Protezione dei dati nell'era dell'IA: Cosa devono sapere le aziende ora

Non c'è dubbio che il boom dell'IA sia destinato a durare. Solo ChatGPT ora lo ha 400 milioni di utenti in tutto il mondo ogni settimana. A loro volta, l'anno scorso le aziende hanno speso 13,8 miliardi di dollari USA per tali strumenti, secondo il venture capitalist Menlo Ventures. Nel 2023, la cifra era di 2,3 miliardi. Ciò corrisponde a una crescita del 500%.

E anche se gli incrementi di produttività non hanno ancora raggiunto il livello sperato, le aziende sembrano soddisfatte delle loro iniziative di intelligenza artificiale: secondo la società di consulenza Deloitte, il 74% delle organizzazioni intervistate ritiene di aver raggiunto o superato i propri obiettivi. Il 78% intende aumentare la propria spesa quest'anno.

C'è una semplice ragione per il forte interesse: gli strumenti di intelligenza artificiale possono velocizzare molte attività quotidiane. Anche in grandi quantità di dati, ad esempio, possono trovare i fatti e le cifre desiderati in pochi secondi. Possono confrontare e riassumere le informazioni. E, ultimo ma non meno importante, creano contenuti di ogni tipo, che si tratti di una bozza per un'e-mail o di un'illustrazione per una presentazione.

Nonostante tutto l'entusiasmo per gli aiutanti digitali, c'è una domanda importante: che dire della protezione dei dati nel nuovo e coraggioso mondo dell'IA?

In poche parole, la risposta è: non va bene. Le aziende che operano in settori particolarmente regolamentati, come il settore finanziario, devono essere consapevoli di diverse aree problematiche.

‍

Contesto: il quadro normativo

Quando utilizzano l'intelligenza artificiale, le aziende operano in un ambiente normativo complesso. Due serie di normative sono particolarmente rilevanti in questo Paese: la relativamente nuova legge UE sull'IA e il già noto Regolamento generale sulla protezione dei dati (GDPR) e la sua controparte svizzera, la legge sulla protezione dei dati (DPA).

L'obiettivo dell'EU AI Act è garantire la sicurezza, la trasparenza e l'affidabilità dei sistemi di IA. Ciò è rivolto principalmente ai fornitori di questi servizi, ma non solo: anche gli utenti dell'IA hanno degli obblighi. Ciò è particolarmente vero quando si tratta della cosiddetta IA ad alto rischio, ad esempio per le attività nel reparto risorse umane o nella concessione di prestiti. Allegato III della legge UE sull'IA elenca esattamente quali applicazioni rientrano in questa categoria.

Ai sensi dell'articolo 26, le aziende e le istituzioni devono quindi, tra le altre cose:

• garantire che i sistemi siano utilizzati correttamente,
• Controlla la qualità e la pertinenza dei dati di input,
• e rendere trasparente alle persone interessate che l'IA è coinvolta.

A loro volta, il GDPR e il DPA riguardano essenzialmente la gestione dei dati personali, e questo è molto importante anche quando si utilizza l'IA.

Alcuni punti chiave:

• Limitazione dello scopo: I dati possono essere trattati solo per lo scopo previsto.
• Minimizzazione dei dati: Può essere elaborato solo ciò che è assolutamente necessario.
• Base giuridica: Tutti i trattamenti dei dati richiedono una base legale come il consenso o un interesse legittimo.

Per maggiori dettagli, consulta Articolo 5 e Articolo 6 del GDPR e Articolo 6 del DPA.

In tutto ciò, le aziende e le organizzazioni devono non solo garantire che esse stesse rispettino queste normative, ma anche che i fornitori di servizi da esse incaricati lo facciano. I fornitori statunitensi rappresentano quindi regolarmente un problema in questo caso, poiché la protezione dei dati viene gestita in modo diverso in America che in Europa. Gli accordi tra l'UE e gli Stati Uniti, che avrebbero dovuto risolvere questo problema, sono falliti più volte in tribunale. L'ultima versione, denominata Data Privacy Framework, è visto con critiche simili.

