sicurezza aziendale

Uso non autorizzato dell’IA al lavoro: i rischi per le aziende e come tutelarsi



Indirizzo copiato

Nel 2024, l’uso di IA generativa sul lavoro è cresciuto, spesso senza autorizzazione. Questo solleva preoccupazioni su sicurezza dei dati e violazioni legali. Consapevolezza e regolamentazione sono essenziali per affrontare le sfide e le opportunità connesse

Pubblicato il 17 dic 2024

Amal Souihel

ESSE-CI Centro Studi



lavoro ibrido

Il 2024 è stato l’anno degli strumenti di Intelligenza Artificiale sul lavoro. Le ragioni? Le esigenze dei knowledge workers di ottimizzare il lavoro ed un certo immobilismo delle aziende verso tali strumenti.   

Secondo il report annuale “2024 Work Trend Index”, pubblicato da Microsoft e LinkedIn, il 75% dei lavoratori della conoscenza utilizza l’IA sul posto di lavoro per risparmiare tempo, concentrarsi sul lavoro più importante, essere più creativi.

IA a lavoro all’insaputa dell’azienda: i dati

Tuttavia, un’indagine di Salesforce condotta su oltre 14.000 lavoratori, tra cui 1.002 italiani, evidenzia una realtà allarmante: molti di questi lavoratori ricorrono all’IA senza aver ricevuto un’autorizzazione dall’azienda.

In Italia, in particolare, il 17% dei lavoratori intervistati ha dichiarato di avvalersi degli strumenti di GenIA ed il 49% di questi senza ricevere approvazione dal proprio datore di lavoro. Inoltre, il 54% ha presentato il lavoro svolto da un’intelligenza artificiale generativa come proprio.

Tale realtà interessa i lavoratori della conoscenza, ossia coloro che producono, controllano ed utilizzano le informazioni. Trattasi dei lavoratori intellettuali o comunque «d’ufficio».

Ciò in quanto i lavoratori della conoscenza di oggi vengono travolti quotidianamente da un flusso incessante di informazioni digitali e da canali di comunicazione sempre attivi quali, ad esempio, l’e-mail, le notifiche, la messaggistica istantanea. Questo sovraccarico cognitivo genera per il lavoratore un “debito digitale”, ossia un arretrato di informazioni sempre più crescente che necessitano di essere elaborate per produrre un determinato risultato.

L’aiuto dell’IA generativa nelle attività di carattere creativo

In questo contesto, dunque, viene in soccorso l’IA generativa.

Un tratto distintivo dell’attuale intelligenza artificiale è la capacità di svolgere non solo prestazioni di routine, come accadeva con le tecnologie precedenti, ma anche attività non abitudinarie, che richiedono una certa conoscenza implicita.

Diversamente dagli algoritmi di intelligenza artificiale classica che generano risultati basandosi strettamente sui dati e sui modelli appresi, l’intelligenza artificiale generativa, pur traendo ispirazione dai dati di addestramento, ha il pregio di produrre contenuti completamente nuovi.

Pertanto, ci troviamo davanti ad un’automazione che investe attività di carattere creativo, che in passato erano difficili da codificare, come l’elaborazione di testi, la creazione di contenuti multimediali, la scrittura di codici informatici; tutte attività per le quali ChatGPT o Dall-E, per citarne alcuni, hanno già dimostrato un certo expertise.

Tali tecnologie, dunque, permettono ai lavoratori della conoscenza di elaborare una significativa mole di informazioni, realizzare previsioni, valutare impianti o procedure, produrre contenuti celermente. In sintesi, attraverso la GenIA è possibile ridurre il peso del sovraccarico cognitivo, così da superare il «debito digitale».

GenIA e lavoro: rischi e criticità nascoste

L’intelligenza artificiale generativa, sebbene offra notevoli opportunità in termini di produttività, nasconde altresì rischi rilevanti sotto diversi profili, tenuto conto che tutti i dati di input forniti alla GenIA vengono conservati dai sistemi per alimentare i processi di apprendimento.

Quando un dipendente utilizza ChatGPT per portare a termine un compito, che si tratti di una semplice richiesta o di un progetto complesso, potrebbe inconsapevolmente dare in pasto al sistema parte del know how aziendale o persino informazioni riservate dei clienti.

Il caso Samsung

Il Caso Samsung occorso lo scorso anno lo dimostra.

