Lo stretto legame tra intelligenza artificiale e protezione dei dati

Con l’Artificial Intelligence Act si apre una nuova fase che richiede alle aziende maggiore impegno per colmare le carenze generate fin dall’entrata in vigore del Gdpr e per affrontare con prudenza, ma anche con più consapevolezza, le novità in arrivo. Per Nicola Bernardi, presidente di Federprivacy, l’approccio multidisciplinare deve essere supportato da una capacità di aggiornamento costante sulle complessità normative, organizzative e tecnologiche

Quali sono i confini tra protezione dei dati, compliance, evoluzioni tecnologiche e cybersecurity? Tutti questi ambiti sono disciplinati da atti normativi emanati dalla Commissione Europea con il Gdpr del 2018 e attraverso direttive o leggi nazionali che non sfuggono alle minacce degli hacker, capaci di correre di pari passo con l’evoluzione tecnologica per sferrare colpi imprevedibili e dalle conseguenze potenzialmente devastanti.
A complicare questo scenario contribuirà certamente nei prossimi mesi l’Artificial Intelligence Act, l’accordo (il primo a livello mondiale) teso all’armonizzazione delle norme sull’intelligenza artificiale raggiunto lo scorso dicembre da Parlamento e Consiglio Europeo.
Anche se solo nella prossima primavera si conosceranno più nel dettaglio i contenuti del provvedimento, e anche se la legge sull’intelligenza artificiale (AI) entrerà in vigore progressivamente nell’arco di due anni, appare chiara fin da subito l’importanza, per la Pubblica Amministrazione e per le aziende, di un approccio europeo alla regolamentazione dell’AI.
Attualmente i prossimi step previsti comprendono una fase di confronto sui dettagli tecnici del regolamento, la valutazione da parte dei rappresentanti degli Stati membri, l’avvio di procedure di revisione giuridico-linguistica e la conferma finale da parte delle istituzioni europee.
L’obiettivo dell’Artificial Intelligence Act è garantire per i sistemi AI uno standard a livello europeo per tutelare la sicurezza dei consumatori e il rispetto di diritti fondamentali e di valori dell’Unione Europea. A tale scopo il provvedimento punta all’introduzione di norme sui modelli e sui sistemi di AI, con particolare attenzione verso quelli ad alto rischio o che potrebbero causare rischi sistemici in futuro. Si prevede anche la revisione dei sistemi di governance, l’ampliamento dei divieti per rendere più sicuro l’utilizzo dell’AI, fino alla possibilità da parte delle forze dell’ordine di utilizzare l’identificazione biometrica. Ovviamente nel progetto sono incluse anche sanzioni per le violazioni della legge (per le Pmi e le start up sono previsti massimali più proporzionati alle sanzioni amministrative), fissate in percentuale del fatturato annuo globale della società incriminata o in un importo predeterminato, a seconda di quale sia più elevato: il 7% del fatturato o 35 milioni di euro per violazioni della legge; 1,5% del fatturato oppure 7,5 milioni di euro per la fornitura di informazioni errate.
Insomma, sulle aziende stanno per abbattersi nuove disposizioni, obblighi e procedure che richiedono la massima attenzione al tema della protezione dei dati, un approccio multidisciplinare e trasversale, competenze da mettere a fattore comune tra l’organizzazione aziendale e gli esperti giuridici, informatici, responsabili della cybersecurity, data manager.
Ma le aziende sono pronte ad affrontare tutto questo? Lo abbiamo chiesto a Nicola Bernardi, presidente di Federprivacy, associazione nazionale nata nel 2008 che rappresenta tutti i professionisti della privacy e della protezione dei dati.

Quali rischi corrono le aziende con la diffusione dei sistemi di intelligenza artificiale?