I fornitori europei sono la scelta migliore da questo punto di vista. Nel settore dell'IA, ad esempio, questo sarebbe la società francese Mistral. Ma anche in questo caso, il trasferimento dei dati deve ovviamente rispettare le linee guida sopra menzionate.

‍

Rischi e soluzioni pratiche

Alla luce di questo quadro normativo, è altamente problematico, ad esempio, caricare dati personali su un servizio come ChatGPT non trattati. Ma le organizzazioni devono fare attenzione anche in altre aree.

Di seguito, esaminiamo più da vicino due rischi chiave e possibili soluzioni:

‍

Violazioni accidentali da parte dei dipendenti

In molte aziende, i dipendenti utilizzano strumenti basati sull'intelligenza artificiale per lavorare in modo più efficiente. È importante sensibilizzare l'opinione pubblica sulla questione della protezione dei dati. Altrimenti, è facile che informazioni interne, dati riservati dei clienti o persino segreti aziendali vengano inseriti in un sistema di intelligenza artificiale.

Fornitori come OpenAI promettono ai propri clienti paganti che le loro chat non verranno utilizzate per addestrare modelli futuri. Le informazioni caricate in questo modo non dovrebbero quindi entrare improvvisamente a far parte della «conoscenza mondiale» di un'intelligenza artificiale come ChatGPT. Ma anche se questo è vero, è irrilevante dal punto di vista della legge sulla protezione dei dati: il semplice trasferimento di queste informazioni in questa forma potrebbe già essere illegale.

Ecco perché le organizzazioni hanno bisogno di linee guida chiare sull'IA che regolino chiaramente l'uso di questi strumenti. Anche una formazione adeguata è essenziale.

‍

La fame di dati degli strumenti di intelligenza artificiale

Un altro rischio è che i dati aziendali sensibili possano essere trovati involontariamente. Ciò può essere innescato da condivisioni di documenti configurate in modo errato o da posizioni di archiviazione dei file non protette.

Questo non è immediatamente evidente nella vita di tutti i giorni. I motori di ricerca come Google, ad esempio, rispettano volontariamente le specifiche degli operatori di siti Web in merito a ciò che possono e non possono registrare. Questo è regolato, tra le altre cose, da un file chiamato robots.txt.

Tuttavia, la situazione è diversa per i fornitori di intelligenza artificiale. La loro fame di dati è incommensurabile, poiché questa è la base della loro attività. I loro strumenti apprendono le loro competenze e conoscenze solo attraverso enormi quantità di dati. Un esempio è il Progetto «Common Crawl», che esegue regolarmente la scansione di miliardi di siti Web.

E a quanto pare: nella corsa per la supremazia nel caldo mercato dell'IA, restrizioni in un robots.txt siamo decisamente ignorato.

È quindi più importante che mai prestare molta attenzione al modo in cui i documenti vengono archiviati e resi disponibili. È qui che possono aiutare soluzioni come quelle di DSwiss: grazie alla crittografia e al controllo degli accessi coerenti, i documenti sensibili rimangono protetti anche se tecnicamente è possibile accedere a un luogo di archiviazione. A differenza delle cartelle cloud accessibili al pubblico, tali sistemi possono essere aperti solo tramite condivisioni autorizzate. Sono semplicemente invisibili ai web crawler. Ciò impedisce che informazioni riservate finiscano involontariamente in grandi set di dati di addestramento.

‍

Conclusione

In definitiva, resta da dire: la protezione proattiva dei dati è comunque già un must, ma diventerà ancora più urgente nell'era dell'IA. Una ragione: i sistemi di intelligenza artificiale non dimenticano nulla. Una volta entrato in essi, è quasi impossibile recuperarlo. Ciò rende ancora più importante agire ora prima che una negligenza lieve finisca per causare gravi problemi.