presente, ovvero le imprese, la società e l’uomo.
Nell’evento, che si è svolto a Milano e ha visto la partecipazione di oltre 300 decisori aziendali, ci sono stati interventi di Paolo Mieli (giornalista ed ex direttore del Corriere della Sera e La stmpa), Domenico Impelliccieri (Head of FastCloud ICT & SAP Services di Fastweb), Carla Masperi (AD di SAP Italia), Giorgia Molajoni (Chief Technology and Communication Officer di Plenitude), Layla Pavone (Head of Innovation technology and digital transformation Board del Comune di Milano) Walter Riviera (AI Technical Leader EMEA di Intel Corporation) e Benedetto Santacroce (avvocato Tributarista).
Il titolo scelto L’intelligenza che muove l’impresa, la società e l’uomo voleva essere un invito all’azione in un mondo che accelera il cambiamento. In un mercato come quello attuale in continua e sempre più rapida evoluzione, cambiare marcia è un’azione indispensabile. Però, per cambiare, per capire la direzione da prendere e quali forze sono in gioco serve del tempo: scegliere la strategia sbagliata può essere estremamente deleterio. Abbiamo cercato di capire come muoversi, soprattutto nei confronti del tumultuoso e inevitabile avvento dell’intelligenza artificiale, parlando con un esperto sul tema, Luciano Quartarone, CISO, DPO & Data Protection Director di Archiva Group.
Oggi l’intelligenza artificiale sembra essere un prerequisito di qualsiasi apparecchiatura tecnologica. È davvero così?
È innegabile che oggi l’intelligenza artificiale sia al centro di molte discussioni, tanto che sembra obbligatorio parlarne per rimanere rilevanti. Però, non c’è una fonte unica e autoritativa che fornisca una definizione incontrovertibile.
Dal punto di vista funzionale, possiamo dire che l’intelligenza artificiale è la capacità di un sistema informatico di replicare comportamenti tipici dell’intelligenza umana, come acquisire conoscenze, combinarle e dedurre automaticamente cosa fare sulla base degli input ricevuti, adattandosi al contesto. Tuttavia, spesso si tende a etichettare come intelligenza artificiale ogni tecnologia avanzata, da un frigorifero smart a un’applicazione di gestione dati. Questa confusione è amplificata dalla promessa, sovente esagerata, di software miracolosi, che poi si scopre non essere così avanzati.
Questo genera un rischio per le aziende, che potrebbero investire in soluzioni etichettate come intelligenza artificiale, senza che queste lo siano realmente, esponendosi a rischi di tipo economico e operativo.
Però l’UE ha definito delle norme sul tema…
Da un punto di vista normativo, il vero focus del regolamento europeo sull’intelligenza artificiale, l’AI Act, non è l’azienda, ma la persona. L’obiettivo del regolamento è promuovere un’intelligenza artificiale in cui il benessere delle persone è centrale. Questo approccio è in linea con altri regolamenti europei, come il GDPR, che mira alla protezione delle persone fisiche attraverso la gestione corretta dei dati personali, piuttosto che alla protezione del business.
Analogamente, l’uso improprio dell’intelligenza artificiale può portare a violazioni dei diritti fondamentali. Il GDPR è nato anche a seguito di abusi storici legati alla gestione dei dati personali, come le discriminazioni etniche o regionali. L’intelligenza artificiale, oggi, potrebbe replicare queste dinamiche se non gestita correttamente.
Oggi poniamo una fiducia eccessiva nei sistemi che usano l’intelligenza artificiale, convinti che possano risolvere numerosi problemi perché ritenuti intelligenti. In realtà, sono limitati: un addestramento basato su dati compromessi o di bassa qualità può produrre risultati completamente errati.
Alla base di tutto, l’intelligenza artificiale rimane un software e come tale è soggetto a errori, che possono derivare sia da bug computazionali sia da errori di progettazione. Per esempio, un sistema potrebbe essere vulnerabile se le istruzioni in input vengono manipolate per ottenere comportamenti imprevisti. Questo tipo di vulnerabilità non dipende dal modello matematico sottostante, ma dall’implementazione del processo.
Si può rendere sicura l’intelligenza artificiale?
Quando si parla di sicurezza nell’IA, spesso si cade nell’errore di aggiungere livelli tecnologici sempre più complessi, senza però affrontare realmente il problema. Non si tratta solo di investire in nuove tecnologie, ma di comprendere come la soluzione funziona e dove potrebbe essere migliorata. Se vogliamo migliorare la sicurezza dei sistemi di IA, non dobbiamo solo agire a valle, sul prodotto finale, ma anche risalire al processo produttivo e intervenire direttamente sulle fasi di progettazione e sviluppo del software.
