Artificial Intelligence Data Governance Protezione

Esplorare i problemi di privacy nell'era dell'AI

Rappresentazione concettuale di un lucchetto davanti a una nuvola.

Autori

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think

È una delle difficili verità dell'innovazione: con l'avanzare della tecnologia, aumentano anche i rischi derivanti dal suo utilizzo.

Ad esempio, gli strumenti che migliorano la raccolta e l'analisi dei dati aumentano anche la probabilità che i dati personali e le informazioni sensibili appaiano dove non dovrebbero.

Questo rischio specifico, il rischio per la privacy, è particolarmente diffuso nell'era dell'intelligenza artificiale (AI), poiché le informazioni sensibili vengono raccolte e utilizzate per creare e mettere a punto i sistemi AI e di machine learning. E mentre i responsabili politici si affrettano ad affrontare il problema delle normative sulla privacy relative all'uso dell'AI, creano nuove sfide di conformità per le aziende che utilizzano le tecnologie AI per il processo decisionale.

Nonostante le preoccupazioni relative alla privacy e alla conformità, le aziende continuano a distribuire modelli AI per aumentare la produttività e massimizzare il valore. Diamo un'occhiata più da vicino ai rischi e alle tutele per la privacy dell'AI che interessano la società e il commercio di oggi.

Cos'è la privacy dell'AI?

La privacy dell'AI è la pratica di protezione delle informazioni personali o sensibili raccolte, utilizzate, condivise o memorizzate dall'AI.

La privacy dell'AI è strettamente legata alla privacy dei dati. La privacy dei dati, nota anche come privacy delle informazioni, è il principio secondo cui una persona dovrebbe avere il controllo dei propri dati personali. Questo controllo include la capacità di decidere in che modo le organizzazioni raccolgono, memorizzano e utilizzano i propri dati. Ma il concetto di privacy dei dati è anteriore all'intelligenza artificiale e il modo in cui le persone pensano alla privacy dei dati si è evoluto con l'avvento dell'AI.

"Dieci anni fa, la maggior parte delle persone pensava alla privacy dei dati in termini di acquisti online. La gente pensava: "non so se mi interessa se queste aziende sanno cosa compro e cosa cerco, perché a volte è utile", ha spiegato Jennifer King, ricercatrice dello Stanford University Institute for Human-Centered Artificial Intelligence, in un'intervista pubblicata sul sito web dell'istituto.1

"Ma ora abbiamo visto le aziende passare a questa onnipresente raccolta di dati che addestra i sistemi di intelligenza artificiale", ha affermato King, "che può avere un impatto importante sulla società, in particolare sui nostri diritti civili".

Comprendere i rischi per la privacy dell'AI

Spesso possiamo ricondurre i problemi di privacy dell'AI a problemi riguardanti la raccolta dei dati, la sicurezza informatica, la progettazione dei modelli e la governance. I rischi per la privacy dell'AI includono:

  • Raccolta di dati sensibili
  • Raccolta di dati senza consenso
  • Utilizzo di dati senza autorizzazione
  • Sorveglianza incontrollata e distorsioni
  • Esfiltrazione dei dati
  • Fuga di dati

Raccolta di dati sensibili

Uno dei motivi per cui l'AI rappresenta probabilmente un rischio maggiore per la privacy dei dati rispetto ai precedenti progressi tecnologici è l'enorme volume di informazioni in gioco. Terabyte o petabyte di testo, immagini o video vengono solitamente inclusi come dati di addestramento e inevitabilmente alcuni di questi dati sono sensibili: informazioni sanitarie, dati personali provenienti da siti di social media, dati finanziari personali, dati biometrici utilizzati per il riconoscimento facciale e altro ancora. Con più dati sensibili raccolti, memorizzati e trasmessi che mai, le probabilità che alcuni di essi vengano distribuiti in modi che violano i diritti alla privacy sono maggiori.

