La protezione dei dati nell'era dell'IA: cosa devono sapere le aziende adesso

Non c'è dubbio che il boom dell'IA sia destinato a rimanere. La sola ChatGPT conta oggi 400 milioni di utenti in tutto il mondo ogni settimana. Secondo il venture capitalist Menlo Ventures, l'anno scorso le aziende hanno speso 13,8 miliardi di dollari in questi strumenti. Nel 2023, la cifra sarà di 2,3 miliardi. Ciò corrisponde a una crescita del 500%.

E anche se gli aumenti di produttività non hanno ancora raggiunto il livello sperato, le aziende sembrano soddisfatte delle loro iniziative di IA: secondo la società di consulenza Deloitte, il 74% delle organizzazioni intervistate ritiene di aver raggiunto o superato i propri obiettivi. Il 78% intende aumentare la spesa quest'anno.

Il motivo di questo forte interesse è semplice: gli strumenti di IA possono velocizzare molte attività quotidiane. Anche in grandi quantità di dati, ad esempio, possono trovare i fatti e le cifre desiderate in pochi secondi. Possono confrontare e sintetizzare le informazioni. E infine, ma non meno importante, creano contenuti di ogni tipo, che si tratti di una bozza per un'e-mail o di un'illustrazione per una presentazione.

Nonostante l'entusiasmo per gli aiutanti digitali, c'è una domanda importante: che ne è della protezione dei dati nel nuovo mondo dell'IA?

In poche parole, la risposta è: non va bene. Le aziende che operano in settori particolarmente regolamentati, come quello finanziario, devono essere consapevoli di diverse aree problematiche.

‍

Premessa: il quadro normativo

Quando utilizzano l'IA, le aziende si trovano a operare in un contesto normativo complesso. Due normative sono particolarmente rilevanti in questo Paese: la relativamente nuova legge europea sull'IA e il già noto Regolamento generale sulla protezione dei dati (GDPR) e la sua controparte svizzera, la Legge sulla protezione dei dati (LPD).

L'obiettivo della legge europea sull'IA è garantire la sicurezza, la trasparenza e l'affidabilità dei sistemi di IA. Ciò è rivolto principalmente ai fornitori di questi servizi, ma non solo: anche gli utenti dell'IA hanno degli obblighi. Ciò è particolarmente vero quando si tratta della cosiddetta IA ad alto rischio, come ad esempio per i compiti del dipartimento HR o per la concessione di prestiti. L 'allegato III della legge europea sull'IA elenca esattamente le applicazioni che rientrano in questa categoria.

Secondo l'articolo 26, le aziende e le istituzioni devono, tra l'altro:

• garantire il corretto utilizzo dei sistemi,
• Verificare la qualità e la pertinenza dei dati inseriti,
• e rendere trasparente alle persone interessate il coinvolgimento dell'IA.

Il GDPR e il DPA, d'altra parte, riguardano essenzialmente il trattamento dei dati personali, e anche questo aspetto è molto rilevante quando si utilizza l'IA.

Alcuni punti chiave:

• Limitazione delle finalità: I dati possono essere trattati solo per lo scopo previsto.
• Minimizzazione dei dati: può essere trattato solo ciò che è assolutamente necessario.
• Base giuridica: ogni trattamento dei dati richiede una base giuridica, come il consenso o un interesse legittimo.

Per maggiori dettagli, si vedano gli articoli 5 e 6 del GDPR e l'articolo 6 del DPA.

In tutto questo, le aziende e le organizzazioni non devono solo assicurarsi di essere conformi a queste normative, ma anche che i fornitori di servizi che incaricano lo facciano. I fornitori statunitensi rappresentano quindi regolarmente un problema, poiché in America la protezione dei dati è gestita in modo diverso rispetto all'Europa. Gli accordi tra l'UE e gli USA per risolvere questo problema sono falliti più volte in tribunale. L'ultima versione, denominata Data Privacy Framework, è vista in una luce altrettanto critica.

I fornitori europei sono la scelta migliore da questo punto di vista. Nel settore dell'intelligenza artificiale, ad esempio, si tratta della società francese Mistral. Ma anche in questo caso, il trasferimento dei dati deve ovviamente rispettare le linee guida sopra citate.

‍

Rischi e soluzioni pratiche

Alla luce di questo quadro normativo, è altamente problematico, ad esempio, caricare dati personali su un servizio come ChatGPT senza trattarli adeguatamente. Ma le organizzazioni devono prestare attenzione anche ad altri aspetti.

Di seguito, esaminiamo più da vicino due rischi chiave e le possibili soluzioni:

‍

Violazioni accidentali da parte dei dipendenti

In molte aziende, i dipendenti utilizzano strumenti basati sull'intelligenza artificiale per lavorare in modo più efficiente. È importante sensibilizzare l'opinione pubblica sul tema della protezione dei dati. In caso contrario, è facile che informazioni interne, dati riservati dei clienti o addirittura segreti aziendali finiscano in un sistema di IA.

Fornitori come OpenAI promettono ai loro clienti paganti che le loro chat non saranno utilizzate per addestrare modelli futuri. Le informazioni caricate in questo modo non dovrebbero quindi diventare improvvisamente parte della "conoscenza del mondo" di un'IA come ChatGPT. Ma anche se questo fosse vero, è irrilevante dal punto di vista della legge sulla protezione dei dati: il semplice trasferimento di queste informazioni in questa forma potrebbe già essere illegale.

Per questo motivo le organizzazioni hanno bisogno di linee guida chiare sull'IA che regolino chiaramente l'uso di questi strumenti. È inoltre essenziale una formazione adeguata.

‍

La fame di dati degli strumenti di IA

Un altro rischio è che i dati aziendali sensibili possano essere trovati involontariamente. Ciò può essere provocato da condivisioni di documenti non correttamente configurate o da posizioni di archiviazione dei file non protette.

Questo non è immediatamente visibile nella vita di tutti i giorni. I motori di ricerca come Google, ad esempio, rispettano volontariamente le specifiche degli operatori dei siti web su ciò che possono o non possono registrare. Ciò è regolato, tra l'altro, da un file chiamato robots.txt.

Tuttavia, la situazione è diversa per i fornitori di IA. La loro fame di dati è incommensurabile, poiché è il fondamento della loro attività. I loro strumenti imparano le loro abilità e conoscenze solo grazie a enormi quantità di dati. Un esempio è il progetto "Common Crawl", che effettua regolarmente il crawling di miliardi di siti web.

E si scopre che: Nella corsa alla supremazia nel caldo mercato dell'intelligenza artificiale, le restrizioni di arobots.txt vengono ignorate.

È quindi più importante che mai prestare attenzione a come i documenti vengono archiviati e resi disponibili. È qui che soluzioni come quelle di DSwiss possono aiutare: Grazie alla crittografia e al controllo degli accessi, i documenti sensibili rimangono protetti anche se un luogo di archiviazione è tecnicamente accessibile. A differenza delle cartelle cloud accessibili pubblicamente, questi sistemi possono essere aperti solo tramite condivisioni autorizzate. Sono semplicemente invisibili ai web crawler. In questo modo si evita che le informazioni riservate finiscano involontariamente in grandi set di dati di formazione.

‍

Punti di forza

In definitiva, resta da dire: La protezione proattiva dei dati è già un must, ma diventerà ancora più urgente nell'era dell'intelligenza artificiale. Un motivo: i sistemi di intelligenza artificiale non dimenticano nulla. Una volta che si sono introdotti in essi, è quasi impossibile recuperarli. Per questo è ancora più importante agire subito, prima che una piccola negligenza finisca per causare gravi problemi.