Le aziende adottano sempre più l’IA in grado di analizzare enormi quantità di dati personali e sensibili. Ciò implica dare priorità a misure di sicurezza solide e pratiche etiche per salvaguardare i vari stakeholder e mantenere la fiducia, considerando che la protezione dei dati non è solo un obbligo legale, ma una componente essenziale per un’adozione responsabile dell’IA.

La sicurezza dei dati perché è importante

Le organizzazioni che sfruttano strumenti di IA, in particolare l’IA Generativa (IAGen) basata su modelli linguistici di grandi dimensioni (Large Language Models – LLM) o estesi set di dati interni, devono essere consapevoli che una violazione dei dati potrebbe esporre informazioni riservate dei clienti, comportando una responsabilità significativa.

Inoltre, dipendenti o clienti potrebbero inavvertitamente immettere dati aziendali riservati o altre informazioni private in questi strumenti di IAGen. Ne consegue che, senza solide misure di sicurezza, questi dati potrebbero essere esposti, esponendo l’azienda al rischio di ripercussioni legali e danneggiandone la reputazione.

È doveroso sottolineare che i modelli di IA si basano su grandi quantità di dati per apprendere, adattarsi e migliorare. Senza dati sicuri e di alta qualità, i sistemi di IA non possono funzionare in modo efficace, portando a una crescita stentata e a potenziali fallimenti. Inoltre, l’IA può migliorare la gestione dei dati, fornendo approfondimenti ed efficienze che in precedenza erano irraggiungibili.

Comprendere i rischi dei dati: violazioni, uso improprio e sfide di gestione

I sistemi di AI, sebbene alimentino l’innovazione, comportano anche dei rischi per la protezione dei dati. E precisamente:

• Elaborazione massiva dei dati – I sistemi di IA necessitano di grandi quantità di dati personali per funzionare. Esiste il rischio che i dati sensibili vengano elaborati senza una base giuridica sufficiente o trasmessi senza autorizzazione.
• Decisioni non trasparenti – Molti sistemi di IA operano come cosiddette “scatole nere” i cui processi decisionali sono difficili da comprendere, persino per gli esperti. Ciò rende difficile per gli interessati esercitare i propri diritti alla trasparenza e all’informazione ai sensi del GDPR.
• Discriminazione e pregiudizio – Uno dei maggiori pericoli dell’IA è il pregiudizio algoritmico. I pregiudizi e le disuguaglianze presenti nei dati di base possono indurre i sistemi di IA a compiere scelte discriminatorie, come nel caso delle procedure di richiesta o dell’approvazione dei prestiti.
• Violazioni dei dati – Gli attacchi informatici che prendono di mira i sistemi di IA possono esporre informazioni sensibili dei clienti, causando perdite finanziarie, danni alla reputazione e conseguenze legali.
• Uso improprio dei dati – La capacità dell’IA di elaborare grandi quantità di dati personali solleva preoccupazioni su come tali dati vengono utilizzati. Senza controlli adeguati, le organizzazioni potrebbero utilizzare in modo improprio i dati in modo involontario, violando la fiducia e la privacy dei clienti.
• Sfide nella gestione dei dati – L’archiviazione, l’elaborazione e l’analisi dei dati su larga scala presentano sfide logistiche. Pratiche di gestione dei dati incoerenti possono portare all’immissione di dati incompleti, obsoleti o inaccurati nei modelli di intelligenza artificiale, compromettendo il processo decisionale e la protezione della privacy.

Principali strategie di protezione e di sicurezza dei dati nell’era dell’IA

Secondo un rapporto di ISACA (Information Systems Audit and Control Association) intitolato “ISACA Survey: Generative AI Training, Formal Policies in Short Supply for Most Organizations,” solo il 10% delle organizzazioni globali dispone di una politica formale e completamente sviluppata sulla IA. Di seguito un dettaglio delle principali strategie da adottare.