Raccolta di dati senza consenso

Le controversie possono nascere quando i dati vengono acquisiti per lo sviluppo dell'AI senza il consenso o la conoscenza espliciti delle persone da cui vengono raccolti. Nel caso di siti web e piattaforme, gli utenti si aspettano sempre più autonomia sui propri dati e maggiore trasparenza nella loro raccolta. Tali aspettative sono emerse di recente, quando il sito di networking professionale LinkedIn ha fatto clamore dopo che alcuni utenti hanno notato di essere stati automaticamente scelti per consentire all'utilizzo dei propri dati per l'addestramento di modelli AI.2

Utilizzo di dati senza autorizzazione

Anche quando i dati vengono raccolti con il consenso degli individui, i rischi per la privacy persistono se i dati vengono utilizzati per scopi diversi da quelli inizialmente indicati. "Stiamo vedendo dati come un curriculum o una fotografia che abbiamo condiviso o pubblicato per uno scopo riutilizzati per l'addestramento dei sistemi di AI, spesso a nostra insaputa o senza il nostro consenso", ha detto King. In California, ad esempio, una ex paziente chirurgica avrebbe scoperto che le foto relative alle sue cure mediche erano state utilizzate in un set di dati di addestramento per l'AI. La paziente ha affermato di aver firmato un modulo di consenso affinché il suo medico scattasse le foto, ma non che fossero incluse in un set di dati.3

Sorveglianza incontrollata e distorsioni

I problemi di privacy legati alla sorveglianza diffusa e incontrollata, che si tratti di telecamere di sicurezza sulle strade pubbliche o di tracciamento dei cookie sui portatili, sono emersi ben prima della proliferazione dell'AI. Ma l'intelligenza artificiale può aggravare queste preoccupazioni sulla privacy perché i modelli AI vengono utilizzati per analizzare i dati di sorveglianza. A volte i risultati di tali analisi possono causare danni, soprattutto quando presentano distorsioni. Nel campo delle forze dell'ordine, ad esempio, una serie di arresti illeciti di persone di colore sono stati collegati a processi decisionali basati sull'AI.4

Esfiltrazione dei dati

I modelli AI contengono una serie di dati sensibili che possono rivelarsi irresistibili per gli aggressori. "Questi [dati] finiscono per diventare un grosso bersaglio che qualcuno cercherà di colpire", ha spiegato Jeff Crume, un ingegnere di IBM Security Distinguish Engineer, in un recente video di IBM Technology (link esterno a ibm.com). I malintenzionati possono effettuare tale esfiltrazione dei dati (furto di dati) dalle applicazioni AI attraverso varie strategie. Ad esempio, negli attacchi di tipo prompt injectiongli hacker mascherano input dannosi sotto forma di prompt, manipolando i sistemi di AI generativa per scovare dati sensibili. Ad esempio, un hacker che utilizza il prompt giusto potrebbe indurre un assistente virtuale basato su LLM a inoltrare documenti privati.

Fuga di dati

La fuga di dati è l'esposizione accidentale di dati sensibili e alcuni modelli AI si sono dimostrati vulnerabili a tali violazione dei dati. In un caso da prima pagina, ChatGPT, il modello linguistico di grandi dimensioni (LLM) di OpenAI, ha mostrato ad alcuni utenti i titoli delle cronologie delle conversazioni di altri utenti.5 Esistono rischi anche per i modelli AI proprietari e di piccole dimensioni. Ad esempio, consideriamo un'azienda sanitaria che crea un'app diagnostica interna con tecnologia AI e basata sui dati dei propri clienti. Tale app potrebbe involontariamente divulgare le informazioni private dei clienti ad altri clienti che utilizzano un determinato prompt. Anche una simile condivisione involontaria dei dati può comportare gravi violazioni della privacy.

Normative sulla privacy relative al tracciamento

L'impegno dei politici per evitare che i progressi tecnologici compromettano la privacy individuale risalgono almeno agli anni '70. Tuttavia, la rapida crescita della raccolta di dati commercializzati e la distribuzione dell'AI hanno creato una nuova urgenza nell'adottare leggi sulla privacy dei dati. Tali leggi includono:

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea

Il GDPR stabilisce diversi principi che i titolari e i responsabili del trattamento devono seguire nella gestione dei dati personali. In base al principio della limitazione delle finalità, le aziende devono avere in mente uno scopo specifico e legittimo per tutti i dati che raccolgono. Devono comunicare tale finalità agli utenti e raccogliere solo la quantità minima di dati necessari a tale scopo.

