Articoli

Intervista a Bianca De Teffé Erb

Direttore Data & AI Ethics Leader

Deloitte

I limiti all’implementazione e all’utilizzo di strumenti basati sull’intelligenza artificiale nel campo della sicurezza informatica, e non solo, inducono necessariamente a riflettere sui principi etici da cui dovrebbero dipendere in un contesto storico e geopolitico che ormai vive la quinta dimensione dello spazio come una realtà economica preminente.

Quali sono gli ostacoli e quali le giuste restrizioni entro cui in Europa si possono sviluppare nuove opportunità che nascono in un ambiente digitale in cui il pericolo è individuato da quattro grandi atti normativi (GDPR, AI ACT, Digital Act, Digital Market Act) che inseguono le tecnologie, cercando di delinearne i confini, spesso anche in modo apparentemente contrastante. Microfinanza si è rivolta ad una esperta del settore, Bianca de Teffé Erb - Direttore Data Ethics Leader - Cyber Risk services di Deloitte, per discutere del tema.

In questo momento storico esistono attività legislative che si sovrappongono e che sono necessarie a quella che è, da un lato, la tutela dei dati e, dall’altro a garantire la sicurezza sia delle aziende, chè delle persone. Come gestire tutto questo in modo etico?

Oggi ci troviamo in una situazione geopolitica, ma soprattutto tecnologica, di grande rivoluzione e innovazione in cui si può parlare di intelligenza artificiale, di robotica o anche, banalmente, dell’avanzamento degli smart devices. Siamo tutti circondati da sistemi che iniziano a diventare intelligenti e, volenti o nolenti, facciamo parte anche di questo ecosistema. Questo pone una serie di obblighi e doveri non solo per i fornitori, ma anche per noi utilizzatori. Parto dal nostro punto di vista di utilizzatori: ciascuno di noi ha la responsabilità di meglio comprendere e capire quali sono le potenzialità e opportunità su come utilizzarli: ChatGpt, uno smart device, è necessario conoscere potenziali rischi e limitazioni. Se è un drone a cui viene applicata anche l’intelligenza artificiale, capire se utilizzarlo per fini di emergency management, quindi per aiutare la protezione civile in momenti di difficoltà, o se è usabile con finalità in ambito militare. L’AI può essere paragonata un po’ al fuoco. Può essere usata per tantissimi ambiti utili per noi esseri umani, ma anche potenzialmente comportare dei rischi e degli incidenti. Quindi, dobbiamo prestare attenzione su come utilizzare queste nuove tecnologie, e sta a noi, e non solo ai fornitori, utilizzarle con criteri morali ed etici. Invece tutte quelle aziende, che siano piccole, medie o anche grandi, che sono coinvolte nel processo per ideare, disegnare e sviluppare queste tecnologie, si trovano di fronte a una responsabilità importante: garantire che il potenziale utilizzo di questi strumenti possa limitare, per quanto possibile, un impatto o un utilizzo di tipo negativo.

Cosa intende per impatto negativo?

Un impatto che può avere delle conseguenze a livello sia economico che sociale, che crei ulteriormente disparità tra gruppi sociali già vulnerabili o discriminati. L’AI deve migliorare quella che è la qualità del nostro tempo e della nostra vita. Non solo dal punto di vista dell’efficienza operativa, ma anche darci la possibilità di velocizzare il lavoro per dedicare più tempo ad attività di valore, di creazione, o anche dedicare più tempo alla sfera personale, che in qualche modo ha sempre un risvolto positivo anche sulla società.

L’esercizio più difficile per il legislatore è disegnare, in un’ottica di responsabilità condivisa, una normativa che metta a fattor comune le esigenze di tutti. Questo, diciamo, è anche uno degli ostacoli più grandi a cui ci troviamo davanti oggi.

Facciamo riferimento a un sistema normativo incentrato sul principio di accountability. Come le imprese si assumono questa responsabilità e cercano di trattare dati e sicurezza delle persone?

