AI e conformità: Quali sono i rischi?
La rapida crescita dell’intelligenza artificiale (AI), in particolare dell’AI generativa (GenAI) e dei chatbot, offre alle aziende una vasta gamma di opportunità per migliorare il modo in cui lavorano con i clienti, aumentare l’efficienza e velocizzare compiti laboriosi.
Tuttavia, la GenAI ha portato anche a diversi problemi, che spaziano da vulnerabilità di sicurezza e preoccupazioni per la privacy a domande su pregiudizi, accuratezza e persino allucinazioni, dove la risposta dell’AI è completamente falsa.
Questo ha attirato l’attenzione dei legislatori e dei regolatori. Nel frattempo, le funzioni interne di conformità delle aziende si sono trovate a rincorrere una tecnologia complessa e in rapida evoluzione.
Rischi per la conformità legale e normativa
In questo articolo, esamineremo l’AI e i potenziali rischi che pone per la conformità agli ambienti legali e normativi. Ciò significa che i team di conformità delle organizzazioni devono esaminare attentamente il loro utilizzo della GenAI per individuare punti deboli e vulnerabilità, e comprendere quanto siano affidabili i dati di origine e di output.
I progetti di AI più comuni nelle aziende coinvolgono principalmente la GenAI o i modelli di linguaggio di grandi dimensioni (LLM). Questi vengono utilizzati come chatbot, per rispondere a domande o fornire raccomandazioni sui prodotti ai clienti. La ricerca, il riepilogo o la traduzione di documenti sono altri casi d’uso popolari.
Tuttavia, l’AI è utilizzata anche in aree come la rilevazione delle frodi, la sorveglianza e l’imaging medico; tutte aree in cui le scommesse sono molto più alte. Ciò ha sollevato domande su come o se l’AI debba essere utilizzata.
Le organizzazioni hanno scoperto che i sistemi di AI possono produrre errori e risultati inaccurati o fuorvianti.
Dati riservati
Gli strumenti di AI hanno anche trasmesso dati riservati, direttamente o perché i dipendenti hanno caricato documenti riservati su uno strumento di AI.
Esiste poi il problema del pregiudizio. Gli ultimi algoritmi di AI, specialmente nei LLM, sono altamente complessi. Questo rende difficile comprendere esattamente come un sistema di AI sia giunto alle sue conclusioni. Per un’impresa, questo rende difficile spiegare o giustificare ciò che uno strumento di AI, come un chatbot, ha fatto.
Ciò crea una serie di rischi, specialmente per le aziende nei settori regolamentati e nel settore pubblico. I regolatori aggiornano rapidamente i quadri di conformità esistenti per coprire i rischi dell’AI, oltre a legislazioni come l’AI Act dell’Unione Europea.
La ricerca dell’analista di settore Forrester identifica oltre 20 nuove minacce derivanti dalla GenAI, alcune delle quali riguardano la sicurezza. Queste includono la mancanza di utilizzo di codice sicuro per costruire sistemi di AI, o attori malevoli che manomettano i modelli di AI. Altre, come la perdita di dati, la manipolazione dei dati e la mancanza di integrità dei dati, rischiano di causare fallimenti normativi anche quando un modello è sicuro.
La situazione è aggravata dalla crescita della shadow AI, dove i dipendenti utilizzano strumenti di AI in modo non ufficiale. “Le implementazioni più comuni sono probabilmente quelle di cui le aziende non sono nemmeno a conoscenza”, avverte un esperto di sicurezza e conformità.
Ciò richiede ai direttori informatici (CIO) e ai direttori dei dati di esaminare tutti i modi in cui l’AI potrebbe essere utilizzata nell’azienda e di mettere in atto misure di controllo.
Problemi dei dati di origine dell’AI
Il primo aspetto che le aziende devono controllare è come utilizzano i dati con l’AI. Questo si applica sia alla formazione del modello che alla fase di inferenza o produzione dell’AI.