Anche le aziende devono utilizzare i dati in modo equo. Devono tenere gli utenti informati sul trattamento dei dati personali e seguire le norme sulla protezione dei dati. Secondo il principio della limitazione della conservazione, un'azienda deve conservare i dati personali solo fino al raggiungimento dello scopo prefissato. I dati devono essere cancellati non appena non sono più necessari.

La legge sull'IA dell'UE

Considerato il primo framework normativo completo al mondo per l'AI, la legge sull'IA dell'UE proibisce alcuni usi dell'AI e implementa rigidi requisiti di governance, gestione del rischio e trasparenza per altri.

Sebbene la legge sull'IA dell'UE non preveda specificamente pratiche separate e proibite sulla privacy dell'AI, impone limitazioni all'uso dei dati. Tra le pratiche AI vietate vi sono:

  • Scraping non mirato di immagini facciali da internet o CCTV per database di riconoscimento facciale
  • L'uso da parte delle forze dell'ordine di sistemi di identificazione biometrica remota in tempo reale in pubblico (a meno che non si applichi un'eccezione, ed è necessaria l'autorizzazione preventiva da parte di un'autorità giudiziaria o amministrativa indipendente)

I sistemi AI ad alto rischio devono adempiere a specifici requisiti, come l'adozione di rigorose pratiche di governance dei dati per garantire che i dati di formazione, convalida e test soddisfino criteri di qualità specifici.

Normative sulla privacy degli Stati Uniti

Le leggi sulla privacy dei dati sono entrate in vigore in diverse giurisdizioni statunitensi negli ultimi anni. Alcuni esempi includono il California Consumer Privacy Act e il Texas Data Privacy and Security Act. Nel marzo 2024, lo Utah ha promulgato l'Artificial Intelligence and Policy Act, considerato il primo importante statuto statale a disciplinare specificamente l'uso dell'AI.

A livello federale, il governo degli Stati Uniti deve ancora implementare nuove leggi nazionali sull'AI e sulla privacy dei dati. Tuttavia, nel 2022 il White House Office of Science and Technology Policy (OSTP) ha pubblicato il "Blueprint for an AI Bill of Rights". Il framework non vincolante delinea cinque principi per guidare lo sviluppo dell'AI, inclusa una sezione dedicata alla privacy dei dati che incoraggia i professionisti dell'AI a chiedere il consenso delle persone sull'uso dei dati.

Misure provvisorie della Cina per l'amministrazione dei servizi di AI generativa

La Cina è stata uno dei primi paesi a emanare normative sull'AI. Nel 2023, la Cina ha emanato le Misure provvisorie per l'amministrazione dei servizi di intelligenza artificiale generativa. Secondo questa legge, la fornitura e l'uso di servizi di AI generativa devono "rispettare i diritti e gli interessi legittimi degli altri" e sono tenuti a "non mettere in pericolo la salute fisica e mentale degli altri e a non violare i diritti di immagine, i diritti alla reputazione, i diritti all'onore, i diritti alla privacy e i diritti sulle informazioni personali degli altri".6

Design 3D di palline che rotolano su una pista

Le ultime notizie e insight sull'AI 


Notizie e insight a cura di esperti di AI, cloud e molto altro nella newsletter settimanale Think. 

Best practice per la privacy dell'AI

Le organizzazioni possono ideare approcci alla privacy basati sull'AI per aiutare a rispettare le normative e aumentare la fiducia tra gli stakeholder.7 Le raccomandazioni dell'OSTP includono:

  • Effettuare valutazioni del rischio
  • Limitare la raccolta dei dati
  • Richiedere e confermare il consenso
  • Seguire le best practice per la sicurezza
  • Fornire maggiore protezione per i dati provenienti da domini sensibili
  • Fornire report sulla raccolta e lo storage dati

Effettuare valutazioni del rischio

I rischi per la privacy dovrebbero essere valutati e affrontati durante l'intero ciclo di vita di sviluppo di un sistema AI. Questi rischi possono includere possibili danni per coloro che non sono utenti del sistema, ma le cui informazioni personali potrebbero essere dedotte attraverso un'analisi avanzata dei dati.