Sicuramente le imprese, grazie anche all’introduzione di questi nuovi regolamenti, ma non solo, si trovano per la prima volta davanti a un tema: come integrare i principi etici, i requisiti di sicurezza o della privacy all’interno dei processi di sviluppo innovativo. Quindi, da un primo punto di vista, le aziende hanno la possibilità di accedere gratuitamente a fonti sia accademiche che governative, ma anche private, che possano fornire strumenti e basi di partenza da riutilizzare e replicare all’interno delle proprie strutture. Un primo passo, quindi, è fare leva su tutti gli anni di studio e di condivisione open source di questa grande comunità globale, che sta cercando di supportare la progressione tecnologica a livello mondiale. Dall’altro lato, quello che notiamo è la necessità di una collaborazione tra mondo privato e pubblico. La rete accademica si attiva costantemente per il trasferimento di competenze e la soluzione di problemi. La difficoltà più grande che oggi riscontrano le aziende è l’assenza di competenze a 360 gradi, tali da garantire il rispetto non solo dei requisiti tecnici e funzionali di business, ma anche di quelli etici. Serve avere, in questo processo, persone con nozioni giuridiche, tecnologiche e umanistiche. Talvolta, all’interno delle aziende, questa triade di competenze non si trova, e da qui nasce quello che può essere il ponte di collaborazione tra mondo privato e pubblico. A mio avviso è necessaria una call to action dello Stato affinché si inizino a creare sempre più centri di competenza o hub che possano supportarele aziende, nel comprendere meglio i requisiti normativi, le best practices e le tecnologie su cui far leva, che il governo stesso rende accessibili. Le aziende si stanno quindi muovendo: da un lato cogliendo ciò che il panorama mondiale e nazionale offre; dall’altro, sfruttando le competenze già presenti internamente, mettendo al tavolo una serie di attori. È la prima volta che vedo dialogare, non in antitesi ma in ottica di partnership, innovation officer e compliance officer come soci attivi in questo progresso. In ultimo, ma molto importante, rileviamo che le aziende si stanno concentrando per lavorare in un’ottica di compliance by design o responsible innovation: cercare, cioè, di integrare fin dall’inizio nel disegno delle nuove tecnologie, i requisiti normativi, nonché i principi e i valori etici dell’azienda stessa e della comunità, all’interno delle nuove progettualità.

Deloitte è partner nel progetto Microcyber, che vede capofila l’ENM, per la cyber security delle PMI. In termini più generali quali sono le linee di indirizzo create per la strategia di business? Qual è la terza fase?

La terza fase è quella di fare anche un’analisi dell’attuale conformità rispetto a queste normative e alle best practice, in modo tale da disegnare un piano di adeguamento, quindi una roadmap strategica che possa mettere a fattor comune quella che è la strategia già esistente, sia lato business che lato tecnologico, in particolare sulle necessità illustrate dall’AI Act sui fattori della sicurezza e della compliance stessa. In questo modo, guardando l’insieme del piano industriale delle aziende, si tengono in considerazione tutte le componenti: business, digitale, compliance e sicurezza. Da questo punto di vista, si parte chiaramente dalle persone, come dicevamo, e dalle competenze, per poi passare alla parte strategica. La strategia viene solitamente definita con un approccio che parte da un’analisi e comprensione di dove l’azienda si colloca oggi rispetto al modello target. Il modello target viene definito non solo sulla base delle leggi, ma anche prendendo in considerazione i peers di settore, quindi comprendendo come si stanno muovendo gli altri e quali best practice hanno adottato. Successivamente, si mettono in atto una serie di iniziative che possono avere un impatto sia a livello di governance, definendo modelli organizzativi e operativi che siano agili e capaci di integrare aspetti digitali, di sicurezza e di conformità in un unico tavolo, sia a livello pratico. Ad esempio, per quanto riguarda l’AI governance model, occorre definire i processi sottostanti: quali sono le macro-attività da svolgere, come le valutazioni preliminari sull’impatto della sicurezza, o sui diritti fondamentali dell’uomo legati all’introduzione di nuovi sistemi di AI, oppure la valutazione del rischio per ciascun caso d’uso. Infine, il terzo filone è quello tecnologico: Adottare tecnologie che possano promuovere lo sviluppo del business, ma anche sfruttare queste stesse tecnologie come l’intelligenza artificiale per tutelarsi ulteriormente dal punto di vista della cyber security, della privacy, dell’etica e della gestione del rischio. Questo perché l’AI non è solo un potenziale vettore di attacco, ma può anche essere un potente strumento di difesa. Quindi, migliorare e ottimizzare anche questo strato tecnologico rientra tra le iniziative previste a livello di piano strategico aziendale.

Con l’implementazione delle nuove tecnologie AI quanto oggi è esposta l’azienda ad un eventuale rischio? Quanto è alto il rischio e come si dovrà ripensare alla certificazione degli strumenti, tenendo conto che lì si gioca tutta la nuova partita?