Il colosso coreano decise di proibire l’utilizzo di ChatGPT ai propri dipendenti dopo aver scoperto alcuni episodi di data leak. In particolare, porzioni di codici vennero condivise con la piattaforma al fine di correggere errori od ottimizzare software.

L’azione intrapresa da Amazon

Diversa, invece, è stata l’azione intrapresa da Amazon, che, di fronte ad episodi di questo tipo, ha preferito avvertire i suoi dipendenti sull’importanza di ricorrere all’IA in modo responsabile.

Ricorrere all’IA generativa nasconde un ulteriore rischio, ossia quello di violare la proprietà intellettuale o industriale di terzi. Ciò in quanto è plausibile che i contenuti generati dall’IA contengano opere, marchi o invenzioni protette di cui l’utente non è al corrente. Tali contenuti, se introdotti nei servizi e prodotti aziendali, possono far incorrere l’impresa in ingenti richieste risarcitorie.

IA sul posto di lavoro: una duplice minaccia

È dunque evidente la duplice minaccia: da un lato, il rischio di una fuga accidentale di informazioni riservate; dall’altro lato, l’uso indebito della proprietà intellettuale ed industriale di soggetti terzi.

Dati e violazione della proprietà intellettuale ed industriale

Il dato aziendale non è l’unico tipo di informazione cui prestare attenzione; infatti, i prompt dei dipendenti possono contenere altresì dati personali. Se è vero che il sistema memorizza i dati di input per l’addestramento, sussiste il rischio che i modelli generativi possano inavvertitamente divulgare detti dati personali a soggetti non legittimati a conoscerli. Di conseguenza, l’azienda verrebbe esposta all’esercizio del potere sanzionatorio da parte dell’Autorità di controllo per essersi verificato un data breach.

Come per molti servizi gratuiti, i rischi fin qui descritti dipendono principalmente dall’assenza di garanzie di sicurezza nell’utilizzo delle licenze gratuite.

Le misure a tutela dei dati in caso di acquisto di licenze aziendali di Copilot

Microsoft, ad esempio, illustra sul proprio sito le misure a tutela dei dati in caso di acquisto di licenze aziendali di Copilot:

  • “I messaggi e le risposte non vengono usati per addestrare i modelli di intelligenza artificiale sottostanti usati da Copilot, quindi è possibile sentirsi sicuri di usare i contenuti di lavoro con Copilot. Sia che tu stia copiando e incollando contenuto di lavoro in chat o caricando un file, il contenuto di lavoro è protetto”;
  • “I dati della chat in Copilot sono crittografati durante la sessione di chat con protezione dei dati aziendali”;
  • “Copilot ti aiuta a proteggerti da contenuti dannosi con la protezione dei dati aziendali”;
  • “Le query di ricerca Bing attivate dalle richieste in Copilot non sono collegate all’account o all’organizzazione”.

Per contro, “leggendo tra le righe”, nelle licenze gratuite mancano le suindicate garanzie di sicurezza.

Il rischio di allucinazioni

A completare il quadro delle criticità legate all’utilizzo della GenIA sul lavoro vi sono le note “allucinazioni” di cui può soffrire. I modelli di intelligenza artificiale generativa, infatti, possono commettere errori, produrre risultati imprecisi, inesatti o persino inventati, alle volte con un impressionante livello di dettaglio ed un tono così autorevole da riuscire a convincere persino gli esperti.

Le cause di questo fenomeno possono essere varie: la presenza di bias nei dati di addestramento, un adattamento eccessivo del modello ai dati (c.d. overfitting) o, ancora, l’ambiguità della richiesta formulata dall’utente.

Senza un meccanismo di validazione degli output, infatti, l’errore dell’IA rischia di trasformarsi nell’errore del dipendente.

In che modo possono tutelarsi le aziende

Come è chiaro, quanto più i sistemi di IA generativa si diffondono e si sviluppano in vari modi, tanto più le sfide relative alla sicurezza delle informazioni si moltiplicano.

I dati costituiscono asset preziosi per l’impresa ed un pieno controllo sulla filiera dei dati aziendali è possibile soltanto sa la stessa è in grado di prevenire correttamente situazioni di conflitto con il sistema di sicurezza adottato.

