L’AI Act regola lo sviluppo di sistemi di cybersicurezza documentati ed efficienti: adottare un approccio integrato per sicurezza e conformità, mitigando le vulnerabilità dei sistemi di intelligenza artificiale, è la chiave per ridurre il rischio di attacchi informatici all’interno dell’Unione Europea.
L'AI Act dell'Unione Europea stabilisce nuove regole nell’ambito della cybersecurity per l’implementazione e l’utilizzo dei sistemi di intelligenza artificiale (AI). Tra le varie disposizioni presenti per proteggere la sicurezza informatica di aziende, enti e organizzazioni, viene stabilito che i sistemi di cybersecurity raggiungano un livello adeguato di accuratezza, robustezza e sicurezza. La normativa, come altre leggi dell'Ue, è basata su principi cardine (valutabili in maniera oggettiva) e richiede alle aziende di dimostrare la conformità attraverso una documentazione dettagliata che supporti le loro pratiche.
Di base, i sistemi AI devono essere progettati e sviluppati nel rispetto di alcune regole fondamentali, per assicurare certi standard di sicurezza da mantenere per l’intero ciclo di vita. Insomma, le nuove regole hanno lo scopo di definire degli standard a cui tutti si devono attenere, in modo da ridurre il rischio di cyber attacchi da parte di criminali informatici. La normativa introduce anche nuove sfide e opportunità per le aziende e i professionisti della cybersicurezza, richiedendo un approccio proattivo e ben documentato alla gestione dei rischi associati all'intelligenza artificiale. Ma andiamo per ordine.
Sempre più attacchi informatici: colpa dell’intelligenza artificiale?
La cybersicurezza è diventata cruciale in un'era in cui un cyberattacco si verifica in media – nel mondo – ogni 39 secondi. Gli attacchi informatici, come i malware, hanno bloccato le attività di aziende, università, ospedali e persone, causando danni ingenti e compromettendo la sicurezza delle informazioni. Per affrontare queste minacce, sia l'Europa sia diversi stati membri hanno già adottato alcune strategie e regolamentazioni nel corso degli anni, come la Direttiva NIS del 2016 e il Cybersecurity Act del 2019, con l’obiettivo di migliorare il livello di sicurezza informatica a livello comunitario. Tuttavia, nonostante una maggiore consapevolezza dei rischi sia a livello istituzionale sia individuale, i cyberattacchi sono aumentati: tra accessi non autorizzati alla catena di approvvigionamento, spionaggio cibernetico e ransomware, sono numerose le organizzazioni che hanno avuto danni consistenti a causa dell’inefficienza dei sistemi di cybersicurezza.
L'Agenzia dell'Unione Europea per la cybersicurezza (ENISA) che monitora e valuta i rischi informatici, ha sottolineato che gli attacchi stanno prendendo di mira anche aree critiche emergenti come l'Internet of Things (IoT), le comunicazioni 5G, il machine learning e i sistemi predittivi. Dalla consapevolezza di questi fattori di rischio, e dalla comprensione degli elementi della rete più vulnerabili, nasce di fatto l'AI Act.
Una regolamentazione che si basa sul rischio
Il nuovo regolamento sull'intelligenza artificiale, l'AI Act, è stato redatto con un approccio basato sul rischio per bilanciare i potenziali benefici dell'AI con i rischi per i diritti, la sicurezza e lo sviluppo tecnologico. Questo quadro normativo classifica i sistemi di intelligenza artificiale in base al livello di rischio che presentano per le persone e la società, suddividendoli in quattro categorie: inaccettabile, alto, limitato e minimo. Vediamoli nel dettaglio.
