Intelligenza artificiale: limiti, vulnerabilità, rischi

L’intelligenza artificiale, familiarmente chiamata IA (o AI all’inglese), benché sia balzata all’attenzione del grande pubblico solo in tempi assai recenti non è affatto una disciplina nuova: ha anzi oltre settant’anni di vita, essendo stata “inventata” negli anni Cinquanta del secolo scorso. Fatto forse sorprendente, dato che la maggior parte delle persone di oggi sembra ritenere che si tratti di uno sviluppo dell’informatica conseguito solo da pochi anni a questa parte.

Il termine stesso “intelligenza artificiale” venne coniato nel lontano 1955 dall’informatico statunitense John McCarthy, uno dei primi ricercatori di questa disciplina. Egli, tra l’altro, creò nel 1958 il linguaggio di programmazione denominato LISP, a lungo impiegato per lo sviluppo di progetti di intelligenza artificiale; e nel 1962 fondò uno dei più antichi laboratori di ricerca sull’IA, quello dell’Università di Stanford. Per queste sue pionieristiche attività l’Association for Computing Machinery (ACM) gli conferì nel 1971 il prestigioso Premio Turing, spesso considerato come il Nobel per l’Informatica.

E vale forse la pena di ricordare che fu proprio il “padre dell’informatica” Alan Turing il primo a riflettere in maniera scientificamente pragmatica sul problema se le macchine potessero o no pensare, sottraendolo alle astratte speculazioni dei filosofi e privandolo soprattutto di ogni connotazione emotiva, per inquadrarlo invece in un ambito freddamente ingegneristico. L’articolo col suo fondamentale contributo di pensiero venne pubblicato sulla rivista di filosofia Mind in un lontanissimo 1950, quando i calcolatori non erano ancora diffusi o utilizzati ma già li si chiamava “cervelli elettronici”, e nei salotti intellettuali si discuteva sulle loro presunte capacità future in quanto “macchine intelligenti”.

È dunque curioso vedere come oggi, tre quarti di secolo dopo, i dibattiti che si susseguono alla televisione o sui forum di Internet riguardo le capacità cognitive delle “nuove” moderne macchine intelligenti siano praticamente gli stessi dell’epoca di Turing: in una sorta di stralunato déjà-vu nel quale a esprimere le proprie opinioni sono generalmente politici, giuristi, filosofi, psicologi… ma nessun reale esperto della materia; e le argomentazioni portate a sostegno dell’una o dell’altra tesi sono spesso basate su congetture o aspettative, ma non su fatti tecnici concreti.

La storia sembra dunque non averci insegnato granché, o forse semplicemente gli opinionisti catodici di oggi non l’hanno studiata abbastanza. Conviene quindi ripercorrerla brevemente, per poter inquadrare in termini più corretti ciò che sta avvenendo oggi e quali sono i nuovi e inaspettati rischi che essa comporta.

Gli inverni e le primavere della IA

Dall’epoca di Turing e McCarthy, lo studio e lo sviluppo dell’IA sono proseguiti in un’alternanza di successi e fallimenti che hanno fatto vivere ai ricercatori fasi storiche contrastanti, caratterizzate da grandi aspettative seguite da cocenti delusioni. Oggi si parla infatti di ben due “inverni dell’IA”, periodi neri occorsi all’incirca tra il 1974 e il 1980 il primo, e tra il 1987 e il 2000 il secondo. In entrambi si verificò un profondo calo di interesse per l’intelligenza artificiale sia a livello industriale che governativo, il che provocò una forte caduta degli investimenti nel settore e una conseguente depressione della ricerca, cui fece seguito l’abbandono da parte di moltissimi validi ricercatori.

Le cause vanno attribuite ad una serie di fattori concomitanti, tra cui la delusione per la mancanza di progressi all’altezza delle esagerate aspettative che gli stessi scienziati avevano contribuito a creare, la disillusione sulla reale portata dell’IA, la sfiducia nella tecnologia per via delle sue limitazioni che rendevano più difficoltoso del previsto, o forse proprio impossibile, il raggiungimento dei risultati attesi.

A entrambi gli “inverni” fecero tuttavia seguito, anche se dopo un certo tempo, altrettante “primavere”, grazie a nuovi sviluppi sia sul piano della ricerca che su quello della tecnologia… e anche ad attente operazioni di marketing, che tendevano a presentare i “nuovi” approcci come totalmente diversi da quelli che avevano portato all’inverno precedente, facendo soprattutto bene attenzione a non menzionare mai il termine “intelligenza artificiale”, che era improvvisamente diventato tabù. Ad esempio, negli anni Ottanta del secolo scorso presero piede i cosiddetti “sistemi esperti”, e negli anni Dieci di questo secolo le “reti neurali”: eufemismi un po’ ipocriti, ma necessari per evitare di rivangare inutilmente gli imbarazzanti insuccessi del passato.

