di Francesco Domenico ATTISANO
La buzzword del momento è ChatGPT(1). Googlando il termine risultano circa 1.000.000.000 di risultati. Un numero impressionante in così poco tempo.
È una parola che sta sulla bocca di tutti, ma non tutti sanno che è una chatbot basata sull’intelligenza artificiale generativa e l’apprendimento automatico adattivo, sviluppata da OpenAI (specializzato nella conversazione con un utente umano).
In ottica aziendale privata e pubblica (il lavoratore e le terze parti correlate alla stessa organizzazione), seppur si stia iniziando a utilizzare ChapGPT(2), più per curiosità che per assistenza al lavoro, non si conoscono pienamente le potenzialità (positive ma anche negative)(3).
Ma in che modo le organizzazioni ne sfrutteranno le capacità e affronteranno le opportunità ma anche le minacce?
La nuova tecnologia linguistica (in grado di fornitre risposte a domande e quesiti di diversa natura) e l’utilizzo delle chatbot di nuova generazione (già dopo ChatGPT ne sono state sviluppate molte altre) in una vasta gamma di nuove applicazioni aziendali, che potrebbero supportare tutti i processi aziendali, sta aprendo nuovi scenari che vanno considerati, sia nella vita sociale che in quella lavorativa – aziendale. In termini di opportunità, la possibilità di avere benefici e semplificazioni per la scrittura di testi, report, effettuare traduzioni, scrivere o decifrare codici di programmazione informatica, sfruttare ChatGPT per il customer service, il social media marketing o per effettuare ricerche statistiche, non è cosa da poco.
Insomma, indipendentemente dalla propria visione del potenziale di ChatGPT e di tecnologie simili, questi strumenti andranno a crescere. Considerato ciò, bisogna iniziare quanto prima a conoscerle per sfruttarle, ma anche affrontarle e gestirle in maniera consapevole.
Secondo i guru dell’intelligenza artificiale, l’AI non sostituirà le persone nelle aziende, anzi le persone con l’AI avranno più opportunità, con l’altrettanta minaccia che siano le stesse persone a voler sostituire o ridimensionare organizzativamente chi non sarà in grado di utilizzarle. Secondo questa visione, ChapGPT va considerato come uno strumento supplementare per l’apprendimento organizzativo, come fosse un collaboratore al servizio del capitale umano aziendale.
Alla luce di ciò, le strutture di governance, rischi e controlli delle entity dovrebbero essere tra le prime all’interno della propria organizzazione ad adattarsi all’impatto rivoluzionario di questa nuova tecnologia di chatbot.
A conferma di ciò, secondo Gartner(4), che ha condotto una survey nel secondo trimestre del 2023, l’intelligenza artificiale generativa (di cui ChatGPT è uno degli strumenti – applicazioni più percepibili e a portata di tutti) è diventata un rischio emergente per le imprese, una delle principali preoccupazioni per il top management e management delle organizzazioni, vista l’ampiezza dei potenziali casi d’uso, e quindi delle potenziali minacce e opportunità che questi strumenti generano”.
Andando nel concreto, gli output generati da ChatGPT, ma anche gli input immessi dalle persone – utenti, sono soggetti a numerosi rischi e limitazioni. La sfida più immediata per gli Assurance Provider sarà quella di comprendere quali siano tutti i rischi di ChatGPT. Ad esempio, tra i principali, senza alcuna pretesa di esaustività, si segnalano:
Bias e risultati imprecisi – con rischi operativi
Forse il problema più comune con ChatGPT è proprio il rischio generale di fornire informazioni non accurate o errate, anche se superficialmente plausibili, talvolta anche inventate o non propriamente reali. In quanto, i modelli linguistici (Large Language Model) come ChatGPT utilizzano milioni di testi per addestrarsi, e quest’ultimi potrebbero incorporare involontariamente dei bias. Pertanto, se questi errori sono presenti nei dati di addestramento, i consigli e le risposte di ChatGPT potrebbero risentirne. Nella pratica un dipendente potrebbe scrivere un report che contiene errori e tale report viene poi trasmesso al senior management che potrebbe erroneamente utilizzarlo come componente di una decisione aziendale critica.
Tali bias potrebbero avere gravi ripercussioni anche nell’enterprise risk management, determinando una rappresentazione errata delle situazioni di rischio, o valutazioni di rischio imprecise ovvero un non adeguato trattamento del rischio. Identificare e mitigare i bias nei dati di formazione e addestramento, così come il monitoraggio della qualità dei dati e delle risposte di ChatGPT, sono step fondamentali che le organizzazioni devono effettuare per garantire l’equità, l’adeguatezza e l’accuratezza dei risultati.