I sistemi di AI che presentano un rischio inaccettabile sono vietati o soggetti a severe restrizioni, poiché contraddicono i valori fondamentali dell'Ue, come la dignità umana e lo stato di diritto. I sistemi di AI ad alto rischio, che possono avere un impatto significativo sui diritti fondamentali o sulla sicurezza delle persone, sono sottoposti a rigorosi obblighi e requisiti prima di potere essere implementati. Questi includono sistemi per la selezione del personale, l'ammissione all'istruzione, la sorveglianza biometrica a distanza e la gestione della sicurezza delle infrastrutture critiche. Ancora, i sistemi a rischio limitato, ossia che possono influenzare i diritti o le volontà degli utenti in misura minore, devono rispettare requisiti di trasparenza, permettendo alle persone di sapere quando interagiscono con un sistema di AI e di comprenderne le caratteristiche.
Infine, i sistemi a rischio minimo o nullo, che non hanno impatti diretti sui diritti fondamentali o sulla sicurezza delle persone, sono esentati da obblighi normativi, per incoraggiare l'innovazione. Questo approccio basato sul rischio è essenziale per garantire che i benefici dell'AI siano sfruttati in modo sicuro e responsabile, proteggendo al contempo i diritti fondamentali e la sicurezza di ciascuno.
La cybersicurezza nei sistemi AI: un modello generale e dettagliato
L'introduzione dell'AI Act dell'Unione Europea rappresenta un cambiamento significativo nel modo in cui i sistemi di intelligenza artificiale vengono regolamentati, soprattutto per quanto riguarda la cybersicurezza. Questo atto normativo, basato su principi generali e condivisi, richiede che le aziende (e le organizzazioni) adeguino i loro sistemi di protezione dagli attacchi informatici per tutelare se stesse e gli altri stakeholder coinvolti.
I 4 principi dell’AI Act per la cybersicurezza
Per raccontare in maniera schematica l’impatto dell’AI Act sull’ecosistema della sicurezza informatica, è utile differenziare i 4 pilastri su cui l’azione normativa comunitaria si concentra a livello di principio.
Anzitutto, l'importanza di considerare l'intero sistema AI, piuttosto che focalizzarsi solo sui singoli moduli, è alla base della protezione delle reti e dei dati. Spesso le aziende tendono a concentrarsi sui singoli elementi, trascurando invece le interazioni che si generano, le quali potrebbero lasciare spazio a potenziali vulnerabilità sfruttabili durante un attacco informatico. Questo approccio olistico è cruciale per garantire che tutte le parti del sistema funzionino in sicurezza e sinergia.
Il secondo principio è la conformità alla legge sull'AI, che richiede una valutazione del rischio di cybersecurity per i sistemi ad alto rischio. Questa valutazione deve identificare e gestire i rischi specifici, collegando i requisiti generali di cybersecurity ai singoli componenti del sistema. Documentare la conformità è considerata un’attività essenziale, che va al di là dello svolgere le azioni richieste. Molte aziende, infatti, tendono a eseguire le attività ma non hanno una procedura regolamentata e non documentano i risultati. L'AI Act, come il Regolamento generale sulla protezione dei dati (GDPR), richiede alle aziende di dimostrare le loro attività di conformità.
Terzo pilastro: la sicurezza dei sistemi AI richiede un approccio integrato e continuo, combinando pratiche di cybersicurezza consolidate con misure specifiche per l'AI. Del resto i sistemi predittivi, che apprendono continuamente dal loro utilizzo, generano continue potenziali nuove vulnerabilità sfruttabili da criminali informatici. Questi ultimi, infatti, utilizzano spesso strumenti automatizzati per monitorare i sistemi e identificare punti deboli da sfruttare, rendendo cruciale un approccio di sicurezza profondo e integrato.
Da ultimo, ma non per importanza, l’AI Act stabilisce la necessità di riconoscere i limiti attuali delle tecnologie AI in termini di sicurezza. Per le tecnologie emergenti, la conformità può essere raggiunta solo adottando un approccio capace di superare i limiti intrinseci. L'adozione di standard approvati può creare una presunzione di conformità, ma le aziende devono dimostrare di avere fatto tutto il necessario per garantire la sicurezza. Questo è rilevante anche per difendersi da potenziali reclami di responsabilità.
