Cybercrime, aumentano i rischi per le aziende con l’Ia nascosta

C’è un volto nascosto dietro il cyber-trend del momento. Gli esperti la chiamano “shadow Ai”, una costola dello “shadow It”, ovvero l’utilizzo da parte dei dipendenti di servizi informatici non autorizzati dal comparto It dell’azienda. Non un tema nuovo per chi si occupa di cyber sicurezza, ma che con la diffusione dell’intelligenza artificiale si colora di nuove sfumature. E criticità.

In sostanza, il concetto di “AI nascosta” fa riferimento all’uso di servizi e soluzioni di intelligenza artificiale da parte dei lavoratori senza che l’azienda ne sia al corrente. Azioni il più delle volte fatte inconsapevolmente, ma che espongono i sistemi interni a non pochi rischi. Si va dai problemi normativi e di conformità – le applicazioni Ia usate potrebbero violare le normative in materia di Gdpr per esempio –, alla diffusione di informazioni riservate – come la condivisione inconsapevole di IP o dati sensibili a modelli di Ia non sicuri (si ricordi per esempio, a inizio di quest’anno, la fuga di dati di Chat Gpt). Fino ad arrivare a rischi strutturali: l’incapacità dei team It di valutare correttamente i pericoli e prendere le misure necessarie per mitigare i rischi e le probabilità di un attacco informatico.

Aspetti che le aziende non possono permettersi di sottovalutare, soprattutto dal momento che i dipendenti continueranno ad accedere alle piattaforme di Ia generativa o ai modelli linguistici di grandi dimensioni – come ChatGpt – per portare avanti le attività quotidiane. «Si tratta di qualcosa che abbiamo già visto in passato, 10-15 anni fa, quando le aziende iniziavano a dotarsi di strumenti per il passaggio dell’infrastruttura in cloud e a utilizzare i propri dispositivi per lavorare». A parlare è Ross McKerchar, chief information security officer di Sophos, azienda di sicurezza informatica. «Si parlava dei rischi che correvano i team che volevano spostare l’infrastruttura nel cloud o i dirigenti che volevano leggere la posta elettronica sull’IPad. Eppure le aziende lo facevano comunque. Il mondo è andato avanti e i team di sicurezza hanno faticato molto a mettersi al passo con questa tendenza e ancora oggi stiamo giocando al recupero. Si può essere scettici sulle tempistiche con cui si svilupperà la “shadow Ai”, ma non si può negare che esista».

Anche perché i ritmi dell’utilizzo dell’intelligenza artificiale sono impressionanti. Se ad oggi nel mondo ci sono 250 milioni di utilizzatori, in tre anni duplicheranno, per arrivare nel 2029 a un miliardo. Nel 2034, le stime parlano di 5 miliardi. «È un fenomeno la cui diffusione è ben più elevata in termini di rapidità rispetto ad altri eventi a cui abbiamo assistito come gli smartphone e il web, che hanno impiegato rispettivamente 16 e 23 anni per arrivare al miliardo di utilizzatori – spiega Michele Lamartina, vicepresidente per Italia, Grecia, Cipro e Malta di Palo Alto Networks, che ha elaborato le stime –. L’Ia in sette anni – e secondo noi è una previsione conservativa – arriverà al miliardo di utenti. Basta pensare a quanti di noi per lavoro, o anche per gioco, utilizzano Chat Gpt. Da una parte è vero che l’Ia sta creando enormi opportunità di business – e non a caso alcune aziende hanno creato dei dipartimenti ad hoc per studiare e sviluppare dei propri algoritmi –, ma può anche costituire un enorme rischio».

Chat Gpt aziendale

Secondo le stime di Palo Alto Networks, il 57% dei dipendenti usa applicazioni di Ia generativa settimanalmente. Una percentuale che mette le imprese sull’attenti, ma che sta impattando anche sui servizi forniti dalle compagnie di cybersecurity, che stanno orientando in questo senso i loro prodotti. «Abbiamo già iniziato a vedere molti fornitori che offrono propri modelli di Ia, in modo da dare ai clienti un’alternativa controllabile dall’It aziendale», racconta Menachem Shafran, senior vicepresidente Strategy and Innovation di Xm Cyber. «Ciò che ritengo più impegnativo è come rendere sicuri questi modelli. Quali sono i rischi? Potrebbero esserci fughe di dati? Qualcuno potrebbe creare dei codici all’interno del sistema? Dietro alla risposta data da Chat Gpt c’è un intero software, c’è un’applicazione front-end, ci sono database, tutte queste hanno bisogno di sicurezza. Come si fa a proteggere i modelli di intelligenza artificiale che stiamo costruendo? Credo che ci siano ancora molte incognite che il settore dovrà imparare e scoprire».