Skip to main content
Join the Community
Add as a preferred source on Google Opens new window Join the Community Join the Community
Sicurezza informatica

Costruire Fiducia nell’IA: Come le Nuove Regolamentazioni Affrontano le Sfide della Sicurezza Informatica

Ghazi Ben Amor
By
Ghazi Ben Amor
Ghazi Ben Amor VP, Corporate Development, Zama

More about Ghazi

In un contesto di crescenti minacce informatiche, le nuove regolamentazioni sull'intelligenza artificiale del Regno Unito puntano a proteggere i dati sensibili, ma i leader tecnologici sono ancora preoccupati di riuscire a tenere il passo con i rischi in evoluzione. Scopri come sfruttare le tecnologie per la tutela della privacy (PETs) e costruire quadri normativi adattabili per mettere in sicurezza la tua IA favorendo l’innovazione.

Il mese scorso, il Governo del Regno Unito ha introdotto nuovi avanzamenti normativi per potenziare la cybersicurezza nei modelli di intelligenza artificiale e nel software. Pensate per rafforzare i sistemi digitali contro attacchi informatici e sabotaggi, queste modifiche sono destinate a promuovere la fiducia nell’adozione dell’IA in diversi settori – una fiducia di cui c’è davvero bisogno. 

Considerando che il costo del crimine informatico è già destinato a raggiungere quota 13,82 trilioni di dollari entro il 2028 – e potrebbe crescere a un ritmo ancora più sostenuto con l’accesso della nuova generazione di criminali informatici a IA sempre più sofisticate – la fiducia verso questa tecnologia comprensibilmente comincia a vacillare.

Benché queste nuove misure rappresentino un notevole passo avanti nell’affrontare le attuali sfide della cybersicurezza, restano ancora questioni e preoccupazioni sull’adattabilità futura e sull’efficacia dei quadri regolatori, soprattutto nella comunità degli sviluppatori

Want more from The CTO Club?

Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.

Have an account? Log In

This field is for validation purposes and should be left unchanged.
Name*

In una recente indagine fra sviluppatori di Regno Unito e Stati Uniti, il 72% ha dichiarato che le regolamentazioni pensate per proteggere la privacy non sono proiettate verso il futuro, mentre il 56% ritiene che strutture regolatorie dinamiche – che dovrebbero adattarsi ai progressi tecnologici – possano in realtà rappresentare una minaccia. Un aspetto particolarmente preoccupante riguarda il rischio di sicurezza associato ai sistemi di intelligenza artificiale che richiedono vasti dataset per l’addestramento, spesso comprendenti dati personali sensibili.

Considerando ciò, regolamenti modificabili o incoerenti potrebbero creare vulnerabilità o lacune nella protezione di questi dati sensibili, aumentando così il rischio di violazioni o usi impropri delle informazioni.

Con l’evolversi della regolamentazione, garantire la sicurezza e la privacy delle informazioni personali utilizzate nell’addestramento delle IA sembra destinato a diventare sempre più complesso, con possibili gravi conseguenze sia per individui che per organizzazioni.

La stessa indagine ha poi rivelato che il 30% degli sviluppatori ritiene che vi sia una generale mancanza di comprensione tra i regolatori, che non dispongono delle competenze adatte a comprendere la tecnologia che dovrebbero regolamentare.

Come progettare quadri normativi adattabili ed efficaci

Se le conoscenze e le competenze sono in discussione, insieme all’avanzamento rapido di IA e delle minacce informatiche, cosa dovrebbero tenere in considerazione i regolatori quando disegnano quadri normativi che siano sia adattabili che efficaci?

Secondo il mio punto di vista, innanzitutto i regolatori dovrebbero conoscere tutte le opzioni disponibili in materia di possibili tecnologie per la tutela della privacy (PETs). Alcune di queste sono già utilizzate per ridurre il rischio di violazioni dei dati, mentre altre si stanno evolvendo in questo momento, con grande potenziale per la sicurezza dei dati sensibili e la protezione della privacy. Comprendere vantaggi e limiti di ciascuna consente di adottare un approccio flessibile, preferendo l’adozione mirata rispetto a una politica unica per tutti, come ad esempio:

