L’intelligenza artificiale ricorre ormai nel lavoro quotidiano di moltissime aziende: strumenti di AI generativa, copilot, chatbot (e altri ancora) sono attivi sulla maggior parte dei device aziendali. La diffusione è capillare, ma troppo spesso non pianificata, non regolamentata e non controllata.
Un esempio su tutti sulla diffusione dell’AI nelle aziende: dopo poche settimane dal lancio di ChatGPT milioni di professionisti in tutto il mondo hanno iniziato a usarlo per scrivere contenuti, sintetizzare documenti, estrapolare dati salienti e risolvere problemi operativi.
La questione, ormai, non verte più sulla possibilità o meno di utilizzare strumenti AI nelle aziende, bensì su come implementare misure e framework operativi per adottare un approccio di AI Security.
Attenzione: la rapidità con cui si diffonde l’impiego di tool AI in azienda ha superato la consapevolezza dei rischi che riguardano privacy e gestione dei dati!
L’impiego massiccio dell’Intelligenza artificiale nei contesti aziendali aumenta il rischio cyber in modo esponenziale
In questo approfondimento parleremo dei rischi cyber derivanti dall’AI NON GOVERNATA, argomento che sta diventando sempre più caldo e delicato per CISO, CTO e responsabili IT.
Cosa si intende con AI NON GOVERNATA?
Innanzitutto, facciamo una considerazione: bloccare l’accesso agli strumenti di AI non è una strategia praticabile. I tool AI sono moltissimi e vengono usati su base quotidiana da dipendenti e collaboratori che, evidentemente, non sono sempre coscienti dei rischi e di tutte le possibili implicazioni. Ecco perché è necessario un cambio di passo che parta da una cultura e da una governance aziendale condivisa con chi lavora in azienda. Anche perché il problema non è l’AI in sé, ma l’AI NON GOVERNATA, quella cioè lasciata nelle mani degli utenti senza limiti, regole e consapevolezze condivise.
Quali sono le conseguenze dell’utilizzo di AI non governata? L’uso, spesso troppo disinvolto, dell’AI nelle aziende può portare a conseguenze gravi, soprattutto quando su questi tool vengono registrati dati personali, documenti riservati o informazioni aziendali sensibili.
Esempio pratico: un dipendente inserisce nel prompt AI un report contenente dati sensibili dell’azienda e chiede al tool AI di realizzare un riassunto schematico degli argomenti salienti. Il tool risponde ma nel frattempo i fornitori del servizio AI registrano, archiviano e conservano i dati sensibili per addestrare modelli o per altri scopi (non sempre dichiarati). Inoltre, i server su cui avviene l’elaborazione dei dati potrebbero trovarsi in Paesi extra-UE, dove il livello di protezione dei dati è inferiore o diverso a quello richiesto dal GDPR.
Conseguenze e rischi cyber per le aziende che usano tool AI senza controllo
L’azienda che utilizza questi strumenti rischia di trasferire inconsapevolmente dati a terze parti, perdere il controllo sul trattamento, compromettere la riservatezza delle informazioni e incorrere in un data breach ai sensi del GDPR, con obbligo di notifica al Garante e potenziali sanzioni.
Ecco un pratico elenco con i rischi IT più impattanti che riguardano l’uso non regolamento e non controllato dell’intelligenza artificiale in azienda e i motivi per cui serve un approccio di AI Security:
Data leakage: la perdita di informazioni sensibili
Un dipendente o collaboratore che utilizza strumenti di intelligenza artificiale non autorizzati può inserire involontariamente dati aziendali riservati all’interno dei prompt, trasferendoli verso piattaforme esterne.
Questo comportamento può comportare:
- divulgazione non autorizzata di informazioni (contratti, dati clienti, codice, strategie)
- perdita di controllo sul ciclo di vita del dato (memorizzazione, training, retention)
- potenziale trasferimento verso infrastrutture fuori dall’UE
- violazioni del GDPR e rischio di data breach
Prompt injection: l’AI come vettore d’attacco
Questa tecnica prevede che un attaccante manipoli le istruzioni fornite a un agente AI di un chatbot aziendale pubblico per fargli rivelare informazioni protette o compiere azioni non autorizzate ai danni dell’azienda.
NB: qualsiasi agente AI esposto al pubblico (anche il più semplice chatbot sul sito web dell’azienda) deve essere protetto con tecnologie specifiche!