Ma tutto ciò avvenne in realtà senza particolari clamori mediatici, e in pratica all’insaputa del grande pubblico: perché tanto i successi quanto i drammi si svolgevano nei laboratori universitari o nei dipartimenti di ricerca e sviluppo delle aziende e industrie più importanti, le quali sin dall’inizio si erano dimostrate fortemente interessate a impiegare le nuove applicazioni dell’intelligenza artificiale per le proprie esigenze.

E così, già a partire dagli anni Dieci di questo secolo, una certa forma di intelligenza artificiale, pudicamente celata sotto il nome di “deep learning”, assai meno coinvolgente sul piano emotivo, ha ripreso in silenzio la sua conquista della scena applicativa fornendo efficaci sistemi di riconoscimento di “pattern” (volti, oggetti, scene, situazioni …) di cui nessuno sembra essersi accorto, ma che sono oramai ampiamente utilizzati in applicazioni di ogni tipo. Essi, infatti, consentono di realizzare affidabili “riconoscitori” o “classificatori” in ambiti che vanno dai veicoli autonomi ai robot industriali, dagli analizzatori semantici di contenuti ai motori antispam, dai sistemi per la manutenzione predittiva di impianti o apparati a quelli per le analisi finanziarie o meteorologiche, dalle telecamere di sorveglianza ai sistemi antivirus e antintrusione per la sicurezza informatica.

La maggior parte di tali sistemi ha oramai impatti importanti sulla vita quotidiana delle persone, basti pensare ai navigatori satellitari o agli assistenti personali: ma nessuno fino ad ora si era preoccupato del fatto che fossero “intelligenti”, o classificabili come sistemi di IA. E in effetti ciò è corretto, perché a rigore il “deep learning” non può essere definito come “intelligenza artificiale”: piuttosto ne è un componente. Tant’è che in inglese i sistemi che lo impiegano vengono definiti “smart”, non “intelligent”: una differenza sostanziale, che tuttavia nella nostra lingua purtroppo si perde.

Ad ogni modo, quello che è accaduto negli ultimi vent’anni è che l’intelligenza artificiale, pur rimanendo in incognito per non rinfocolare le polemiche rimaste ancora aperte dopo il secondo “inverno”, si è silenziosamente insinuata all’interno di tantissimi sistemi e applicazioni di uso comune e generale, grazie a tecniche di apprendimento automatico relativamente nuove anche se basate in sostanza su versioni migliorate delle antiche e consolidate reti neurali in uso da oltre trent’anni. Tutto però senza clamori e senza suscitare l’attenzione del grande pubblico.

Arrivano i Transformer

Sembrava che le cose fossero destinate a continuare così piuttosto a lungo, quando un recente e in qualche modo imprevisto sviluppo tecnico ha inaspettatamente riacceso la fiamma che covava sotto la cenere, portando il mondo ad una tanto improvvisa quanto clamorosa riscoperta del termine “intelligenza artificiale” con tutte le sue più ancestrali implicazioni emotive. Si tratta dei cosiddetti “Transformer”, in italiano “trasformatori”: modelli di apprendimento profondo che si sono rivelati molto più efficaci di quelli basati sulle reti neurali, e risultano particolarmente idonei a essere applicati nel campo dell’elaborazione del linguaggio naturale e della visione artificiale.

La prima pubblicazione scientifica relativa ai Transformer, dovuta ad un gruppo di ricerca afferente a Google, è del 2017. Solo tre anni dopo Google Translate sostituiva il proprio precedente modello basato su reti neurali con un modello basato su Transformer, ottenendo risultati assai migliori rispetto a prima.

Nel 2018 OpenAI, laboratorio di ricerca sull’intelligenza artificiale fondato tra l’altro da Elon Musk e appartenente alla galassia Microsoft, inizia ad utilizzare un modello di Transformer di tipo “generativo pre-addestrato” (GPT, generative pre-trained transformer) per creare una famiglia di sistemi per la generazione del linguaggio naturale. Tale attività culminerà col lancio a fine 2022 di ChatGPT, un chatbot basato sulla terza versione di GPT (GPT-3) il quale sorprenderà tutti diventando in brevissimo tempo un fenomeno planetario e riaprendo inaspettatamente l’interesse e gli investimenti, nonché gli antichi dibattiti, sull’intelligenza artificiale.

