“Il primo requisito per garantire la sicurezza è sapere cosa fa l’Intelligenza artificiale (IA) e di conseguenza essere in grado di mettere sotto controllo la capacità di manipolarla”, sostiene Alessandro Curioni, Presidente di DI.GI. Academy, società specializzata in consulenza e formazione in tema di cybersecurity e docente in materia all’Università Cattolica di Milano, che ha portato una serie di esempi fra i quali il caso Tay, chatbot AI che nel giro di poche ha pubblicato più di 95mila tweet, evidentemente razzisti, misogini e antisemiti, e il caso Compas, un algoritmo intelligente che valutava la possibilità di recidiva di un imputato che è poi risultato discriminare determinati soggetti a favore di altri. Gli algoritmi non hanno fatto altro che registrare ed essere influenzati da pregiudizi di persone o gruppi. “Chi manipola chi?”, è la domanda che si fa Curioni che evidenzia, citando Judeas Pearl: “L’intelligenza umana e quella artificiale differiscono soprattutto nella capacità di porre domande e trovare risposte”.
Curioni è intervenuto al Security Summit 2021, che si è svolto qualche settimana fa, all’interno della tavola rotonda “Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni”, che è stata l’occasione per presentare il libro della Clusit Community for Security, “Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni”.
Il problema di fondo è che non esiste un’unica definizione di intelligenza universalmente accettata ma esistono tante tipologie di intelligenza in dipendenza dall’ambito, secondo Andrea Loreggia, Research Associate presso lo European University Institute dove studia metodi computabili per automatizzare processi decisionali in ambito normativo nel progetto europeo ERC CompuLaw.
La prima distinzione va fatta fra Narrow IA che ha la capacità di svolgere attività in domini ben definiti con prestazioni superiori a quelle umane e la General IA, capace di svolgere compiti con performance superiori a quelle umane in qualsiasi scenario, ambiente, dominio. Mentre per la prima IA ci sono molti esempi funzionanti, la seconda IA è considerata unrealistic da HLEG, il gruppo di esperti della Comunità Europea.
È innegabile che, nonostante algoritmi e formalismi, fossero disponibili da quarant’anni la loro potenzialità reale esplode oggi grazie al crescente potere computazionale, hardware dedicato e una grandissima disponibilità di dati.
“Ci sono però due punti di attenzione”, avverte Loreggia, facendo riferimento sia al nostro utilizzo di termini antropici (ragionamento, apprendimento…) per una tecnologia che non ha ancora termini propri sia all’assenza, per la macchina, di “significato” di qualunque azione o processo svolti. “Siamo noi a dare significato, non c’è comprensione da parte del sistema”.
Restano inoltre grandi limiti per l’IA come la comprensione del linguaggio, il ragionamento, la capacità di astrazione, di imparare da pochi esempi, di combinare apprendimento e ragionamento. Fanno infine discutere alcune problematiche etiche come i bias, il loro comportarsi da blackbox e il rischio di adversarial attack che di seguito approfondiremo.
Nuove regole per una nuova categoria di macchine probabilistiche
Loreggia descrive due framework proposti da reti neurali: un generatore che prende in input le informazioni, creato per “imbrogliare”; un discriminatore che deve riconoscere se l’input è fasullo o reale. Il primo risulta particolarmente accurato ed efficiente così che diventa difficile “capire” per il discriminatore se il contenuto è reale e credibile. Questo esempio ci fa capire quali rischi, con conseguenze nel mondo reale, possano correre sistemi totalmente basati su IA.
Un caso tipico di adversarial attack riguarda un veicolo semiautonomo dove, ad esempio, una strada ingombra di pedoni, grazie alla sovrapposizione da parte del generatore di un particolare “rumore”, genera un’immagine indistinguibile all’occhio umano, ma che il sistema “vede” come una strada sgombra.
È immaginabile una nuova generazione di attacchi hacker costruiti per “saltare” una serie di dispositivi di sicurezza e per generare data poisoning con l’obiettivo di mettere in atto comportamenti scorretti o generare fake news. Una truffa (poi sventata) è quella dove cybercriminali hanno cercato di indurre il dipendente di un’azienda a trasferire di 240mila dollari per un problema urgente accaduto al CEO, simulando al telefono la sua voce, generata in modo artificiale.
A prescindere dalle azioni di cybercriminali, l’IA richiede nuove regole perché le nostre regole sono fatte per un mondo dove le macchine basate su IA non esistevano. Lo sostiene Stefano Quintarelli, imprenditore seriale, già professore di sistemi informativi, servizi di rete e sicurezza, oltre che ex-deputato: “Usiamo terminologie antropiche, di fatto metafore per definire qualcosa che non sappiamo descrivere – conferma – La stessa intelligenza artificiale è una metafora”. Rende possibile però un ambito di applicazioni che prima non erano possibili, attraverso un passaggio importante che vede la fine delle macchine deterministiche. “Una macchina fa previsioni discordanti pur non essendo una macchina difettosa – precisa – Ci si pone allora la scelta se utilizzare dispositivi che migliorano significativamente la situazione preesistente anche se un singolo device può causare danni a qualcuno”. È il caso dei veicoli a guida autonoma che possono ridurre complessivamente gli incidenti, ma possono anche causarne qualcuno. “Al momento non è una buona idea di sperimentare la guida autonoma con auto che girano da sole nei centri città”, suggerisce Quintarelli, visto che si può manipolare l’ambiente o la percezione degli attacchi, come precedentemente evidenziato. Come pure non è una buona idea quella di un aereo guidato solamente da un sistema artificiale, che non sa niente della situazione ma si limita a fare correlazioni fra numeri. Servirebbero almeno tre sistemi diversi: se la previsione è discordante deve esserci alla fine un “human in the loop”. Stesso ragionamento può vale per la sicurezza aziendale o di un’infrastruttura critica gestita totalmente da sistemi AI.
“Servirebbe una redress by design [“riparazione” by design ndr], capace di rilevare le predizioni errate e mitigarne gli effetti in caso di impatto forte; vanno formate le persone per capire, partendo dalla consapevolezza che non è vero che i computer non fanno errori”, propone Quintarelli.
Servono dunque nuove regole. E una nuova governance come sostiene Loreggia che ricorda le iniziative in campo, anche a livello istituzionale UE, per la costituzione di un ecosistema capace di creare e generare metodi che migliorino la governance, la progettazione e chi definisce le regole del gioco.
Anche Curioni, sostiene la necessità di un approccio olistico ma a partire da regole anche morali, rispetto alla capacità di quello che un nostro prodotto può fare.