Shadow AI: l’insieme dei tool AI usati dai dipendenti al di fuori di qualsiasi controllo IT.
La sfida dell’AI in azienda: come governarla, controllarla e regolamentarla
È importante mettere in luce il ruolo cruciale che hanno dipendenti e collaboratori nel preservare e proteggere i dati sensibili aziendali con buone pratiche di comportamento (leggi il nostro approfondimento sull’Igiene Informatica), ma lo è anche evidenziare come debbano essere istruiti dall’azienda stessa sui rischi e i pericoli legati all’uso incontrollato dell’AI (scopri di cosa tratta la Cybersecurity Awareness).
Policy chiare con linee guida che gli utenti possono seguire e tecnologie di enforcement automatizzato: l’AI Security aziendale è una delle misure più importanti da adottare per trasformare l’AI NON GOVERNATA in AI CONTROLLATA E REGOLAMENTATA.
Suggerimento: una delle misure più efficaci è mettere a disposizione di dipendenti e collaboratori uno strumento AI gestito dall’azienda, così da eliminare il bisogno di ricorrere a tool esterni non controllati.
NIS2, GDPR e AI Act: come dialoga l’AI con questi requisiti normativi europei?
AI Act
Questo regolamento si basa sul principio che l’AI deve essere sviluppata e usata in modo sicuro, etico e rispettoso dei diritti fondamentali e dei valori europei. I sistemi AI vengono così classificati per livelli di rischio, stabilendo requisiti e obblighi per i fornitori e gli utenti di questi tool.
NIS2 e Intelligenza Artificiale
La direttiva NIS2 dialoga con AI (e con l’AI Act nello specifico) dando vita a un approccio integrato. Se NIS2 si concentra sulla sicurezza delle reti e delle infrastrutture IT, l’AI Act regola lo sviluppo e l’uso dei tool di intelligenza artificiale. Queste due normative sono essenziali e complementari per garantire la resilienza digitale e la protezione dei dati.
GDPR e Intelligenza Artificiale
Il Regolamento Generale sulla Protezione dei Dati (GDPR) si applica anche ai trattamenti automatizzati effettuati mediante AI. Pertanto, le aziende devono considerare ogni interazione con un tool AI come un trattamento dati a tutti gli effetti, che deve quindi rispettare i principi fondamentali del GDPR.
Elementi che aiutano a costruire un approccio di AI Security
Eccoci, quindi, ai suggerimenti per le aziende che desiderano governare e controllare l’uso dell’AI e non subire i rischi cyber e le conseguenze di un uso non regolamentato:
- Attivare la visibilità: secondo questo principio è possibile capire quali strumenti AI vengono usati, da chi, su quali device e con quali dati. Il primo passo per governare è vedere.
- Applicare e condividere policy e governance: definire regole chiare su cosa sia consentito e cosa no, quali dati possano essere condivisi con strumenti AI e quali no è la strategia giusta per sensibilizzare e formare gli utenti alla protezione dei dati.
- Implementare tecnologie abilitanti: soluzioni SASE (che connettono in modo sicuro utenti e dispositivi a risorse cloud e applicative) e Zero Trust (rigorosa verifica per ogni accesso).
- Sviluppare consapevolezza e cultura dell’AI: formare le persone non significa solo trasferire nozioni tecniche, ma costruire una cultura organizzativa in cui ogni utente comprenda i rischi, le responsabilità e le opportunità legate all’uso dell’AI. La consapevolezza diffusa è il complemento indispensabile a qualsiasi tecnologia e policy: senza di essa, anche i controlli più sofisticati rischiano di essere aggirati o ignorati.
L’AI Security come priorità operativa del presente
L’AI Security non è un tema del futuro, bensì una priorità del presente. Le organizzazioni che non governano l’uso dell’AI in azienda si espongono a rischi quali: perdita di dati sensibili, prompt injection, aggiramento dei controlli.
Visibilità, governance, tecnologia Zero Trust e SASE, e una protezione che segua l’utente ovunque vada – anche a casa propria – sono invece gli ingredienti di un framework di AI Security credibile, affidabile e sostenibile.
Se desideri scoprire come proteggere la tua azienda da un uso non controllato di tool AI, contattaci per approfondire:
030.4194040
segreteria@coreup.it