Con ChatGPT ora nuovamente attivo anche in Italia, dopo il primo blocco del Garante per la Protezione dei Dati Personali (legato alla rilevazione di una raccolta illecita di dati personali da parte del sistema do OpenAI, e alla mancanza di strumenti di tutela verso gli utenti minorenni), l’Intelligenza Artificiale (AI) è ancora il tema del momento, sempre più presente nella nostra società, nell’informazione di massa, nella nostra quotidianità e nella nostra economia. E non c’è bisogno di virare in direzione di timori apocalittici, tipici del cinema fantascientifico, per riconoscere che, quando si parla di AI, sicurezza e cybersecurity devono occupare un ruolo di rilievo.
L’AI è stata spesso esaminata in rapporto alla cybersecurity. Già nel 2021, nel rapporto “Securing Machine Learning Algorithms”, venivano individuate sostanzialmente tre tematiche:
- la cybersecurity dell’AI, che si focalizza sulle vulnerabilità dei modelli e degli algoritmi dell’intelligenza artificiale;
- l’utilizzo dell’AI come strumento a supporto di sistemi di cybersecurity avanzata, o come mezzo per far fronte alla criminalità informatica;
- l’utilizzo malevolo dell’AI quale strumento per la creazione di attacchi informatici
Nella sua pubblicazione più recente sul tema, Cybersecurity of AI and Sandardisation di marzo 2023, l’ENISA è tornata sul primo punto, concentrandosi su pregi e problematiche degli standard che stanno approcciando la sicurezza informatica dell’AI, e proponendo alcuni interessanti spunti sull’importanza dell’affidabilità.
Indice
Cosa si intende per intelligenza artificiale?
Innanzitutto, è impensabile parlare di cybersecurity dell’AI senza circoscrivere l’argomento, senza avere almeno una generica comprensione dell’AI stessa. Purtroppo, uno dei primi ostacoli è proprio individuare una definizione condivisa di intelligenza artificiale. Da quando Alan Turing, negli anni ’50, presentava alla comunità scientifica l’omonimo Test quale metodo per verificare l’intelligenza di una macchina, fino ad oggi in cui la scena è dominata dalle applicazioni della c.d. AI generativa, il concetto di Intelligenza Artificiale è sempre stato in evoluzione e caratterizzato da un vivo dibattito. Anche la Commissione Europea, nella proposta di Regolamento sull’Intelligenza Artificiale, ha dovuto ricorrere a una definizione “ampia”, guardando a un insieme di diversi sistemi e diversi approcci.
“sistema di intelligenza artificiale” (sistema di IA): un software […] che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono.
[vedi anche 11 norme UE per la sovranità digitale: testi in vigore e novità future]
Ad ogni modo, parlando di cybersecurity all’interno di questa definizione ampia di AI, il contesto più rilevante riguarda certamente i software sviluppati tramite tecniche di apprendimento automatico (o Machine Learning).
L’importanza di comprendere gli errori dell’AI
I sistemi di Machine Learning hanno a che fare con la costruzione di modelli decisionali o modelli predittivi, la cui qualità è rappresentata da due indicatori fondamentali: precisione e sensibilità.
Ragioniamo su un antifurto. Un antifurto molto sensibile suona tutte le volte che c’è un ladro in casa; non si perde mai un ladro, ma (se è poco preciso) potrebbe sbagliarsi e attivarsi anche al passaggio di un semplice cane o di un gatto. Al contrario, un antifurto molto preciso, non si attiva mai al passaggio di un cane o di un gatto, perché se si attiva, significa che c’è un ladro in casa; tuttavia (se è poco sensibile) il ladro potrebbe entrare in casa senza farlo scattare.
Il 100% di precisione e sensibilità è un ideale irraggiungibile per i sistemi di Machine Learning. Spesso, all’aumentare dell’uno diminuisce l’altro, e occorre trovare un giusto compromesso. Questa peculiarità fa sì, in parole povere, che i sistemi di AI possano sbagliare le loro previsioni o fornire output errati. Bisogna prenderne atto. Ma cosa comporta, questo, in termini di gestione della sicurezza?