• Adottare i principi di privacy-by-design nello sviluppo dell’IA – È essenziale integrare le considerazioni sulla privacy nell’intero ciclo di vita dei sistemi di IA. Incorporando i principi di privacy-by-design fin dalle fasi iniziali dello sviluppo, le organizzazioni possono creare controlli e misure di sicurezza sulla privacy direttamente nelle loro soluzioni di IA. Questo approccio riduce al minimo il rischio di violazioni della privacy e aiuta a garantire che i sistemi di IA siano rispettosi della privacy per progettazione.
• Stabilire linee guida per un utilizzo etico e responsabile dell’IA – È essenziale stabilire linee guida complete per l’uso etico e responsabile dell’IA. Tali linee guida dovrebbero affrontare non solo i rischi per la sicurezza dei dati, ma anche altri potenziali rischi durante tutto il ciclo di vita dell’IA. Di fatto, le organizzazioni, definendo standard chiari, possono garantire che le loro iniziative di IA siano in linea con i principi di implementazione etici dell’IA e i requisiti normativi in conformità al GDPR, il DATA Act, l’AI ACT, e altri.
• Evitare di utilizzare dati personali – Uno dei modi più efficaci per salvaguardare i dati nell’IA generativa è evitare del tutto di utilizzare dati riservati, sia all’interno dei dati di training LLM sia come input negli strumenti di IAGen. Di fatto, eliminando i dati riservati dai set di dati di training e di input, le organizzazioni possono ridurre significativamente il rischio di violazioni dei dati e violazioni della privacy. Pertanto, le organizzazioni dovrebbero garantire: l’anonimizzazione dei dati; l’utilizzo dei dati sintetici che imitano i dati reali senza contenere dati personali; la minimizzazione dei dati: raccogliere e utilizzare solo i dati necessari per l’applicazione AI specifica.
• Implementare il mascheramento dei dati e la pseudonimizzazione – Il mascheramento dei dati e la pseudonimizzazione sono tecniche efficaci per proteggere le informazioni sensibili. Tali metodi implicano l’offuscamento dei dati, contribuendo a prevenire accessi non autorizzati, pur mantenendo la loro utilità per le applicazioni di IA.

Il mascheramento dei dati consiste nel proteggere le informazioni riservate attraverso diverse modifiche, come la sostituzione di nomi reali con identificatori generici (ad esempio, “Cliente 123”), il mescolamento dei dati, che implica il riordino delle informazioni all’interno di un set per oscurare i valori originali, e l’aggiunta di dati fittizi, che include la modifica casuale di date o altre informazioni sensibili.

La pseudonimizzazione, invece, è una tecnica di protezione dei dati che sostituisce le informazioni identificabili in un set di dati con pseudonimi o identificatori artificiali. A differenza dell’anonimizzazione, che elimina tutte le informazioni identificative, la pseudonimizzazione permette di risalire all’identità originale dei dati, se necessario, utilizzando una chiave separata o un sistema di mappatura. Le tecniche di pseudonimizzazione consistono, ad esempio nel: sostituire gli identificatori personali con codici univoci per migliorare la privacy; convertire gli indirizzi email o altri identificatori in stringhe non riconoscibili; sostituire i nomi dei pazienti – nel settore sanitario – con identificatori casuali, conservando altri dati per la ricerca.

• Bilanciare trasparenza e riservatezza – a trasparenza è fondamentale per creare fiducia nei sistemi di IA, ma deve essere bilanciata con la necessità di proteggere il funzionamento interno del modello da un uso improprio. La divulgazione progressiva, o “dettaglio su richiesta”, è una strategia che consente agli utenti di comprendere gli output dell’IA senza rivelare troppo sui processi interni del modello ed al tempo stesso essere conformi alle normative vigenti.
• Adottare modelli di sicurezza zero-trust– in cui dovrebbe essere implementata una verifica continua degli utenti e dei dispositivi per proteggere i dati sensibili.
• Rivedere e aggiornare le policy dell’organizzazione – Ciò implica rivalutare regolarmente le politiche sulla privacy dei dati relativi all’IA, assicurandosi che siano allineate con gli standard e le normative più recenti in materia di IA, oltre che con le leggi generali sulla privacy dei dati.
• Garantire la formazione dei dipendenti – È essenziale formare i dipendenti sull’importanza della protezione dei dati e sulle misure specifiche adottate dall’organizzazione stessa.
• Monitorare continuamente sistemi di IA – Monitorare costantemente i sistemi di IA è fondamentale per verificarne la conformità, e condurre audit regolari aiuta a identificare e affrontare potenziali vulnerabilità.
• Coinvolgere i vari stakeholder – Coinvolgere clienti, partner e altre parti interessate nelle discussioni sulla privacy dei dati e sull’etica dell’intelligenza artificiale favorisce un approccio collaborativo alla protezione dei dati. Adottando queste misure proattive, le organizzazioni possono sfruttare la potenza dell’IA, mantenendo al contempo i più elevati standard di sicurezza e privacy dei dati.
• Collaborare con fornitori di tecnologia affidabili – I principali provider di tecnologia offrono soluzioni avanzate per la privacy e la sicurezza dei dati che possono mitigare significativamente i rischi per la sicurezza dei dati associati all’IA, migliorando le capacità di protezione dei dati dell’organizzazione. Inoltre, anche le soluzioni di archiviazione cloud offerte dai principali fornitori di tecnologia sono progettate con misure di sicurezza avanzate per proteggere i dati sensibili. Di fatto, i vari provider utilizzano la crittografia, sia a riposo sia in transito, per garantire che i dati siano illeggibili per individui non autorizzati, oltre ad offrire funzionalità come l’autenticazione multifattoriale, i controlli di accesso e i servizi di mascheramento dei dati per migliorare ulteriormente la protezione dei dati. Ancora, l’archiviazione dei dati nel cloud consente il monitoraggio in tempo reale e il rilevamento delle minacce. Ciò significa che le potenziali violazioni della sicurezza possono essere identificate e affrontate tempestivamente, riducendo al minimo il rischio di perdita o esposizione dei dati.