  • Tecnologie di autenticazione: L’autenticazione a più fattori (MFA) – comunemente integrata dagli sviluppatori nei sistemi di autenticazione per aggiungere un livello extra di sicurezza – viene utilizzata in applicazioni che vanno dall’home banking al software aziendale. L’autenticazione biometrica è un’altra modalità avanzata e sicura già in uso oggi, che si basa su tratti fisici unici come impronte digitali o riconoscimento facciale. Guardando avanti, l’adozione di meccanismi di identità federata, come FIDO (Fast Identity Online) o OpenID Connect, promette bene. Questi meccanismi non solo aumentano la sicurezza, ma semplificano anche i processi di autenticazione su diverse piattaforme, offrendo un approccio unificato e sicuro alla gestione delle identità.
  • Crittografia end-to-end (E2EE): Questa tecnologia offre un livello di sicurezza elevato, criptando i dati dal mittente al destinatario e impedendo l’accesso non autorizzato anche ai fornitori di servizio. Tuttavia, implementare E2EE può essere complesso e richiedere molte risorse, compresa una significativa potenza di calcolo e una sofisticata gestione delle chiavi. Poiché E2EE impedisce ai fornitori l’accesso ai dati, ne può limitare la possibilità di intervento in recuperi dati o per adempiere a richieste legali di informazioni; una situazione che può diventare problematica in caso di indagini penali o recupero di dati smarriti.
  • Crittografia completamente omomorfica (FHE): Sebbene la FHE sia ancora considerata in una fase iniziale della sua piena realizzazione, negli ultimi anni ha fatto importanti passi avanti. Si tratta di una tipologia di cifratura che permette di elaborare dati senza doverli decifrare: una combinazione ideale tra intelligenza artificiale e sicurezza dei dati, poiché consente alle organizzazioni di sfruttare la tecnologia senza compromettere le aspettative di privacy degli utenti. Per esempio, la FHE può essere utilizzata dagli istituti finanziari per addestrare in modo riservato modelli AI per il rilevamento delle frodi tra banche senza esporre nessun dato personale; oppure da operatori sanitari che effettuano diagnosi predittive senza rivelare le informazioni private dei pazienti.
  • Multi-Party Computation (MPC): Questa tecnologia completa la FHE fornendo all’utente finale la possibilità di decriptare i dati cifrati dopo aver verificato che ha il diritto di accedere a tali dati. MPC permette a un quorum di entità designate di partecipare a un protocollo collaborativo che raggiunge un consenso sul controllo degli accessi prima di re-crittografare i dati dalla chiave pubblica di cifratura del protocollo a quella dell’utente finale, concedendo così all’utente l’accesso ai dati in chiaro. Ogni entità all’interno del quorum possiede solo una parte della chiave privata di decrittazione del protocollo e pertanto non è in grado di decriptare dati autonomamente. Inoltre, i dati in chiaro non vengono mai messi a disposizione di nessuno se non dell’utente stesso.

Elaborazione Collaborativa delle Politiche

Una volta che i regolatori avranno una conoscenza aggiornata e approfondita delle PET – di cui ne esistono molte altre – il passo successivo è assicurarsi che le normative non ostacolino il progresso tecnologico, pur continuando a garantire la protezione contro le minacce informatiche.

Per elaborare politiche sulla privacy efficaci e sfumate che si evolvano insieme ai progressi tecnologici, è fondamentale ricordare che esse non operano in isolamento. Non ci si aspetta che siano gli unici responsabili. Al contrario, i legislatori dovrebbero collaborare con i creatori della tecnologia – i quali, a loro volta, dovrebbero iniziare a progettare le loro tecnologie tenendo conto dei framework esistenti, invece di aspettarsi che vengano adattati di volta in volta.

Includere un apprendimento continuo all’interno dell’organizzazione è altrettanto cruciale, così come consentire ai dipendenti di partecipare a eventi e conferenze del settore per restare aggiornati sugli ultimi sviluppi e incontrare esperti. Dove possibile, dovremmo collaborare con l’industria, ad esempio invitando rappresentanti di aziende tecnologiche a tenere seminari o dimostrazioni interne.

Credo fermamente che tutti questi aspetti debbano essere considerati mentre integriamo nella nostra quotidianità sistemi sempre più complessi come l’IA, l’IoT e l’analisi avanzata dei dati e aumenta il potenziale delle minacce informatiche.

Rendendo le normative adatte al futuro, possiamo fare in modo di non rincorrere costantemente i cybercriminali, ma di tutelare in modo proattivo la nostra infrastruttura digitale. Adottando un quadro normativo dinamico e adattivo, possiamo proteggere meglio i dati sensibili, tutelare la privacy degli utenti e mantenere la fiducia del pubblico nelle tecnologie digitali.

Iscriviti alla nostra newsletter per ricevere le ultime novità, tendenze e strategie per proteggere la tua tecnologia e favorire l’innovazione.

You may also like