L’incredibile successo di ChatGPT, che ha raggiunto i cento milioni di utenti in soli due mesi di attività, ha decretato l’improvviso successo delle IA cosiddette “generative”, ossia creatrici di contenuti, dando un fortissimo impulso alla ricerca e inducendo molte altre aziende e organizzazioni di ogni dimensione a proporre propri sistemi alternativi in concorrenza a ChatGPT.

In particolare, si sono inizialmente moltiplicate soprattutto le IA “conversazionali” o chatbot, sul tipo di ChatGPT, ossia sistemi che, basandosi su modelli linguistici estesi (LLM, large language model) e architetture di tipo Transformer, sono progettati per poter sostenere conversazioni plausibili (anche se non necessariamente corrette) con gli esseri umani. Ma sono state rapidamente sviluppate e immesse sul mercato IA generative di altra natura, in grado ad esempio di creare immagini fotorealistiche a partire da descrizioni testuali della scena o del soggetto da creare, o di creare composizioni musicali correttamente arrangiate e addirittura cantate da voci sintetiche seguendo le indicazioni stilistiche fornite dall’utente mediante una descrizione in forma testuale.

Da allora ad oggi, in soli due anni, questi sistemi sono stati ulteriormente migliorati: sia aumentando le loro capacità produttive mediante l’adozione di modelli più sofisticati e di addestramenti su insieme di dati assai più ampi, sia mettendoli in grado di interagire in modo più naturale con l’utente, ad esempio rendendoli capaci di comprendere il normale parlato per accettare comandi vocali impartiti tramite un microfono. La ricerca in questo campo, grazie anche ai fortissimi investimenti che sta raccogliendo, si muove oramai a passi da gigante.

IA e sicurezza

Si è molto dibattuto sui rapporti tra IA e sicurezza, intesa in termini piuttosto ampi: civile, militare, cibernetica. È infatti evidente che, in ultima analisi, un sistema di IA ben messo a punto dovrebbe essere in grado di prendere decisioni e attuare comportamenti in modo assai più rapido ed efficiente di quanto potrebbe fare un essere umano: e soprattutto senza soffrire gli effetti della stanchezza, della fame, della noia, della depressione, della paura. Un sistema di IA potrebbe dunque essere idealmente perfetto per governare un sistema d’arma automatico, potenzialmente autonomo e autosufficiente oltre che micidialmente letale. Ma per lo stesso motivo un sistema di IA potrebbe, all’opposto, consentire una difesa e magari anche una controffensiva altrettanto automatica, rapida e precisa.

Ecco, quindi, che le potenziali applicazioni militari dell’IA, benché assai meno pubblicizzate e divulgate rispetto a quelle civili, suscitano da sempre il forte interesse da parte di molti governi. Il timore è infatti che possano addirittura rovesciare i tradizionali rapporti di forza tra gli Stati, avvantaggiando militarmente non chi ha più truppe o carri armati ma chi è in grado di impiegare la tecnologia più “smart”. La loro effettiva introduzione potrebbe quindi essere realmente dirompente sul piano geopolitico.

Ma se nel tradizionale warfare cinetico, almeno a quanto se ne sa, ancora nessun esercito è in grado realmente di schierare sistemi d’arma totalmente asserviti all’IA (forse anche perché nessuno si fida abbastanza di loro), in quello cibernetico le cose sembrano essere diverse. Già da diversi anni infatti si adottano comunemente, per creare sistemi di difesa contro gli attacchi informatici, tecniche di IA (o, più realisticamente, di machine learning) in grado, almeno potenzialmente, di rilevare più rapidamente una minaccia in corso effettuando l’analisi dei segnali deboli, la correlazione tra eventi apparentemente indipendenti, il rilevamento di comportamenti anomali, e via dicendo. Il rapporto tra cybersecurity e IA è dunque piuttosto antico e consolidato, soprattutto nella messa a punto dei sistemi di difesa.

Di contro, la recente introduzione delle nuove IA generative sembra aver dato un’arma in più agli attaccanti, i quali hanno rapidamente imparato a sfruttare le loro abilità per sviluppare nuovi e più efficaci malware o confezionare messaggi di phishing più circostanziati e credibili. Per non parlare della generazione di deep fake sempre più sofisticati, e non limitati alle sole immagini ma indirizzati soprattutto alla riproduzione della voce parlata altrui, mediante i quali le organizzazioni criminali confezionano truffe sempre più verosimili.