Dobbiamo innanzitutto chiarire che cosa si intende per intelligenza artificiale: il valore di questi sistemi non risiede nella possibilità di avvicinarsi all’intelletto, alla coscienza e alle abilità decisionali che solo l’essere umano possiede. La loro forza sta nell’immensa capacità di calcolo e nel vantaggio competitivo che offrono alle aziende in termini di potenza nell’elaborazione di enormi quantità di dati. Un’opportunità che pone però anche grandi rischi sulla gravità e la pervasività di data breach che possono arrivare a coinvolgere contemporaneamente anche milioni di interessati. Ecco allora che l’intelligenza artificiale rappresenta sì una fonte di innovazione e di competitività, ma può trasformarsi anche in un micidiale strumento per scardinare il sistema, con più facilità e con conseguenze molto più gravi rispetto al passato.
L’Artificial Intelligence Act punta a regolamentare l’AI seguendo un approccio basato sulla logica dei diversi livelli di rischiosità: maggiore è il rischio, più severe sono le regole. Al momento sono previsti obblighi di trasparenza molto leggeri per i sistemi di AI che presentano rischi limitati, mentre quelli ad alto rischio impongono il rispetto di una serie di requisiti, già descritti e modulati dai colegislatori per renderli tecnicamente fattibili, ai quali tutte le aziende, anche le Pmi, devono attenersi per dimostrare la conformità dei propri sistemi.
In questo contesto, alle aziende servirà grande prudenza nel determinare il livello di rischio, soprattutto se si considera che nelle attività di valutazione, in particolare quando di parla di intelligenza artificiale, lo scenario di rischio può cambiare in itinere: è quindi sempre più probabile accorgersi troppo tardi, quando ormai il vaso è rotto, che servono altre misure per calcolare gli impatti. Il risultato di tanti sforzi, per intenderci, potrebbe essere quello di rendersi conto solo alla fine che i danni subiti da un uso improprio dell’AI sono superiori ai benefici.
La grande sfida che le aziende si trovano a dover superare è quindi quella di dotarsi di un’architettura di data governance efficiente, senza mai perdere di vista tutti i limiti da rispettare.

© iLexx - iStock

Come hanno reagito finora le aziende ai tanti provvedimenti che nel tempo hanno continuamente aggiornato il quadro normativo e a cui è necessario adeguarsi anche da un punto di vista organizzativo? Sono pronte ad affrontare le complessità che la normativa sull’intelligenza artificiale promette di introdurre nei prossimi due anni?

Le aziende non sono pronte. Dall’introduzione del Gdpr a oggi la produzione normativa europea in materia di servizi digitali e di gestione dei dati personali ha assistito a un forte incremento a cui le aziende faticano non solo ad adeguarsi ma anche a comprenderne l’importanza. Serve una maggiore consapevolezza nella gestione delle infrastrutture e dei dati. Basti pensare che, secondo una nostra recente ricerca, più del 50% delle imprese ritiene ancora che il Gdpr rappresenti un obbligo burocratico, il che la dice lunga sulla loro capacità di affrontare adeguatamente la compliance e i rischi a cui l’azienda può essere sottoposta.
Questa distorsione, certo, è meno diffusa nelle grandi aziende dove esistono strategie di controllo e monitoraggio del rischio più strutturate, dove ci sono maggiori capacità di investimento e possibilità di avvalersi per esempio di costose società di consulenza che possono indirizzare l’impresa verso comportamenti più virtuosi.
Il pericolo sono invece le Pmi, quelle realtà estranee alla cultura del rischio che non hanno budget sufficienti e nessun punto di riferimento a cui rivolgersi quando necessario.
Per affrontare tematiche tanto complesse servono competenze in diversi campi, non solo legali ma anche informatiche e organizzative, che vanno integrate, messe a fattor comune in un’ottica di aggiornamento costante per seguire l’evoluzione normativa così come quella informatica e organizzativa. Su queste basi, molti restano gli interrogativi su come queste realtà medio piccole, che rappresentano il tessuto produttivo del nostro paese, potranno rimanere al passo con le novità che saranno introdotte nei prossimi mesi e con la loro attuazione pratica.

Chi sono i soggetti che si occupano di compliance, privacy e gestione dei dati nelle aziende? E come dovranno cambiare le loro professionalità e competenze?