Limitare la raccolta dei dati

Le organizzazioni dovrebbero limitare la raccolta di dati per l'addestramento a ciò che può essere raccolto legalmente e utilizzato "in linea con le aspettative delle persone dalle quali vengono raccolti i dati". Oltre a tale minimizzazione dei dati, le aziende dovrebbero anche stabilire tempistiche per la conservazione, con l'obiettivo di eliminare i dati il prima possibile.

Richiesta di consenso esplicito

Le organizzazioni dovrebbero fornire al pubblico meccanismi di "consenso, accesso e controllo" sui propri dati. Il consenso deve essere riacquisito se il caso d'uso che ha originato la raccolta dei dati cambia.

Seguire le best practice per la sicurezza

Le organizzazioni che utilizzano l'AI dovrebbero seguire le best practice di sicurezza per evitare la fuga di dati e metadati. Tali pratiche potrebbero includere l'uso della crittografia, dell'anonimizzazione e dei meccanismi di controllo degli accessi.

Fornire maggiore protezione per i dati provenienti da domini sensibili

I dati di determinati domini devono essere soggetti a una protezione aggiuntiva e utilizzati solo in "contesti ben definiti". Questi "settori sensibili" includono salute, occupazione, formazione, giustizia penale e finanze personali. Anche i dati generati da o sui bambini sono considerati sensibili, anche se non rientrano in uno dei domini elencati.

Fornire report sulla raccolta e lo storage dati

Le organizzazioni dovrebbero rispondere alle richieste delle persone per sapere quali dei loro dati vengono utilizzati in un sistema AI. Le organizzazioni dovrebbero inoltre fornire in modo proattivo rapporti riassuntivi generali al pubblico su come vengono utilizzati, consultati e memorizzati i dati delle persone. Per quanto riguarda i dati provenienti da domini sensibili, le organizzazioni dovrebbero anche segnalare falle o violazioni della sicurezza che hanno causato fughe di dati.

Gli strumenti e i programmi di governance dei dati possono aiutare le aziende a seguire le raccomandazioni OSTP e altre best practice sulla privacy dell'AI. Le aziende possono distribuire strumenti software per:

  • Condurre valutazioni del rischio per la privacy sui modelli che utilizzano
  • Creare dashboard con informazioni sugli asset di dati e sullo stato delle valutazioni della privacy
  • Abilitare la gestione dei problemi di privacy, inclusa la collaborazione tra i proprietari della privacy e i proprietari dei dati
  • Migliorare la privacy dei dati attraverso approcci come l'anonimizzazione dei dati di formazione, la crittografia dei dati e la loro minimizzazione negli algoritmi di machine learning (Scopri di più qui.)

Con l'evoluzione delle leggi sull'AI e sulla privacy dei dati, le soluzioni tecnologiche emergenti possono consentire alle aziende di restare al passo con le modifiche normative e farsi trovare preparate se le autorità di regolamentazione richiedono audit. Le soluzioni all'avanguardia automatizzano l'identificazione delle modifiche normative e la loro conversione in politiche applicabili.

Note a piè di pagina

1 "Privacy in an AI Era: How Do We Protect Our Personal Information?" Stanford University Institute of Human-Centered Artificial Intelligence. 18 March 2024.

2 "LinkedIn Is Quietly Training AI on Your Data—Here's How to Stop It." PCMag. 18 September 2024.

3 "Artist finds private medical record photos in popular AI training data set." Ars Technica. 21 September 2022.

4 "When Artificial Intelligence Gets It Wrong." Innocence Project. 19 September 2023.

5 "OpenAI CEO admits a bug allowed some ChatGPT users to see others’ conversation titles." CNBC. 17 April 2023.

6 Interim Measures for the Administration of Generative Artificial Intelligence Services, Cyberspace Administration of China. 13 July 2023.

7 "Blueprint for an AI Privacy Bill of Rights." The White House Office of Science and Technology Policy. Consultato il 19 settembre 2024.
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity