La principale novità di questo mese per quanto riguarda le policy in ambito tecnologico è la pubblicazione del tanto atteso ordine esecutivo (O.E.) sullo Sviluppo e l’Uso Sicuro, Protetto e Affidabile dell’Intelligenza Artificiale, firmato lo scorso 30 ottobre dal Presidente Biden.
Sebbene gli executive order siano disposti per regolamentare aree politiche sotto il diretto controllo del ramo esecutivo del governo degli Stati Uniti, essi sono altrettanto importanti a livello trasversale perché informano sulle best practice di settore, promuovendo allo stesso tempo leggi e regolamenti negli Stati Uniti e all’estero.
L’accelerazione degli sviluppi dell’IA – in particolare dell’IA generativa – nell’ultimo anno ha catturato l’attenzione dei decisori politici. Le richieste, da parte di figure del settore di alto profilo, di stabilire garanzie per l’intelligenza artificiale generale (AGI) hanno ulteriormente aumentato l’attenzione a Washington.
In questo senso, l’O.E. dovrebbe essere considerato come un primo passo significativo verso la politica dell’IA, piuttosto che come la parola finale.
Proviamo, dunque, a evidenziare alcuni argomenti chiave riguardanti l’innovazione, la politica pubblica e la cyber security.
Le preoccupazioni più comuni dei CISO sull’IA generativa: come stimolare un’adozione responsabile
Indice degli argomenti
L’ordine esecutivo di Biden in dettaglio
Come per la tecnologia, anche questo O.E. ha molti parametri. Si divide in 13 sezioni, ciascuno dei quali copre un ampio spettro di obiettivi politici e amministrativi. Si va dalle politiche alla biosicurezza, dalla protezione dei consumatori all’intelligenza artificiale. Pertanto, molta attenzione viene posta sul nesso tra IA e cyber security, trattato in modo approfondito nella sezione 4.
Prima di approfondire le disposizioni specifiche in materia di cyber security, è importante evidenziare alcune considerazioni sull’ambito e l’approccio generale del documento.
In sostanza, il documento trova il giusto equilibrio tra i rischi potenziali e la possibilità di innovare, sperimentare e adottare tecnologie potenzialmente trasformative. In aree politiche complesse, è molto difficile riuscire a trovare un equilibrio tra tutti gli stakeholder, ma alcuni punti presenti nel documento lasciano ben sperare.
- In primo luogo, in numerose parti dell’O.E., le agenzie sono indicate come “titolari” delle fasi successive più specifiche. In questo modo si precisa agli stakeholder come fornire il proprio feedback, riducendo le lacune o il duplicarsi di azioni.
- In secondo luogo, l’O.E. delinea diverse opportunità per consultare e raccogliere il parere degli stakeholder. Con molta probabilità, queste si concretizzeranno attraverso le Request for Comment (RFC) emesse dalle singole agenzie. Inoltre, vi sono diverse aree in cui l’O.E. incarica i comitati consultivi esistenti – o istituendone di nuovi – di integrare il feedback delle parti interessate sulle questioni politiche relative all’IA.
- In terzo luogo, l’O.E. prevede una procedura rapida per le fasi successive. Molti O.E. richiedono che i progetti vengano portati a termine in un arco di tempo che va dai 30 ai 60 giorni. Ciò risulta difficile da rispettare per le agenzie, tanto più se lasciate operare in maniera deliberata. In molti casi il documento prevede scadenze di 240 giorni, che dovrebbe consentire periodi di collaborazione con le RFC di 30 e 60 giorni, come sottolineato precedentemente.