Dal 2024 Work Trend Index emerge che gli utenti riconoscono nell’IA un valido supporto sul lavoro. In particolare, per risparmiare tempo (90%), concentrarsi sulle attività più importanti (85%), esprimere maggiore creatività (84%), nonché vivere il proprio lavoro in modo più gratificante (83%).

Sensibilizzare i lavoratori su criticità e implicazioni di usi non autorizzati

Tali dati suggeriscono che una chiusura verso l’utilizzo della GenIA, seguendo l’esempio di Samsung, potrebbe non essere la soluzione più vantaggiosa per la produttività e la competitività dell’impresa. Tuttavia, nel breve periodo, potrebbe rappresentare l’opzione più sicura, almeno fino a quando l’azienda non avrà analizzato il fenomeno, valutandone le implicazioni e definendo come affrontarlo.

«Consapevolezza» e «responsabilizzazione» sono i valori che devono orientare le imprese in tale sfida. È fondamentale, dunque, includere nel percorso formativo del proprio personale programmi di sensibilizzazione sulle criticità e sulle implicazioni connesse ad utilizzi non autorizzati di sistemi di IA, con particolare attenzione ai temi etici e legali rilevanti.

In questo modo, i dipendenti acquisiranno nozioni e pratiche per un approccio attento e consapevolmente critico verso tali tecnologie.

Inoltre, è imprescindibile per l’azienda dotarsi di una politica efficace sulle tecnologie emergenti, ossia che detti regole chiare e tracci confini precisi tra utilizzi consentiti e pratiche vietate, vincolando il personale alla sua osservanza ed attuazione.

In caso di apertura da parte dell’azienda verso l’utilizzo dell’IA generativa sul lavoro, occorrerà censire le piattaforme alle quali i dipendenti potranno ricorrere, previa attenta valutazione delle garanzie offerte dai fornitori rispetto alla sicurezza delle informazioni.

Sarà opportuno, altresì, fornire istruzioni specifiche sulle corrette modalità di tutela del dato.

Ad esempio, sotto il profilo della protezione dei dati personali, si dovrà impedire l’inserimento, nelle query, di dati che identifichino direttamente i soggetti, nonché delle informazioni che possano consentire – indirettamente- la ricostruzione del profilo di tali individui, suggerendo quindi di ricorrere a descrizioni sufficientemente generiche o ad etichette.  

La stessa soluzione è valida anche per tutelare il know how della società e dei propri clienti. Sempre a titolo esemplificativo, il dipendente IT che intende risolvere un errore presente in un software, anziché inserire nella richiesta all’IA la copia di un’intera porzione di codice sorgente, dovrà descrivere l’errore o ricorrere ad esempi simili al problema riscontrato.

Come illustrato, i sistemi di IA potrebbero basarsi su dati di addestramento contenenti materiale protetto dalla normativa sulla proprietà intellettuale o dal segreto industriale. Per prevenire la riproduzione illecita di tale materiale, potrebbe essere opportuno limitarne l’utilizzo esclusivamente per scopi di ricerca e di analisi. Perlomeno in questa delicata fase storica di studio del recente Regolamento sull’intelligenza artificiale (“AI Act”), cui dovranno adeguarsi i fornitori di GenIA, risulterebbe necessario impedirne l’uso per richiedere testi, immagini o video già confezionati.

Per quanto attiene, invece, alle criticità sulle allucinazioni dell’IA, non potendo garantire l’attendibilità e l’affidabilità dei risultati di ricerca, sarà opportuno responsabilizzare il personale affinché verifichi in modo accurato la correttezza di detti risultati prima che vengano utilizzati nelle attività operative. La supervisione umana è cruciale per impedire che dati e soluzioni imprecisi o inesatti vengano incorporati in servizi o prodotti destinati ai clienti.

Conclusioni

L’utilizzo dell’IA generativa come strumento di lavoro, quando ciò avviene all’insaputa dell’azienda, espone quest’ultima ad implicazioni potenzialmente gravi, in quanto capaci di incidere sulla sua competitività, sull’immagine, sulla reputazione, nonchè sul patrimonio.

Questa prassi dovrebbe quindi allarmare le imprese, spingendole ad attivarsi per riacquisire o rafforzare il controllo sulla sicurezza dei flussi informativi aziendali, messi a dura prova dall’attrattiva dei vantaggi che la GenIA esercita oggi sui lavoratori della conoscenza.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4