Un caso pratico è quello, sempre più comune, della cosiddetta CEO fraud. In sostanza consiste nel chiamare al telefono il responsabile amministrativo di una azienda, con la voce falsificata del suo amministratore delegato generata in tempo reale mediante un’applicazione di IA, al fine di indurlo a disporre un bonifico urgente su un conto off-shore per una presunta operazione riservata. Ovviamente il destinatario del bonifico sarà l’organizzazione criminale che ha predisposto la frode, e che provvederà a far sparire definitivamente i soldi pochi secondi dopo il loro accredito.

Sicurezza dell’IA

I rapporti tra IA e sicurezza, tuttavia, non si limitano ai due soli scenari appena visti, nei quali i sistemi di IA possono essere usati per attaccare o per difendere: esiste infatti un terzo scenario in cui il sistema di IA non è né l’attaccante né il difensore bensì la vittima, ossia l’oggetto stesso dell’attacco.

Si tratta evidentemente di un tema estremamente rilevante, dato che dai sistemi di IA dipenderà sempre di più l’erogazione di funzioni e servizi critici per la società: ma purtroppo è ancora poco studiato e affrontato. Finora, infatti, non sembrava necessario preoccuparsi del rischio di possibili attacchi verso le IA, dato l’utilizzo in qualche modo limitato e specialistico che se ne faceva: ma col diffondersi in ogni settore e a tutti i livelli di sistemi e applicazioni basati su IA, e anche in considerazione della forte evoluzione della minaccia sia di matrice criminale che statuale, diventa necessario occuparsene.

Non si parla ovviamente di attacchi cyber tradizionali, condotti cioè verso i server che ospitano le applicazioni di IA: ma di veri e propri attacchi semantici, basati sui dati e indirizzati a sfruttare ad arte determinate caratteristiche o limitazioni intrinseche, strutturali e “comportamentali”, delle IA. Tali caratteristiche possono rappresentare fattori di rischio di per sé, ossia possono provocare malfunzionamenti “in buona fede” del sistema di IA; ma possono addirittura costituire vere e proprie vulnerabilità, le quali possono essere sfruttate dolosamente da eventuali malintenzionati al fine di sabotare deliberatamente il sistema portandolo a malfunzionare su comando.

Tutti i sistemi di IA, in misura maggiore o minore, sono a rischio di attacchi semantici: questi, infatti, sfruttano come vettore di attacco gli stessi dati di input che il sistema riceve dall’esterno, opportunamente formati o manipolati dall’attaccante, e non richiedono alcun tipo di accesso al sistema informatico sottostante. Nella grande maggioranza dei casi tali attacchi sono anche molto facili da compiere, e invece assai difficili da prevenire.

Limiti dei sistemi di IA generativa

Per quanto riguarda i sistemi generativi basati su LLM, oggi tanto di moda, uno dei problemi principali è costituito proprio dalla loro stessa natura: essi sono infatti costruiti per fornire ad ogni costo una risposta “plausibile”, ma non necessariamente “corretta”. Questa non tanto sottile sfumatura viene di solito non sufficientemente compresa dall’utilizzatore medio di tali sistemi, il quale di fronte alle loro risposte apparentemente argomentate e convincenti ritiene implicitamente che esse siano anche automaticamente veritiere e corrette. Ciò capita in modo più evidente quando, ad esempio, si chiede ad una IA generativa di risolvere un problema logico o matematico: non essendo infatti dotata di reali capacità analitiche, essa imbastirà una risposta “a pappagallo” apparentemente convincente ma in realtà del tutto inattendibile, perché priva di una reale comprensione del contesto e dei relativi meccanismi risolutivi.

Ma c’è di più: quando una IA generativa non ha informazioni sufficienti per fornire una risposta, anche nel caso di una banale ricerca, le inventa di sana pianta: si chiamano tecnicamente “allucinazioni” e sono, purtroppo, inevitabili proprio per come è fatta la struttura di tali sistemi. A volte queste allucinazioni sono talmente grossolane da balzare agli occhi con grande evidenza, ma in altri casi sono così plausibili e perfettamente integrate nel contesto da non creare sospetti a chi non le esamini con attenzione.

A tal proposito tutti ricorderanno uno dei primi e più famosi casi a salire agli onori della cronaca, quello dell’avvocato statunitense Steven Schwartz che nel maggio del 2023 fu sanzionato dal giudice distrettuale Kevin Castel per aver presentato al tribunale di Manhattan una memoria difensiva basata sulla citazione di sette casi precedenti i quali, all’analisi della controparte, si erano rivelati del tutto inesistenti. Li aveva infatti inseriti autonomamente ChatGPT, cui l’avvocato aveva delegato la scrittura del documento, per meglio corroborare la tesi difensiva. Peccato però che, in assenza di reali precedenti giudiziari riferibili a casi analoghi a quello in esame, la IA li avesse tranquillamente inventati di sana pianta: e lo ha fatto corredandoli di una tale dovizia di particolari fasulli (numero di sentenza, tribunale di riferimento, attori interessati) da renderli assolutamente credibili ad una lettura non particolarmente approfondita.

