AI e Metaverso visti alla luce della sicurezza informatica sono i focus su cui si è concentrato il council della community for security organizzato dal Clusit
Lo scorso 3 marzo SCAI Partners ha partecipato al Council della Community for Security del Clusit, Associazione italiana per la Sicurezza Informatica, un’interessante occasione per esperti e professionisti di Cybersecurity e Privacy per discutere argomenti di estrema attualità.
Tra questi, il Metaverso è stato oggetto di particolare attenzione: da un lato, si presenta come ambiente contraddistinto da una natura immersiva, caratterizzata da un’innovativa modalità di interazione tramite avatar, dall’altro, è uno spazio virtuale caratterizzato da un utilizzo di maggiori device e tecnologie potenzialmente attaccabile da hacker per colpire gli utenti (ad esempio attraverso spyware e avatar scams), esponendo in questo modo le aziende che ne fanno uso a nuovi rischi.
Diversi elementi operanti nel Metaverso – come, ad esempio, dati personali, sensibili, biometrici, di geolocalizzazione e di tracciamento – possono infatti creare un ambiente fertile per la proliferazione di attacchi informatici. La protezione dell’identità digitale dell’azienda diventa pertanto fondamentale, sia tramite l’adozione del principio di privacy e security by design, sia attraverso la diffusione di una cultura che promuova una maggior consapevolezza e formazione e attraverso la cooperazione con le Autorità competenti.
Altra tematica approfondita nel corso del Council è quella legata al rispetto della Data Protection nello sviluppo, produzione, utilizzo, diffusione di soluzioni di Intelligenza Artificiale (“I.A.”). La complessità dell’Artificial Intelligence trova anche conferma dall’assenza stessa di una definizione di AI univoca e universalmente riconosciuta. Ad oggi, l’AI è in costante evoluzione e il suo impatto globale sulla società è sempre di rilievo maggiore.
In un contesto dinamico come quello attuale, l’Europa si sta muovendo verso la pubblicazione del primo Regolamento sull’Intelligenza Artificiale (c.d. AI Act) che, così come è stato per il GDPR, obbligherà le aziende che utilizzano, producono, acquistano, sviluppano Intelligenza Artificiale a non farsi cogliere impreparate, definendo gli elementi fondamentali di regolazione degli scenari connessi all’AI.
Fermo restando i principi cardine del GDPR – Regolamento europeo sulla protezione dei dati personali – quali liceità, correttezza, trasparenza, integrità, riservatezza e accountability a cui i sistemi di intelligenza artificiale devono conformarsi, e nonostante il rispetto della normativa, l’utilizzo di tali tecnologie, specialmente nei casi in cui sono coinvolti dati personali, può costituire tutt’oggi un rischio elevato per gli utenti fruitori.
Per minimizzarne il rischio già nella fase primordiale di privacy by design, appare quindi fondamentale adottare tecniche specifiche, tra cui sono comprese le Privacy-enhancing technologies (PETs). Le PET, così come da definizione fornita dall’OECD, sono un insieme di tecnologie e approcci digitali che permettono la raccolta, l’elaborazione, l’analisi e la condivisione delle informazioni, proteggendo al contempo la riservatezza dei dati personali. In particolare, consentono di ottenere un livello relativamente elevato di utilità dai dati, riducendo al minimo la necessità di raccolta ed elaborazione. Tali tecnologie ricomprendono la data perturbation, i synthetic data, federated learning e anche l’utilizzo di formati dati che siano meno “human redable”.
Quando l’Intelligenza Artificiale incontra la Data Protection è buona prassi prestare particolare attenzione alle ipotesi di processi decisionali automatizzati. Con tale termine si fa riferimento agli strumenti che consentono ai decisori di prendere decisioni impiegando mezzi tecnologici (es. macchinari o algoritmi) con o senza l’intervento umano, decisioni in grado di produrre effetti di diverso tipo che impattano la sfera dei soggetti coinvolti. Per garantire una adeguata tutela è necessario best practice in grado di supportare e garantire un’efficace revisione e presenza umana all’interno del processo decisionale (ad esempio mediante interfacce utente, incentivi e supporto per gli addetti).
Per saperne di più: Supply Chain Security: l’importanza di conoscere e gestire i rischi della catena di fornitura.