Le aziende dovrebbero verificare di avere i diritti per utilizzare i dati a fini di AI. Questo include il diritto d’autore, specialmente per i dati di terzi. Le informazioni personali identificabili utilizzate per l’AI sono coperte dal Regolamento generale sulla protezione dei dati (GDPR) e dalle normative di settore. Le organizzazioni non devono presumere che il consenso al trattamento dei dati esistente copra le applicazioni di AI.
Poi c’è la questione della qualità dei dati. Se un’organizzazione utilizza dati di scarsa qualità per addestrare un modello, i risultati saranno imprecisi o fuorvianti.
Questo, a sua volta, crea un rischio di conformità – e questi rischi potrebbero non essere rimossi, anche se un’organizzazione utilizza dati anonimizzati.
“I dati di origine rimangono una delle aree di rischio più trascurate nell’AI aziendale”, avverte un esperto del settore. “Queste pratiche sono inadeguate secondo il GDPR del Regno Unito e le leggi sulla privacy dell’UE”. C’è anche una falsa sensazione di sicurezza nell’anonimizzazione. Molti di questi dati possono essere ri-identificati o presentare pregiudizi sistemici.
I dati pubblici utilizzati nei modelli di linguaggio di grandi dimensioni forniti da grandi aziende tecnologiche spesso non soddisfano gli standard di privacy europei. Affinché l’AI sia veramente affidabile, le organizzazioni devono curare e controllare attentamente i set di dati che utilizzano, specialmente quando i modelli possono influenzare decisioni che riguardano individui o risultati regolamentati.
Un ulteriore livello di complessità deriva dal luogo in cui operano i modelli di AI. Sebbene l’interesse per l’AI on-premise stia crescendo, i LLM più comuni sono basati su cloud. Le aziende devono verificare di avere il permesso di spostare i dati dove i loro fornitori di cloud li memorizzano.
Output dell’AI e conformità
Un ulteriore insieme di questioni di conformità e normative si applica agli output dei modelli di AI.
Il rischio più ovvio è che i risultati riservati dell’AI vengano leakati o rubati. E, man mano che le aziende collegano i loro sistemi di AI a documenti interni o fonti di dati, quel rischio aumenta.
Ci sono stati casi in cui gli utenti di AI hanno esposto informazioni riservate, sia in modo malevolo che involontario, attraverso i loro comandi. Una causa è stata l’uso di dati confidenziali per addestrare modelli senza le dovute misure di sicurezza.
Poi c’è il rischio che l’output del modello di AI sia semplicemente errato.
“Gli output dell’AI possono apparire sicuri, ma essere completamente falsi, pregiudiziali o persino violatori della privacy“, avverte un esperto del settore. “Le aziende spesso sottovalutano quanto possa essere dannoso un risultato errato, da assunzioni discriminatorie a consulenze legali o finanziarie errate. Senza una rigorosa validazione e supervisione umana, questi rischi diventano passività operative.”
Il rischio aumenta ulteriormente con i sistemi di AI “agenti”, in cui più modelli lavorano insieme per eseguire un processo aziendale. Se l’output di un modello è errato o pregiudiziale, quell’errore sarà amplificato man mano che si sposta da un agente all’altro.
Le conseguenze normative potrebbero essere gravi, poiché un output errato potrebbe portare a numerosi clienti rifiutati per un prestito o negati a un colloquio di lavoro.
“Il problema più ovvio con gli output dell’AI è che generano linguaggio, non informazioni”, afferma un esperto. “Nonostante il modo in cui vengono presentati, i LLM non analizzano, non hanno alcuna comprensione, né ponderazioni per fatti rispetto a finzione, eccetto quelle incorporate in essi durante l’addestramento.”
“Hallucinate in modo sconsiderato e, peggio, lo fanno in modi molto convincenti, poiché sono bravi con il linguaggio”, aggiunge. “Non possono mai essere fidati senza un’attenta verifica dei fatti – e non da un altro LLM.”
Le aziende possono, e lo fanno, utilizzare l’AI in modo conforme, ma i CIO e i direttori digitali devono prestare particolare attenzione ai rischi di conformità nella formazione, nell’inferenza e nell’uso dei risultati dell’AI.