Il Gdpr ha condotto le aziende ad avvalersi di professionalità con conoscenze che risultano oggi inadeguate rispetto all’evoluzione della tecnologia e alle conseguenti misure normative. Oltre all’acquisizione di competenze sempre aggiornate è necessario che figure come il Data protection officer (Dpo) e il Chief information security officer (Ciso) sappiano comunicare tra loro, imparino a interagire e a condividere il proprio know how unendo rispettivamente la capacità di gestire gli adempimenti normativi con quella di garantire la sicurezza dei dati. Oggi però è particolarmente importante inserire in azienda anche la figura del Data manager con il compito di progettare e definire sistemi di gestione e modelli organizzativi in un’ottica di maggiore efficienza.
Un dato molto interessante è emerso dal sondaggio che Federprivacy ha realizzato a novembre 2023 tra 1507 addetti ai lavori: per il 57,2% gli aspetti organizzativi sono più importanti rispetto a quelli normativi, ritenuti secondari. Fondamentale è quindi il contributo di esperti di governance aziendale, in particolare di data management e sistemi di gestione della protezione dei dati. Per il 62,2% dei professionisti intervistati, inoltre, è auspicabile e possibile trovare convergenze tra le diverse professionalità e collaborare con figure che hanno know how diverso dal proprio.
La protezione dei dati richiede l’intervento di profili professionali che operano in aree diverse, caratterizzate da una vasta gamma di problematiche risolvibili solo con la collaborazione e la volontà di interagire. Pensiamo alla privacy e alla cybersecurity, due ambiti che non possono viaggiare su binari paralleli quando servono invece soluzioni capaci di coniugare al contempo la sicurezza dei dati e la conformità alle norme. Ecco perché, in prospettiva, le organizzazioni aziendali dovranno sempre più essere in grado di definire i propri sistemi di gestione, i flussi informativi, i ruoli e le responsabilità di soggetti chiamati a incrociare le proprie strade per perseguire obiettivi comuni.

Iperproduzione normativa: la formazione per andare oltre l’adempimento burocratico

Tutelare il cittadino, creare un mercato digitale equo e promuovere uno scenario più competitivo a livello europeo e globale, basato su una disciplina di condivisione dei dati. Con questi obiettivi l’attività legislativa ha in poco tempo generato una serie di provvedimenti sui servizi digitali, sul mercato digitale, sui dati e sulla loro governance che si è tradotta, secondo Nicola Bernardi, presidente di Federprivacy, in una quantità di problematiche di difficile gestione e soluzione per le aziende.
“Leggi e regolamenti – evidenzia Bernardi – impongono alle imprese una continua attività di aggiornamento per seguirne cambiamenti e aggiustamenti in corsa. Spesso per giungere a una corretta applicazione delle norme è necessario basarsi su linee guida e interpretazioni che faticano a seguire una iperproduzione normativa che a sua volta non riesce a stare al passo con la velocità dell’innovazione tecnologica”.
Pensiamo solo alle norme più note che si applicano in tutta l’Unione Europea: la legge sui servizi digitali (Dsa) e sul mercato digitale (Dma) che puntano a garantire tutela e sicurezza per gli utenti digitali; il Data Act che promuove lo scambio dei dati nell’Unione Europea stabilendo norme armonizzate sull’accesso equo e sull’utilizzo dei dati; il Data Governance Act (Dga) che definisce le regole e le condizioni che l’Europa ha adottato in materia di data sharing.
“In molti casi – prosegue Bernardi – si tratta di normative che non superano i provvedimenti preesistenti ma che convivono con altri framework europei (si pensi per esempio al Regolamento sui dati non personali, alla proprietà intellettuale e alla tutela giuridica delle banche dati). Affrontare questa complessità, che non può limitarsi a un puro adempimento burocratico, significa per le aziende applicare le proprie strategie di business e organizzative avvalendosi di capacità interdisciplinari, con le giuste professionalità da sostenere attraverso una costante e adeguata formazione professionale”.

Quando il gioco non vale la candela

L’intelligenza artificiale è basata su algoritmi di machine learning. A fronte di ogni evento l’algoritmo apprende e immagazzina informazioni che possono essere usate per la volta successiva, potenziando le possibilità di attacco. Si tratta di strumenti che in mano ad hacker sempre più evoluti consentono di affinare le armi per attaccare, scardinare sistemi, frodare cittadini, aziende, organizzazioni, Pubblica Amministrazione. “L’algoritmo può analizzare la persona, mettere insieme le sue abitudini, lavorare in modo sempre più preciso e potente – spiega Nicola Bernardi, presidente di Federprivacy –. Mettendomi nei panni del cittadino non posso che suggerire al singolo individuo di valutare quale rischio corre quando utilizza una determinata tecnologia, stabilire se i rischi superano i vantaggi e decidere quindi se usarla o meno”. Un approccio che non rappresenta un passo indietro nel processo di innovazione ma che, secondo Bernardi, evidenzia l’urgenza di acquisire maggiore consapevolezza sui rischi che ci assumiamo (anche imponendoci di leggere attentamente le informative), sui vantaggi che ci vengono restituiti, sul significato e le conseguenze di una rinuncia alla nostra privacy.