La possibilità di errore dei sistemi di Machine Learning impone che gli algoritmi su cui si basano, debbano poter essere spiegabili. Le decisioni assunte dall’AI (corrette o errate) devono poter essere comprese da un essere umano. In primis, da chi si occupa direttamente dello sviluppo della tecnologia, per esser poi spiegate anche all’utente finale. Ricordiamo tra l’altro che – non è un caso – per i trattamenti di dati personali basati su processi decisionali automatizzati, c’è l’obbligo di fornire informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato (art. 13 par. 2 lett. f GDPR).
L’obiettivo non è solo la trasparenza, ma il controllo stesso sul funzionamento del modello. I modelli di Machine Learning sono strettamente legati al mondo dei Big Data. Controllare manualmente le enormi quantità di dati è impossibile. Diventa necessario attuare procedure automatizzate di tracciabilità, per assicurarsi che i dati e i modelli utilizzati per la loro elaborazione siano corretti, non siano alterati, o non siano stati deliberatamente o involontariamente etichettati in modo errato.
Come si declina la cybersecurity applicata all’AI?
La protezione dei componenti, dei dati e dei processi legati al funzionamento di un sistema di AI durante il suo ciclo di vita, orientata alla salvaguardia della loro Riservatezza, Integrità e Disponibilità, resta certamente utile. I modelli di intelligenza artificiale sono software, pertanto le misure di sicurezza adatte ai software possono essere estese anche all’AI. E’ altresì vero che occorre fare i conti con alcuni attacchi e vulnerabilità specifiche dell’AI, direttamente connesse alle tre dimensioni classiche della sicurezza delle informazioni. Ecco qualche esempio:
Oracle: l’attaccante esplora il modello fornendo input accuratamente realizzati per osservare gli output, e preparare attacchi più dannosi. Si viola la riservatezza facendo “parlare” il modello per poi comprometterlo o estrarre informazioni (es. sui dati di addestramento).
Model Disclosure: violazione di riservatezza legata a una fuga di informazioni sul modello di Machine Learning.
Evasion: attacco informatico che può provocare una violazione dell’integrità del sistema. Attraverso gli input dell’algoritmo di ML, l’attaccante individua anomalie degli output che possono portare, ad esempio, a errori di decisione. È come se l’attaccante creasse un’illusione ottica per l’algoritmo.
Poisoning: violazione dell’integrità del sistema in cui l’attaccante altera i dati o i modelli per modificare il comportamento o le decisioni dell’AI in una direzione prescelta.
Denial of Service: l’interruzione del servizio può essere veicolata tramite l’utilizzo di dati di input specificamente progettati per risultare non leggibili dal sistema di AI, o per appesantirne il tempo di calcolo.
Tuttavia, quando si affronta il tema della cybersecurity in ambito di AI, bisogna valutare la possibilità di ampliare il paradigma “tradizionale” adottato per i software.
Il rapporto tra cybersecurity e affidabilità in un sistema AI
Si tende oggi a ritenere che la cybersecurity dell’AI possa essere supportata da un’attenzione dedicata al criterio di affidabilità del sistema. Ci si riferisce ad elementi come qualità, tracciabilità e accuratezza dei dati. Attività di supervisione continua del sistema. Caratteristiche di solidità, spiegabilità, trasparenza del modello, ecc.
Nel funzionamento dei sistemi basati su AI, infatti, sicurezza e affidabilità trovano facilmente delle aree di sovrapposizione.
Pensiamo al comportamento anomalo di un sistema di AI… Un assistente virtuale che fraintende le nostre domande o un chatbot che risponde in maniera errata ai nostri quesiti. Per la gestione della sicurezza di questi sistemi, sarà importante essere in grado di discriminare tra “difetti” generici del modello (legati alla complessità delle interazioni con l’utente) e problematiche specifiche causate da attacchi informatici mirati. Un altro esempio riguarda i processi a tutela della qualità dei dati di addestramento dell’AI. Se ben implementati, saranno funzionali sia per il corretto funzionamento del nostro assistente virtuale, sia per prevenire attacchi informatici (es. Poisoning) allo stesso.
In sintesi, la cybersecurity può essere considerata funzionale all’affidabilità dell’intelligenza artificiale. E, viceversa, l’attenzione alla affidabilità di un sistema di AI è fondamentale per garantire la cybersecurity.