Vulnerabilità dei sistemi di IA inferenziale

Ma anche i più antichi e consolidati sistemi di IA inferenziale basati su reti neurali citati in precedenza, benché si dimostrino assai affidabili nel loro uso normale come “riconoscitori” o “classificatori”, risultano invece particolarmente suscettibili ad alcuni tipi di attacchi piuttosto insidiosi mediante i quali è possibile indurre micidiali malfunzionamenti nei loro comportamenti.

Ad esempio, è possibile modificare ad arte un segnale stradale per far sì che l’IA di controllo di un veicolo a guida autonoma non lo riconosca o, peggio, ne equivochi il significato. In un famoso studio pubblicato negli atti della conferenza tecnica internazionale dell’IEEE (Institute of Electrical and Electronics Engineers) sulla computer vision del 2018, il ricercatore Kevin Eykholt della IBM ha dimostrato come quattro piccoli pezzi di nastro adesivo opportunamente posizionati su un cartello di stop, benché sostanzialmente insignificanti per un guidatore umano, siano invece sufficienti a far sì che un veicolo autonomo interpreti il segnale come limite di 45 miglia all’ora. Ciò significa che il veicolo in questione, una volta giunto in prossimità dello stop, non solo non si fermerebbe ma anzi partirebbe a razzo alla velocità di circa 90 chilometri orari, con le immaginabili conseguenze del caso.

Un altro studio condotto dal MIT e dall’Università di Harvard, pubblicato su Science nel 2019, ha mostrato come un altrimenti affidabilissimo sistema di diagnosi automatica della malignità dei nei cutanei, basato su una IA in grado di interpretare le immagini e largamente usato nella pratica medica in molti ospedali statunitensi, possa essere indotto a formulare diagnosi errate semplicemente alterando in maniera impercettibile all’occhio umano le immagini dermatoscopiche che gli vengono sottoposte per l’analisi. Una semplice perturbazione basata su un pattern di rumore bianco, sommata all’immagine, fa sì infatti che il sistema giudichi maligne delle formazioni benigne e viceversa; e siccome tale alterazione non è percepibile dallo specialista umano, questi può non avere alcun sospetto che il sistema stia fornendo diagnosi errate fino a che non sia troppo tardi.

È facile anche ingannare i riconoscitori di volti: già uno studio condotto nel 2017 da alcuni ricercatori della Carnegie-Mellon University aveva mostrato come fosse possibile costruire dei curiosi “occhiali” privi di lenti e con montature vivacemente colorate che, una volta indossati, alterano talmente tanto nella percezione della macchina la fisionomia del soggetto che li indossa da renderlo irriconoscibile al sistema. Uno studio più recente della Università Ben-Gurion del Negev ha addirittura evidenziato come risultati analoghi possano essere ottenuti semplicemente applicando sul volto un attento e non particolarmente invasivo make-up impiegando normali cosmetici da profumeria.

Sulla base di tutti questi studi sono state infine realizzate, e vengono addirittura commercializzate su Internet da negozi specializzati, delle magliette su cui sono stampati speciali schemi astratti formati da linee e colori che, pur apparendo irrilevanti all’occhio umano, riescono a confondere le IA per il riconoscimento facciale ad un livello tale che colui che le indossa diventa praticamente invisibile: ossia la telecamera di sorveglianza non si limita a non riconoscerlo, ma non ne percepisce neppure la presenza stessa.

Attacchi alle IA: obiettivi

Ma chi e perché potrebbe avere interesse ad attaccare i sistemi di IA? La prima risposta ovvia è: la criminalità, tipicamente a fini estorsivi. Una seconda risposta è: gli Stati, a fini di sabotaggio. Una terza è: le organizzazioni terroristiche, al fine di creare allarme sociale. Ma i possibili scenari sono in realtà diversi e più sfaccettati. Per analizzarli brevemente conviene ragionare piuttosto sui possibili obiettivi, o risultati attesi, che l’attaccante si prefigge.

Il primo scenario è dunque quello indirizzato a “provocare danni”. L’attaccante vuole, cioè, causare semplicemente dei danni più o meno immediati a cose o a persone, come conseguenza del malfunzionamento da lui indotto nel sistema di IA.

Lo scopo potrebbe essere ad esempio far sì che un veicolo autonomo ignori i segnali di stop e vada a schiantarsi contro altri veicoli o investa i pedoni; oppure fare in modo che un sistema per la valutazione clinica di immagini di neoplasie sbagli le proprie diagnosi, così che i pazienti realmente malati vengano privati delle cure di cui avrebbero effettivamente bisogno (falsi negativi) e viceversa quelli sani vengano sottoposti a trattamenti di cui non avrebbero bisogno (falsi positivi).

Il secondo scenario è invece quello indirizzato a “nascondere qualcosa”. In questo caso l’attaccante vuole eludere il rilevamento di qualcosa (un contenuto, un’azione, un comportamento) da parte di un sistema di IA che ha lo scopo di rilevare ed eventualmente bloccare gli elementi anomali o non consoni.

In questo scenario lo scopo potrebbe essere quello di alterare il funzionamento di un filtro di contenuti addestrato a bloccare materiale indesiderato (propaganda terroristica, pedopornografia o altro) su una rete di comunicazione o social network, facendo in modo che esso non venga identificato e possa quindi essere trasferito senza ostacoli; oppure inibire le funzioni di riconoscimento facciale, biometrico o di altro tipo (veicoli, targhe…) da parte di telecamere di sicurezza AI-based per poter accedere indisturbati in locali o ambienti protetti.

Infine, il terzo scenario è quello indirizzato a “minare la fiducia nel sistema di IA”: l’attaccante vuole dunque fare in modo che chi gestisce e opera il sistema si convinca che esso stia funzionando male, dubiti sistematicamente della validità dei risultati che fornisce, e arrivi così a ignorarlo o addirittura disattivarlo.

In questo caso, dunque, l’obiettivo è far sì che un sistema di IA, il quale effettivamente sta svolgendo bene il suo lavoro, venga spento o comunque disabilitato, così da lasciare campo libero a qualche ulteriore azione malevola, o anche solo per provocare oneri aggiuntivi o disagi a qualcuno. Ad esempio, l’attaccante potrebbe indurre un sistema automatizzato di cybersecurity a segnalare come attacchi degli eventi comuni e innocui, innescando così una raffica di falsi allarmi che condurrebbe alla sua disattivazione da parte di un operatore esasperato; oppure fare in modo che un sistema di monitoraggio e analisi predittiva di qualche processo ad alta complessità fornisca risultati talmente assurdi da costringere i gestori a passare a qualche forma di servizio degradato o addirittura manuale.

Cosa fare?

Per poter utilizzare correttamente e in modo sicuro un sistema di IA occorre innanzitutto avere la giusta consapevolezza dei suoi limiti e dei suoi difetti: nessun sistema costruito dall’uomo è perfetto e infallibile, e le IA non fanno eccezione. Nel caso dei sistemi di IA, tuttavia, la situazione è più complicata per via della loro complessità e della loro intrinseca inesplicabilità: caratteristiche che rendono difficile stabilire il perché di un certo risultato, e dunque anche comprendere se il sistema stia malfunzionando oppure no.

È importante a tal riguardo ricordarsi sempre che tutti i sistemi di IA imparano dall’esperienza, la quale può essere fornita o dallo specifico addestramento (training) cui sono stati sottoposti dal loro produttore in fase di messa a punto o dalla normale attività di esercizio sul campo (a volte anche entrambe le cose). Gli algoritmi di IA, infatti, stabiliscono come il sistema “apprenderà” ma non necessariamente come si “comporterà” in ogni singolo caso specifico, perché ciò dipende appunto dal suo training e/o dalla sua storia pregressa.

Per quanto riguarda nello specifico le IA generative che, chi più chi meno, oramai quasi tutti utilizziamo frequentemente nella nostra vita quotidiana, è necessario soprattutto tenere sempre ben presente che il loro scopo è quello di fornire risposte a tutti i costi, e che il meccanismo di costruzione delle risposte è fatto perché esse siano verosimili ma non necessariamente corrette. Le IA generative sono fortemente suscettibili ai rischi di allucinazioni, cioè di fornire risposte plausibili ma inventate. Per questo, ad esempio, non dovrebbero essere usate per fare ricerche generalistiche al posto di Wikipedia o di un motore di ricerca specializzato: sono invece estremamente affidabili in compiti quali l’analisi e la comprensione di testi oppure la correlazione, la schematizzazione e la sintesi di documenti anche molto complessi.

Ricordiamo comunque che anche per esse vale il principio per cui la qualità e l’affidabilità dei risultati dipendono fortemente dalla qualità del training cui sono state sottoposte. Pertanto un LLM addestrato a partire dai dati aperti reperibili su Internet, come sono ad esempio i chatbot della famiglia ChatGPT e i loro vari emuli, avrà certamente una conoscenza più ampia e variegata di un sistema addestrato su un corpus specifico di documenti selezionati, e dunque sarà più brillante e creativo nelle sue produzioni; ma di contro fornirà contenuti di minore qualità e valore, perché avrà attinto la sua conoscenza non solo da lavori universitari, da quotidiani e testate autorevoli o da siti generalmente affidabili quali Wikipedia, ma anche dai blog dei terrapiattisti, dai siti dei complottisti e da tante altre fonti non verificate o di dubbia provenienza.

In generale, dunque, si può dire che non si dovrebbe mai usare una IA, soprattutto di tipo generativo, per svolgere in modo acritico compiti importanti: se si prende per buono ogni risultato verosimile fornito, senza prima verificarlo, si rischia di commettere errori grossolani e molto gravi, che possono anche comprendere elementi discriminativi verso persone o categorie.

A tal proposito è importante notare che l’Organizzazione Mondiale per gli Standard (ISO) ha di recente pubblicato la norma internazionale ISO/IEC 42001 Information technology – Artificial intelligence – Management system che indirizza proprio l’uso responsabile, etico e trasparente della IA nelle organizzazioni.

Questa norma nasce a fini certificativi, quindi un’organizzazione che la adotta può dimostrare la sua conformità sottoponendosi ad un audit formale di terza parte svolto da un organismo di certificazione accreditato. Si tratta infatti di uno “standard di sistema di gestione” (MSS, management system standard), finalizzato a mettere in atto all’interno di una organizzazione politiche e procedure per la governance dell’intelligenza artificiale. A tal fine essa specifica i requisiti per stabilire, implementare, mantenere e migliorare con continuità un sistema di gestione dell’intelligenza artificiale (AIMS, artificial intelligence management system) all’interno di un’organizzazione che fornisca o utilizzi prodotti o servizi basati sull’intelligenza artificiale, al fine di garantirne lo sviluppo e l’uso responsabili.

Così dunque come avviene per le più note norme ISO 9001 (qualità) e ISO/IEC 27001 (sicurezza delle informazioni), mediante le quali un’organizzazione può adottare volontariamente dei modelli standard di best practice per la gestione di alcuni processi rilevanti, e se vuole può anche ottenere una dimostrazione oggettiva di conformità ottenendo la relativa certificazione, anche un’azienda o un’organizzazione che volessero adottare un modello allo stato dell’arte di impiego dell’IA possono utilmente seguire la norma ISO/IEC 42001 a livello di buona pratica, salvo poi se lo desiderano richiedere la certificazione. In molti casi potrebbe essere un ottimo modo per essere certi di aver fatto tutto il possibile per garantirsi un utilizzo responsabile dei sistemi di IA.

Passando invece al problema degli attacchi deliberati verso le IA, soprattutto quelle basate su motori inferenziali, purtroppo esso non può essere facilmente risolto dall’utilizzatore finale del sistema: è infatti il costruttore del sistema stesso che dovrebbe affrontarlo in modo strutturale in fase di progettazione, mentre l’utilizzatore può al massimo adottare misure di mitigazione nel loro impiego.

Purtroppo, la maggior parte dei sistemi di IA inferenziale oggi in produzione è stata progettata senza tenere conto del rischio di attacchi o sabotaggi, semplicemente perché ai tempi degli studi che hanno consentito di svilupparli non esisteva il problema della loro sicurezza. È dunque accaduto un po’ ciò che era già successo con le cinture di sicurezza per le automobili, le quali non sono state inventate assieme all’automobile stessa ma sono state introdotte come retrofit molto tempo dopo, quando le automobili erano diventate oggetti di uso comune, a seguito della maturazione della coscienza relativa alla pericolosità degli incidenti stradali.

Per venire incontro ai produttori di sistemi di IA, fornendo loro linee guida progettuali e standard tecnici che li aiutino a rendere più sicuri i loro prodotti contro gli attacchi semantici, stanno ultimamente iniziando a nascere iniziative di studio e di indirizzo da parte di agenzie internazionali come l’ENISA europea o il NIST statunitense, e anche di enti internazionali di standardizzazione come ETSI (European Telecommunications Standards Institute). La materia è lungi dall’essere consolidata e siamo ancora lontani dall’avere non solo dei veri e propri standard in materia ma anche semplicemente delle buone pratiche condivise, ma almeno il problema inizia a essere percepito e si sta ragionando su quale sia il modo migliore per affrontarlo.

Va comunque notato a tal proposito che l’ETSI, ossia l’organismo di standardizzazione europeo riconosciuto dalla Commissione Europea per lo sviluppo di norme armonizzate in campo tecnico, già nel 2019 aveva creato al proprio interno lo Industry Specification Group on Securing Artificial Intelligence (ISG SAI), ossia un gruppo di esperti avente il compito di studiare il modo migliore per sviluppare specifiche tecniche industriali indirizzate alla mitigazione delle minacce derivanti dal dispiegamento dell’IA e delle minacce ai sistemi di IA, provenienti sia da altre IA sia da entità convenzionali.

Svolgendo dunque attività di pre-standardizzazione, l’ISG SAI aveva lo scopo di inquadrare i problemi di sicurezza derivanti dall’IA e di costruire le basi di una risposta a più lungo termine alle minacce rivolte vero l’IA, sponsorizzando il futuro sviluppo di specifiche normative tecniche. Fra l’ottobre 2019 e il novembre 2023, nonostante il rallentamento imposto ai lavori dalla pandemia di Covid-19 sopraggiunta, nel frattempo, l’ISG SAI ha comunque prodotto nove documenti di alto livello che delimitano il problema.

Infine il 4 dicembre 2023, in vista della allora prossima pubblicazione del Regolamento europeo sull’Intelligenza Artificiale (AI Act) da parte del Parlamento europeo, ETSI ha creato un Comitato Tecnico formale sulla messa in sicurezza dell’Intelligenza Artificiale (Technical Commitee on Securing Artificial Intelligence, TC SAI) per poter essere pronto ad indirizzare le eventuali richieste di standard provenienti dalla Commissione; contestualmente il ISG SAI è stato chiuso, e le sue attività sono state trasferite al nuovo TC SAI. Quest’ultimo non ha comunque perso tempo e, fra marzo ed aprile 2025, ha già emanato ben tre specifiche tecniche formali che, rispettivamente, forniscono l’ontologia di base del problema e le relative definizioni (ETSI TS 104 050), indirizzano la esplicabilità e la trasparenza delle IA (ETSI TS 104 224), e soprattutto forniscono i requisiti di base per la cybersecurity dei sistemi di IA e dei relativi modelli (ETSI TS 104 223).

La situazione attuale è dunque che l’Europa non solo ha coscienza della necessità di creare una nuova generazione di sistemi di IA più sicuri e protetti contro attacchi ed attività malevole, ma ha già iniziato a dotarsi di standard tecnici di riferimento che indichino all’industria i percorsi da seguire.

Conclusioni

L’intelligenza artificiale, grazie ai recenti sistemi generativi basati su architetture Transformer e modelli linguistici di grandi dimensioni, sta improvvisamente vivendo un momento di forte popolarità e di enorme successo commerciale. La grande euforia sulle sue potenziali capacità, complice il non disinteressato contributo del mercato, ha tuttavia portato l’opinione pubblica a sopravvalutarne le potenzialità e sottovalutarne limiti e difetti, e ciò rischia di rivelarsi un pericoloso boomerang.

Nello storytelling mediatico i “nuovi” sistemi di IA vengono infatti presentati come una panacea applicabile a qualsiasi ambito e in grado di risolvere qualsiasi problema; e chi prova a invocare un minimo di sana cautela rischia di essere tacciato di oscurantismo o accusato di voler fermare il progresso.

La realtà come al solito sta nel mezzo. I moderni sistemi di IA hanno indubbiamente delle capacità notevoli ed esprimono potenzialità ancor più significative, molte delle quali ancora neppure ben comprese: ma non sono adatti a qualunque applicazione, né sono perfetti e infallibili. L’approccio fideistico con cui li si sta frettolosamente introducendo nelle aziende, anche per cavalcare la moda, è forse un po’ troppo imprudente perché rischia da un lato di deludere le esagerate aspettative che si sono create, e dall’altro di introdurre nuovi ordini di problemi.

Il punto principale che ogni utilizzatore dovrebbe tenere presente, sia esso un singolo utente o un’intera organizzazione, è che un sistema di IA dovrebbe essere un supporto all’attività umana, seppure di straordinaria potenza e versatilità, e non un sostituto ad essa. Dunque, non si dovrebbe mai lasciar prendere una decisione importante ad un sistema di IA, o fargli svolgere un’attività complessa, in totale autonomia: ossia senza il conforto di un qualche processo di controllo, automatico o supervisionato da un esperto umano, il quale verifichi indipendentemente la validità o almeno la coerenza dei risultati forniti. E ciò almeno fino a che avremo a che fare con l’attuale generazione di sistemi di IA, che sono forse molto “intelligenti” ma certamente non particolarmente “furbi”.

Sulla questione, infine, se essi possano realmente pensare o no… si rimanda il lettore al saggio di Turing del 1950!

Scritto da

Corrado Giustozzi