Privacy dei dati e sicurezza informatica nell’UE nel 2025

Di seguito una panoramica delle quadro normativo EU in termini di gestione dei dati e utilizzo dell’IA.

• AI Act è oramai qui – L’AI Act è entrato in vigore all’inizio del 2025. Pertanto, le aziende dell’UE dovranno affrontare sfide nell’implementazione e conformarsi a rigide regole su dati, trasparenza e gestione dei rischi, specialmente per i sistemi di IA ad alto rischio. Si prevede che gli enti di regolamentazione della privacy svolgeranno un ruolo chiave nel monitoraggio del modo in cui i dati personali vengono utilizzati nell’addestramento dei modelli di IA, con potenziali sanzioni per la non conformità. L’interazione tra l’AI Act e il Regolamento generale sulla protezione dei dati (GDPR) potrebbe aggiungere complessità, in particolare per le organizzazioni multinazionali.
• Nis2: il processo di implementazione avanza – Le aziende, a fronte degli obblighi di sicurezza per infrastrutture critiche, dovranno affrontare regole più rigide per la notifica delle violazioni e la gestione del rischio. Si prevede un maggiore coordinamento transfrontaliero in risposta a incidenti, con casi che potrebbero stabilire precedenti importanti.
• Trasferimento dei dati fuori: verso un quadro unificato – Il 2025 potrebbe segnare un punto di svolta per i flussi di dati transatlantici. Il quadro UE-USA sulla privacy dovrebbe garantire un percorso più chiaro, nonostante le revisioni e sfide legali. L’UE potrebbe firmare accordi di adeguatezza con partner commerciali, armonizzando i trasferimenti di dati. Inoltre, le aziende necessiteranno di meccanismi solidi per la conformità.
• GDPR e diritti dei consumatori in evoluzione – Il GDPR continua a influenzare le leggi sulla privacy e ci si aspetta che nel 2025, a fronte dell’entrata in vigore dell’AI Act, ci sarà un ulteriore rafforzamento dei diritti dei consumatori, in termini dell’IA explicability e transparency nelle pratiche sui dati.

• Digital Markets Act (DMA) incontra GDPR: privacy nell’economia delle piattaforme – Il DMA produrrà cambiamenti significativi alle grandi piattaforme online dato che i mandati di interoperabilità e restrizioni pubblicitarie si intrecceranno con il GDPR, sfidando le piattaforme a bilanciare gli obblighi di privacy. Si ritiene che tale sinergia normativa potrebbe ridisegnare le strategie di monetizzazione dei dati e influenzare la governance del mercato digitale globale.

Conclusione

In un’epoca in cui la tecnologia è predominante, è cruciale indirizzare l’innovazione verso un umanesimo tecnologico che metta l’essere umano al centro. Questo significa assicurarsi che la tecnologia serva le persone, piuttosto che il contrario.

Oggi, è più che mai essenziale proteggere la nostra capacità di giudizio critico e acquisire la consapevolezza necessaria. In un contesto europeo sempre più caratterizzato da un complesso normativo che adotta un approccio basato sul rischio e sulla resilienza, è fondamentale integrare sempre più i principi di gestione del rischio, continuità e sicurezza informatica. Ciò per: prevenire l’abuso dei dati personali; mantenere una chiara distinzione tra pratiche digitali legittime e illecite; e garantire che i benefici dell’IA siano ottenuti in modo etico, responsabile, sostenibile e rispettoso della privacy e della dignità di ogni individuo.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.