- Infine, l’O.E. afferma esplicitamente che “man mano che i prodotti di IA generativa diventano sempre più accessibili e diffusi tra le piattaforme online, le agenzie sono scoraggiate dall’imporre divieti generali o blocchi all’uso dell’IA generativa da parte delle agenzie”. Ciò dovrebbe garantire che le agenzie governative esplorino casi d’uso positivi per utilizzare l’IA nelle proprie aree di competenza. Se la storia ci insegna qualcosa, non è difficile immaginare uno scenario in cui un giovane e talentuoso impiegato junior di una determinata agenzia, l’anno prossimo riesca ad identificare un modo innovativo per sfruttare l’IA, che nessuno avrebbe potuto prevedere quest’anno. Non sarebbe saggio precludere questa possibilità, perché l’innovazione dovrebbe essere incentivata sia all’interno che all’esterno dell’ambito governativo.
Disposizioni su intelligenza artificiale e cyber security
Per quanto riguarda la sicurezza informatica nello specifico, l’O.E. tocca una serie di aree strategiche. In particolare, è importante che vengano citate agenzie come il National Institute of Standards and Technology (NIST), la Cybersecurity and Infrastructure Security Agency (CISA) e l’Office of the National Cyber Director (ONCD), le quali possiedono una significativa competenza nel campo della tecnologia cyber.
Una sezione dell’O.E. intende ridurre i rischi legati ai contenuti sintetici, come audio, immagini e testi generativi. È giusto segnalare che le misure menzionate qui sono di natura esplorativa, piuttosto che rigorosamente prescrittiva. Come community, sarebbe opportuno individuare soluzioni innovative a questo problema. E con le elezioni imminenti, ci auguriamo di assistere a rapidi sviluppi in questo settore.
Gli autori dell’O.E. hanno prestato molta attenzione all’enumerazione delle policy sull’IA attraverso meccanismi predefiniti, alcuni dei quali strettamente legati agli sviluppi della cybersecurity. Questo include la necessità di un allineamento con l’AI Risk Management Framework (NIST AI 100-1), il Secure Software Development Framework e il Blueprint for an AI Bill of Rights.
Così, si ridurranno i rischi associati alla creazione di nuovi processi, consentendo al contempo di creare strutture più coerenti per le aree dove la distinzione o i confini tra – ad esempio – software, sicurezza e IA sono solo sottili.
Il documento cerca, inoltre, di far leva sulle agenzie per la gestione del rischio settoriale (SRMA) per migliorare la pianificazione nei settori legati alle infrastrutture strategiche. In particolare, prevede che:
Entro 90 giorni dalla data del presente ordine, e successivamente con cadenza minima annuale… le SRMA competenti, in coordinamento con il direttore dell’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity del Dipartimento della Sicurezza Interna per la considerazione dei rischi intersettoriali, dovranno valutare e fornire al Segretario della Sicurezza Interna una relazione sui rischi potenziali legati all’uso dell’IA nei settori infrastrutturali strategici coinvolti, compresi i modi in cui l’impiego dell’IA può rendere questi sistemi più vulnerabili ai guasti critici, agli attacchi fisici e agli attacchi informatici, esaminando inoltre i metodi per limitare tali vulnerabilità.
Si tratta di un aspetto importante, ma sarebbe opportuno considerare anche i benefici, oltre ai rischi. L’IA infatti può favorire una migliore protezione delle risorse critiche su numerose aree.
Se utilizzata correttamente, l’IA può rapidamente identificare minacce nascoste, accelerare il processo decisionale degli analisti di sicurezza meno esperti e semplificare una serie di attività altrimenti complesse.
In sintesi
Questi ordini esecutivi rappresentano un passo fondamentale per l’evoluzione della politica statunitense in materia di IA.
Come abbiamo riportato nella nostra recente testimonianza alla Commissione Giudiziaria della Camera, l’IA è fondamentale per migliorare i processi di cyber security e risulta essere sempre più di maggiore interesse per gli autori di minacce informatiche.
Come community, dobbiamo continuare a lavorare insieme per garantire che gli organi di difesa si accorgano del potenziale che l’IA può offrire, riducendo al contempo i danni che potrebbero derivare dall’abuso di sistemi di IA da parte degli autori delle minacce.