Cognitive cybersecurity

Diritti della personalità ed evoluzione normativa, il regolamento Europeo in materia di Intelligenza Artificiale.

Giuseppe Serafini Giuseppe Serafini

in: Il parere del legale.

argomenti trattati: .

A una prima approssimazione, per le finalità proprie di questo approfondimento, possiamo definire il concetto di Cognitive Cybersecurity riferendoci all’applicazione delle tecnologie e dei metodi delle scienze cognitive, tra le quali il cognitive computing, alla protezione dello spazio cibernetico, inteso come l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati e utenti, e delle loro relazioni logiche.

Il cyberspazio dunque, che comprende, internet, le reti di comunicazione, i sistemi su cui poggiano i processi informatici di elaborazione dati e le apparecchiature mobili dotate di connessioni di rete, costituisce un dominio autonomo, il quinto dominio militare dopo acqua, terra, aria, spazio, di importanza strategica per lo sviluppo economico, sociale e culturale delle nazioni, all’interno del quale è indispensabile riequilibrare il rapporto tra Stato e individuo, tra esigenze di sicurezza nazionale e di ordine pubblico, da un lato, e libertà individuali, dall’altro.

Si pensi, per esempio, come un ininterrotto monitoraggio tecnico delle funzionalità delle reti e la protezione dei dati che vi transitano siano essenziale presupposto per il pieno godimento del diritto alla privacy e all’integrità dei sistemi, oppure, sempre per fare un esempio, come possa essere complesso ricercare il giusto equilibrio tra il diritto alla privacy e la necessaria azione di contrasto a crimini come l’uso della rete per lo scambio di materiale pedopornografico, lo spaccio di stupefacenti, l’incitamento all’odio o la pianificazione di atti di terrorismo, il furto di proprietà intellettuale.

Il ruolo dell’intelligenza artificiale e la proposta europea

In questo contesto, che intuitivamente si caratterizza per la sua straordinaria complessità, ove le minacce possono originare da qualsiasi punto della rete globale e spesso colpiscono gli anelli più deboli della catena, sono state sviluppate, come accennato, nell’ambito del c.d. cognitive computing, logiche algoritmiche, riferibili all’area della c.d. intelligenza artificiale, in grado di applicare modelli computazionali basati sull’apprendimento automatico per prevenire il verificarsi di minacce cibernetiche.

In effetti, l’intelligenza artificiale che consiste in una famiglia di tecnologie in rapida evoluzione può contribuire al conseguimento di un’ampia gamma di benefici a livello economico e sociale nell’intero spettro delle attività industriali e sociali. In particolare, l’uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale e ambientale, per esempio in materia di assistenza sanitaria, agricoltura, istruzione e formazione, gestione delle infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza dal punto di vista energetico e delle risorse, mitigazione dei cambiamenti climatici e adattamento ad essi.

Da un punto di vista normativo, proprio per definire gli ambiti di utilizzo di tecnologie di IA è stata recentemente presentata dalla Commissione Europe, una significativa proposta di Regolamento che stabilisce regole armonizzate sull'intelligenza artificiale (Legge sull'intelligenza artificiale).

La proposta di Regolamento stabilisce: a) regole armonizzate per l'immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale (“sistemi di IA”) nell'Unione; b) il divieto di determinate pratiche di intelligenza artificiale; c) requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi; e) regole di trasparenza armonizzate per i sistemi di IA destinati a interagire con le persone fisiche, i sistemi di riconoscimento delle emozioni, i sistemi di categorizzazione biometrica e i sistemi di IA utilizzati per generare o manipolare immagini o contenuti audio o video; e) regole in materia di monitoraggio e vigilanza del mercato.

Per quanto qui ci occupa, sembra però importante osservare come già nel considerando n.15 della proposta di regolamento, si specifichi come l’intelligenza artificiale presenta, accanto a molti utilizzi benefici, la possibilità di essere utilizzata impropriamente e di fornire strumenti nuovi e potenti per pratiche di manipolazione, sfruttamento e controllo sociale che dovranno essere vietate, poiché contraddicono i valori dell’Unione Europea relativi al rispetto della dignità umana, della libertà, dell’uguaglianza, della democrazia e dello Stato di diritto e dei diritti fondamentali dell'Unione, compresi il diritto alla non discriminazione, alla protezione dei dati e della vita privata e i diritti dei minori.

Cosa è vietato

Più specificamente, si è ritenuto opportuno vietare l’immissione sul mercato, la messa in servizio o l’uso di determinati sistemi di IA intesi a distorcere il comportamento umano e che possono provocare danni fisici o psicologici, basati su componenti subliminali che i singoli individui non sono in grado di percepire, o che sfruttano le vulnerabilità di bambini e persone, dovute all'età o a incapacità fisiche o mentali, parimenti vietati sono i sistemi di IA che forniscono un punteggio sociale delle persone fisiche per finalità generali delle autorità pubbliche o di loro rappresentanti poichè possono portare a risultati discriminatori e all'esclusione di determinati gruppi, possono inoltre ledere il diritto alla dignità e alla non discriminazione e i valori di uguaglianza e giustizia.

Considerazioni specifiche devono essere svolte anche in relazione all’uso di sistemi di IA di identificazione biometrica remota ‘in tempo reale’ delle persone fisiche in spazi accessibili al pubblico a fini di attività di contrasto che risulta molto invasivo dei diritti e delle libertà delle persone interessate, nella misura in cui potrebbe avere ripercussioni sulla vita privata di un'ampia fetta della popolazione, farla sentire costantemente sotto sorveglianza e scoraggiare in maniera indiretta l'esercizio della libertà di riunione e di altri diritti fondamentali.

In particolare, l’uso di tali sistemi a fini di attività di contrasto dovrebbe pertanto essere vietato, eccezion fatta per tre situazioni elencate in modo esaustivo e definite rigorosamente, nelle quali l’uso è strettamente necessario per perseguire un interesse pubblico rilevante, la cui importanza prevale sui rischi.

Tali situazioni comprendono la ricerca di potenziali vittime di reato, compresi i minori scomparsi, determinate minacce per la vita o l'incolumità fisica delle persone fisiche o un attacco terroristico nonché il rilevamento, la localizzazione e l'identificazione degli autori o dei sospettati di reati di cui nella decisione quadro 2002/584/GAI del Consiglio.

Cybersicurezza fondamentale

Chiarito ciò che precede, appare evidente come la cybersicurezza svolga un ruolo cruciale nel garantire che i sistemi di IA siano resilienti ai tentativi compiuti da terzi con intenzioni malevole che, sfruttando le vulnerabilità del sistema, vogliano alterarne l’uso, il comportamento, le prestazioni o a comprometterne le proprietà di sicurezza.

In effetti, gli attacchi informatici contro i sistemi di IA possono far leva sulle risorse specifiche dell’IA, quali i set di dati di addestramento (per esempio avvelenamento dei dati o data poisoning) o i modelli addestrati (per esempio attacchi antagonisti o adversarial attacks), o sfruttare le vulnerabilità delle risorse digitali del sistema di IA o dell'infrastruttura ICT sottostante.

Al fine di garantire un livello di cybersicurezza adeguato ai rischi, sarà quindi opportuno che i fornitori di sistemi di IA ad alto rischio adottino misure adeguate, anche tenendo debitamente conto dell'infrastruttura ICT sottostante.

NEL PROSSIMO ARTICOLO

Muovendo dalla definizione di intelligenza artificiale contenuta nella proposta di regolamento se ne individueranno i tratti caratterizzanti e i rischi per i diritti e le libertà fondamentali degli individui.


Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 196

Officelayout

Progettare arredare gestire lo spazio ufficio
Gennaio-Marzo
N. 196

Abbonati
Innovazione.PA n. 53

innovazione.PA

La Pubblica Amministrazione digitale
Gennaio-Febbraio
N. 53

Abbonati
Executive.IT n.1 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Gennaio-Febbraio
N. 1

Abbonati