Il tema dell’errore nei sistemi software, incluso quelli basati sull’intelligenza artificiale, richiede una gestione dei rischi non solo a livello tecnologico, ma anche di processo. Sebbene l’intelligenza artificiale possa ancora contenere errori marginali, può essere impiegata anche per scopi non leciti, come per esempio sfruttare vulnerabilità informatiche, senza che ciò sia formalmente vietato dal regolamento. Il sistema di AI, infatti, non distingue l’etica delle azioni, ponendo la questione della sicurezza in una prospettiva di processo piuttosto che meramente tecnologica.
La sicurezza informatica non si esaurisce nell’acquisto o nell’implementazione di nuove tecnologie. Bisogna considerare l’intero ecosistema aziendale, dalla gestione dei flussi informativi alla mappatura dei dati distribuiti tra infrastrutture locali e cloud esterne. Senza una visione complessiva dei dati e dei processi aziendali, diventa impossibile garantire una protezione adeguata. La gestione del rischio va affrontata con approcci metodologici complessi che integrano analisi di rischio a livello imprenditoriale, informatico e normativo.
Come si gestisce il rischio aziendale oggi?
L’analisi dei rischi legati all’AI non può basarsi su metodologie isolate per ogni contesto normativo. Un’azienda potrebbe avere molteplici analisi di rischio per la qualità del servizio, per la sicurezza delle informazioni, per la conformità al GDPR o per l’ambiente. Integrare questi risultati è cruciale, altrimenti si potrebbe avere una frammentazione che rende inefficace la gestione complessiva del rischio. Serve, dunque, una metodologia di Enterprise Risk Management che possa dialogare tra i vari settori aziendali, traducendo i rischi tecnici in termini comprensibili per l’imprenditore.
La gestione del rischio aziendale richiede anzitutto la comprensione che il rischio con percentuale zero non esiste. Ogni impresa deve accettare un certo livello di rischio, modulando la propria risposta in funzione della probabilità che si verifichi un evento e dell’impatto che tale evento potrebbe avere. La mitigazione del rischio si concentra non solo sulla riduzione della probabilità dell’evento, ma soprattutto sul contenimento dei suoi effetti. Eventi esterni, come pandemie o disastri naturali, possono verificarsi con conseguenze gravi per le aziende, e raramente sono previsti nelle analisi di rischio standard. Tuttavia, possono essere prese decisioni interne che riducono l’esposizione a tali rischi, per esempio evitando di costruire infrastrutture in zone ad alto rischio ambientale.
Questa distinzione tra fattori interni ed esterni rappresenta un cambio di paradigma nella gestione del rischio. La norma ISO/IEC 27001, nella sua versione più recente del 2022, prevede che le aziende stabiliscano livelli accettabili di erogazione dei servizi in condizioni di sicurezza, accettando che durante un evento critico il livello di operatività possa essere inferiore allo standard abituale, purché sia comunque accettabile per l’azienda. La logica non è più basata sul “se” l’evento si verifica, ma sul “quando”, con un approccio che presuppone inevitabilità e richiede una preparazione adeguata.
In questo contesto, che ruolo hanno le normative come NIS 2 o DORA?
La normativa NIS 2 rappresenta un’estensione dell’ambito di applicazione alle aziende, con l’obiettivo di rafforzare la resilienza a livello di Stati membri dell’UE, richiedendo misure di sicurezza obbligatorie e valutazioni del rischio più dettagliate.
Per quanto riguarda la normativa DORA, pur essendo indirizzata al settore finanziario, è orientata alla tutela delle persone fisiche come utilizzatori finali dei servizi finanziari.
Si osserva, però, che relativamente alle normative, le aziende tendono a reagire solo quando sono obbligate a conformarsi, piuttosto che in maniera proattiva, il che riflette una certa inerzia culturale, soprattutto in contesti come quello italiano.
Come può contribuire la formazione all’uso efficace e sicuro dell’intelligenza artificiale?
Nonostante sia evidente che l’AI stia già avendo un impatto significativo, mancano ancora profili professionali ben definiti nel campo, il che rende difficile preparare adeguatamente il personale. La formazione deve mirare a garantire che chi utilizza l’AI sia pienamente consapevole delle implicazioni e dei rischi associati all’uso di dati non corretti o inappropriati. Alimentare un sistema AI con dati di bassa qualità o in modo irresponsabile può avere conseguenze gravi.
La distinzione tra consapevolezza (awareness) e competenza è fondamentale. La consapevolezza mira a modificare abitudini sbagliate, mentre la formazione trasferisce competenze tecniche. Per esempio, non è necessario che l’utente finale conosca in dettaglio il funzionamento tecnico dell’AI o dell’infrastruttura digitale, ma deve essere consapevole di ciò che può fare in sicurezza e di ciò che dovrebbe evitare.
Infine, è cruciale che le aziende abbiano una chiara mappatura dei flussi informativi interni, spesso definita come cartografia del dato. Questa conoscenza, assieme alla consapevolezza, è indispensabile per proteggere in modo efficace le informazioni aziendali, poiché senza una comprensione dettagliata di dove risiedono i dati e di come fluiscono all’interno dell’organizzazione, risulta impossibile adottare misure di protezione adeguate.