I rischi purtroppo ci sono, e sono, direi, abbastanza alti. Perché i rischi sono alti? Perché intanto manca, ed è il motivo per cui l’AI Act ha posto come primo requisito di entrata in vigore al 2 febbraio, il concetto delle competenze. Ma non solo le competenze per sviluppare questi sistemi, bensì anche quelle per comprenderli e utilizzarli meglio. Ad oggi, il rischio non si presenta per molte imprese italiane tanto nella parte di sviluppo, quanto soprattutto nella parte di acquisto e utilizzo. Infatti, molte imprese, per velocizzare la propria partecipazione alla cosiddetta AI race, questa gara all’intelligenza artificiale, tendono ad acquistare prodotti già disponibili, senza sapere o analizzare bene quali possano essere alcune limitazioni o potenziali rischi legati all’utilizzo scorretto di questi sistemi. Faccio un esempio: dal punto di vista della sicurezza e della riservatezza del dato, può accadere che alcuni dipendenti carichino, quindi facciano un upload, di report sensibili dell’azienda all’interno di ChatGPT, ovvero nel modello pubblicamente disponibile, contenente dati sensibili. Lo fanno per chiedere a ChatGPT di fare una sintesi del report. La richiesta, dal punto di vista della macchina, è semplice, perché essendo un large language model, è ottimo per sintetizzare in pochi secondi un documento. Ma il rischio dove si concretizza? Nella condivisione di dati classificati come sensibili per l’azienda all’interno di server e infrastrutture appartenenti a un’altra azienda, esterna. Non sappiamo dove questi dati siano finiti, ma sappiamo che ora sono in pasto a OpenAI, in questo caso. Molte volte l’utente finale non è neanche consapevole di aver commesso un errore, ovvero un potenziale incidente di data breach. Ipotizziamo che in quei file non ci siano solo dati riservati di natura strategica aziendale, ma anche dati personali, magari perché si vuole fare un’analisi statistica su un elenco di potenziali clienti. Il rischio, oggi, è concreto, sia sotto il profilo della sicurezza che sotto quello della privacy. È anche per questo motivo che i regolamenti hanno escluso tutta una serie di casi d’uso, perché in altri Stati si sono già osservati effetti negativi: discriminazioni, violazioni della privacy e anche della dignità dell’essere umano, legati proprio all’utilizzo comune dell’AI da parte anche delle piccole e medie imprese. Il rischio, dunque, soggiace non solo nell’utilizzo scorretto dovuto all’inconsapevolezza degli utenti nel comprendere i potenziali pericoli, ma anche nella gestione del fornitore stesso. E questo è un altro tema rilevante, per il quale il tema della certificazione diventa centrale. I fornitori, o coloro che sviluppano sistemi di AI, devono poter fornire garanzie di aver sviluppato gli strumenti in conformità con i requisiti normativi e gli standard di best practice. Uno dei meccanismi per dimostrare la propria accountability e conformità normativa è proprio l’adozione di schemi di certificazione, come ad esempio la ISO 42001, per l’AI, oppure la ISO 27001, applicata a un prodotto AI. Questo non solo può rappresentare un vantaggio competitivo sul mercato rispetto ad altri fornitori, ma anche una garanzia nei confronti delle autorità, nel caso in cui venga effettuata un’ispezione. Un’altra possibilità di certificazione è quella di farsi rilasciare un attestato. Noi, ad esempio, come Deloitte, in qualità di società di revisione, abbiamo la possibilità di svolgere attività di auditing e quindi di verifica della conformità di questi sistemi, rilasciando un attestato di adeguatezza rispetto ai requisiti normativi e alle best practice. Questi sono i due livelli più alti di assurance e certificazione che oggi raccomandiamo alle società di adottare, affinché possano migliorare la propria dimostrazione di commitment verso un’innovazione responsabile. E tutto questo, naturalmente, ha un costo. Un costo che deve anche essere sostenibile.

In un mercato come quello italiano, dove esiste una forte presenza di piccole e piccolissime imprese, quante di queste, a Suo avviso, potranno realmente sopravvivere a questa ondata di innovazione? E quante, purtroppo, rischiano di soccombere sotto il peso della burocrazia e dei costi legati all’innovazione stessa?

Come auspicato anche nel report di Mario Draghi, il nostro obiettivo deve essere quello di promuovere e supportare al massimo le PMI, e non permettere che vengano schiacciate dalla burocrazia e dall’attuale panorama normativo. Per questo motivo è essenziale che il nostro Governo ponga come priorità assoluta proprio le PMI, che costituiscono praticamente l’intero tessuto economico nazionale. Dobbiamo garantire loro la disponibilità di strumenti, competenze, laboratori di ricerca o hub di innovazione, a un costo che sia sostenibile o, ove possibile, anche gratuito, sfruttando i fondi europei dedicati all’innovazione. Pensiamo, ad esempio, all’utilizzo delle regulatory sandbox, oppure a modelli che permettano economie di scala anche per le PMI. È proprio questo il tipo di approccio che il nostro Governo dovrebbe adottare nei loro confronti: mettere a disposizione tecnologie, strumenti e competenze, e dove non vi sia disponibilità interna, chiedere supporto al mondo privato, accademico o istituzionale. Siamo tutti qui con lo stesso obiettivo: promuovere l’innovazione del Paese. Serve quindi un dialogo aperto e continuo con le PMI, per raccogliere le loro esigenze reali, comprendere i nodi burocratici e normativi che sentono più pressanti, e riorganizzare processi e strumenti in modo da accompagnarle in maniera concreta e immediata verso i loro obiettivi. Occorre pensare non solo al medio-lungo periodo, ma agire ora, con una logica di quick win, per dare quella spinta iniziale che può generare fiducia sia da parte del governo che delle stesse imprese, stimolando il desiderio di continuare a innovare. Oggi, purtroppo, in Italia c’è ancora molta paura nel tentare di creare una startup o nel voler innovare, a causa dei processi lenti, della burocrazia, delle difficoltà. Il governo deve essere disposto ad ascoltare, comprendere dove stanno i blocchi e intervenire in modo flessibile. Anche attingendo a competenze esterne, se necessario, creando sinergie con le grandi imprese che, a loro volta, hanno una responsabilità nel sostenere il tessuto delle PMI italiane.