Possiamo rafforzare la cybersecurity nell’Unione europea, integrando misure di sicurezza avanzate e promuovendo un approccio proattivo alla gestione dei rischi. Le istituzioni europee hanno l’occasione di creare un ambiente digitale sicuro e resiliente, capace di sfruttare appieno il potenziale dell'intelligenza artificiale.
L’AI Act dell’Unione Europea sull’intelligenza artificiale definisce un quadro giuridico per la regolamentazione dell’intelligenza artificiale nell’UE, con l’obiettivo di promuovere lo sviluppo e l’utilizzo di sistemi di intelligenza artificiale sicuri, affidabili e rispettosi dei diritti umani.
Il regolamento sull’AI è stato concepito per proteggere le persone dai rischi associati all’intelligenza artificiale e per salvaguardare i diritti fondamentali degli individui. Rischi per la sicurezza informatica, discriminazione, violazione della privacy o gravi danni fisici o psicologici, sono solo alcuni dei potenziali effetti di una IA non regolamentata. È quindi cruciale promuove lo sviluppo di un’intelligenza artificiale affidabile e che soddisfi requisiti robusti, sicuri e soprattutto trasparenti.
Va inoltre sottolineato che l’IA Act è un regolamento che deve evolvere nel tempo al passo con la tecnologia cui riferisce favorendone una innovazione responsabile. Gli enti regolatori devono incoraggiare le imprese a sviluppare sistemi di intelligenza artificiale che aiutino la società e che rispettino i valori etici. Per far ciò un requisito imprescindibile è la trasparenza, necessaria per aumentare la fiducia dei cittadini in questa tecnologia e per consentirne l’impiego nei più svariati settori.Tra i punti chiave dell’AI Act vi sono la classificazione dei sistemi IA in base al livello di rischio, a ciascuno dei quali sono associati degli obblighi specifici, e l’istituzione di requisiti di trasparenza per le applicazioni IA che interagiscono con gli utenti.
Nuovi attacchi
L’intelligenza artificiale sta trasformando profondamente la nostra società, trovando applicazione in settori diversi come l’automazione industriale, la medicina e la finanza. Si ritiene che l’IA contribuirà significativamente allo sviluppo di nuove tecnologie, modificando il nostro modo di vivere e lavorare. Considerata la rapida diffusione di questa tecnologia, è lecito chiedersi se i sistemi basati sull’intelligenza artificiale siano immuni agli attacchi informatici. L’adozione di soluzioni basate sull’IA nei sistemi critici pone nuove sfide per la cybersecurity. Attacchi informatici sempre più sofisticati possono sfruttare vulnerabilità specifiche dei modelli alla base delle soluzioni IA oppure “avvelenare” i dati di addestramento interferendo con il comportamento del sistema. Gli attacchi ai modelli di IA manipolano i dati di addestramento o i parametri del modello per interferire con il suo comportamento. Un attaccante potrebbe alterare i dataset di addestramento per far sì che un modello non riconosca correttamente gli attacchi informatici. I modelli possono essere attaccati anche in fase di esercizio, con dati studiati per influenzarne il comportamento. Altre tecniche includono gli attacchi di inferenza, che cercano di ottenere informazioni sensibili dal modello tramite interrogazioni ad hoc, e l’avvelenamento del modello, che modifica i pesi del modello durante l’addestramento. Inoltre, la crescente connettività e l’interdipendenza dei sistemi amplificano i rischi associati agli attacchi informatici.
In un contesto in così rapida evoluzione, una delle strategie più efficaci è l’adozione di un approccio di sicurezza by design e by default. Misure di sicurezza efficaci devono essere progettare fin dalle prime fasi di sviluppo dei sistemi IA, assicurando che i modelli siano resilienti a tentativi di manipolazione e che i dati utilizzati per l’addestramento siano accuratamente protetti contro l’avvelenamento. La sicurezza by design dovrebbe anche garantire la privacy dei dati, utilizzando tecniche come l’anonimizzazione e la pseudo-anonimizzazione.
Rischi sotto i riflettori
L’IA Act obbliga alla valutazione continua dei rischi associati ai sistemi IA ad alto rischio. Per far ciò è necessario monitorare costantemente le prestazioni dei sistemi IA e operare continue verifiche per identificare potenziali vulnerabilità emergenti. È buona norma condurre attività di testing avanzate e specifiche per l’IA, inoltre si raccomanda lo sviluppo e l’adozione di strumenti di monitoraggio ad hoc.
L’adozione di tecnologie avanzate di cybersecurity, che beneficiano dell’intelligenza artificiale per la rilevazione delle intrusioni, può migliorare significativamente la protezione dei sistemi. La rapida adozione di soluzioni basate su IA nella cybersecurity sta già consentendo di innalzare il livello di sicurezza complessivo dei nostri sistemi. Queste soluzioni consentono di identificare comportamenti anomali e rispondere in modo proattivo agli attacchi, purtroppo le medesime tecnologie sono in diponibilità anche degli attaccanti che ne stanno incrementando l’utilizzo.
- Una strategia di cybersecurity deve contemplare gli aspetti tecnologici così come quelli umani.
- Le organizzazioni devono investire nella formazione continua del personale, sensibilizzandolo sui rischi specifici legati all’IA e sulle migliori pratiche di cybersecurity.
- Creare una cultura della sicurezza informatica, in cui ogni membro del team sia consapevole delle minacce e delle misure di protezione, è importante per mitigare i rischi.
- Un altro aspetto cruciale di una strategia di cybersecurity, specificatamente all’adozione dell’IA in Europa, è la collaborazione tra il settore pubblico e quello privato.
Il ruolo dell’ENISA
Una collaborazione attiva è essenziale per affrontare le minacce informatiche in modo tempestivo ed efficace. L’UE dovrebbe promuovere partenariati e scambi di informazioni tra governi, aziende e istituzioni di ricerca, creando una rete di intelligence collettiva che possa rispondere rapidamente alle minacce emergenti.
Questo compito è assegnato all’agenzia europea per la cyber sicurezza, l’ENISA, che ha avviato numerose iniziative per consolidare questa collaborazione. L’agenzia si occupa infatti di condividere best practice e di coordinare esercitazioni di cybersecurity che hanno come obiettivo l’innalzamento della resilienza complessiva delle infrastrutture europee.
L’armonizzazione delle normative e l’adozione di standard comuni di sicurezza informatica facilitano una difesa coordinata contro gli attacchi. L’IA Act dovrebbe essere integrato con normative esistenti, come GDPR e Direttiva NIS2, per un quadro normativo coerente e completo. È necessario aggiornare regolarmente gli standard di sicurezza per seguire le evoluzioni tecnologiche ed adeguarsi alle minacce emergenti.
L’IA Act può consentire di rafforzare la cybersecurity in Europa, integrando misure di sicurezza avanzate e promuovendo un approccio proattivo alla gestione dei rischi. Le istituzioni europee possono e devono creare un ambiente digitale sicuro e resiliente, capace di sfruttare appieno il potenziale dell’intelligenza artificiale. L’intelligenza artificiale è un’opportunità che dobbiamo sfruttare per migliorare le nostre vite, garantendo al contempo la privacy e la sicurezza dei cittadini.
