L’ENISA ha pubblicato un rapporto che affronta gli standard di cybersicurezza per l’intelligenza artificiale e la loro importanza per garantire la conformità con l’imminente legge europea sull’intelligenza artificiale.
La crescente importanza dell’intelligenza artificiale (IA) in vari settori industriali ha reso necessaria la definizione di standard completi per la sicurezza informatica. In questo contesto, l’ENISA ha pubblicato un report che analizza gli standard esistenti e in fase di studio e pianificati relativi alla cybersicurezza dell’intelligenza artificiale, la loro copertura e identifica le lacune nella standardizzazione. Inoltre, esamina le specificità dell’IA, in particolare dell’apprendimento automatico, e adotta una visione ampia della cybersecurity per includere il tradizionale paradigma di riservatezza-integrità-disponibilità e il concetto più ampio di affidabilità dell’IA, anche nella prospettiva dell’attuale bozza della legge europea sull’IA.
Il panorama della standardizzazione nella cybersicurezza dell’intelligenza artificiale
Il panorama della standardizzazione per la cybersecurity dell’intelligenza artificiale è guidato principalmente dalle organizzazioni di sviluppo degli standard (SDO), preoccupate per l’insufficiente conoscenza dell’applicazione delle tecniche esistenti per contrastare le minacce e le vulnerabilità derivanti dall’IA. Questa preoccupazione porta allo sviluppo continuo di report, linee guida e standard ad hoc.
A questo proposito, gli standard tecnici e organizzativi generali esistenti, come ISO-IEC 27001 e ISO-IEC 9001, possono mitigare alcuni rischi informatici legati all’intelligenza artificiale con indicazioni specifiche sulla loro applicazione in un contesto di IA. La logica è che l’IA è fondamentalmente un software, il che consente di trasporre le misure di sicurezza del software all’ambito dell’IA.
Tuttavia, questo approccio non è esaustivo e presenta dei limiti. Ad esempio, l’intelligenza artificiale comprende elementi tecnici e organizzativi che vanno oltre il software, come l’hardware o l’infrastruttura. Inoltre, la determinazione delle misure di sicurezza appropriate si basa su un’analisi specifica del sistema e alcuni aspetti della sicurezza informatica sono ancora in fase di ricerca e sviluppo, il che li rende non abbastanza maturi per una standardizzazione esaustiva. Inoltre, gli standard esistenti potrebbero non affrontare aspetti specifici come la tracciabilità, la discendenza dei dati e dei componenti dell’intelligenza artificiale o le metriche di robustezza.
Secondo l’ENISA, esiste un’interdipendenza tra la sicurezza informatica e l’affidabilità dell’IA. Per questo motivo, il rapporto sottolinea la necessità di garantire che l’affidabilità non venga gestita separatamente nell’ambito di iniziative di standardizzazione specifiche per l’IA e per la cybersicurezza, in particolare in aree come la valutazione della conformità.
Rilevanza della cybersicurezza nella valutazione del rischio ai sensi dell’AI Act
L’ENISA sottolinea l’importanza di includere gli aspetti di cybersecurity nelle valutazioni del rischio per i sistemi di intelligenza artificiale ad alto rischio e attualmente mancano standard che coprano le competenze e gli strumenti degli attori che eseguono le valutazioni di conformità. A questo proposito, secondo l’ENISA, il progetto comunitario di AI Act sull’intelligenza artificiale e di Cybersecurity Act devono lavorare in armonia per evitare la duplicazione degli sforzi a livello nazionale.
La Commissione europea sta accelerando l’approvazione della legge sull’intelligenza artificiale, ma è probabile che si scontri in ogni caso con il ritmo di avanzamento dell’intelligenza artificiale. La standardizzazione può supportare la cybersecurity delle tecnologie di IA, essenziale per garantire la sicurezza e l’affidabilità dei sistemi di IA in vari settori.
Su un argomento simile, è interessante il seguente articolo: “Il Parlamento europeo amplia la definizione di intelligenza artificiale ai sensi dell’AI Act“.