Conformità – privacy e riservatezza dei dati dell’organizzazione
Qualsiasi informazione sensibile, riservata o di proprietà dell’organizzazione inserita in ChatGPT, nel caso in cui il lavoratore non abbia disabilitato la cronologia chat, potrebbe diventare parte del set di dati di addestramento di ChatGPT, per poi essere riversata nel web.
Tali informazioni utilizzate nei prompt, quindi, possono essere incorporate nelle risposte per utenti esterni all’organizzazione. Stessa situazione potrebbe verificarsi nel caso in cui i dipendenti utilizzando ChatGPT carichino informazioni di identificazione personale dei clienti per scrivere un rapporto – report ovvero per riassumere dati finanziari non pubblicati e riservati.
Altri eventi rischiosi da considerare, sono quelli relativi alla proprietà intellettuale e al materiale protetto da copyright
Come detto in precedenza, essendo ChatGPT addestrato su una grande quantità di dati catturati sul web, i suoi risultati hanno il potenziale per violare il diritto d’autore o la proprietà intellettuale. Ciò significa che risulta necessaria una maggiore in-formazione aziendale, su come proteggere la proprietà intellettuale nella nuova era dell’intelligenza artificiale.
Ancora, l’utilizzo di ChatGPT potrebbe comportare rischi di sicurezza e frode informatica
I truffatori sono particolarmente abili nel trovare usi impropri per le nuove tecnologie. Ad esempio, i malintenzionati potrebbero generare informazioni false su vasta scala (ad esempio recensioni false) per trarne vantaggio. Inoltre, le applicazioni che utilizzano modelli LLM (come ChatGPT), sono anche suscettibili al prompt injection(5). Inoltre, gli aggressori potrebbero utilizzare ChatGPT per scrivere malware, compromissioni di e-mail dell’azienda, attacchi di phishing più convincenti e grammaticalmente corretti e minacce simili. Man mano che diventa più facile generare e implementare questi attacchi, questi diventeranno sempre più comuni.
Fronteggiare il rischio ChatGPT con una policy
Una volta che l’organizzazione ha individuato una mappa degli eventi rischiosi che ChatGPT può comportare, lo step successivo è implementare una policy di utilizzo interno e vs i clienti – utenti (o aggiornare le politiche organizzative esistenti, al fine di garantire che le stesse siano adeguate anche per la gestione dell’utilizzo aziendale di ChatGpt) per ridurre i rischi. Ad esempio, potrà essere necessario rivedere le policy di cyber security e antifrode, per ridurre le minacce esterne e interne all’organizzazione. In tal senso, vanno considerati anche gli obblighi di privacy che si hanno con i dati dei clienti, personalizzando le politiche e procedure di impiego di ChatGPT, per evitare violazioni della privacy o incorrere in responsabilità legali o etiche vs i propri stakeholders.
L’utilizzo dell’intelligenza artificiale, inoltre, si ripercuote anche sulla reputazione dell’organizzazione, pertanto sarebbe opportuno procedere anche alla formalizzazione e tracciatura del processo implementativo, al fine di documentare questo nuovo percorso di accountability e responsibility dell’entity e rispondere ad eventuali richieste che potrebbero pervenire dai revisori esterni, o dalle Authority o dai partner commerciali o istituzionali.
Conclusioni
In questo contesto evolutivo, gli Assurance Provider di secondo livello (ed in particolare Information Secury, DPO, Risk Mgt, Compliance) e l’Internal Audit (in qualità di struttura di terzo livello e di catalizzatore delle informazioni vs il vertice dell’organizzazione) hanno la corresponsabilità di garantire l’implementazione sicura e protetta delle tecnologie AI all’interno dell’organizzazione, cercando di anticipare e gestire le potenziali minacce oltre a fornire “assurance” generatrice o rafforzatrice di cultura digitale e nel contempo sostenibile a 360°. Ebbene sì, la corporate culture rimane sempre uno dei pilastri fondamentali per creare una governance volta al raggiungimento degli obiettivi (dagli strategici a quelli operativi dell’organizzazione e del management come singolo componente del capitale umano aziendale).
Per questo le funzioni di controllo e gestione dei rischi dovranno imparare velocemente a comprendere le minacce e le opportunità per affrontare le sfide della sicurezza presentate dall’intelligenza artificiale generativa, al fine di supportare il proprio Board e l’intera organizzazione.
Nella sostanza, risulta necessario sensibilizzare il proprio vertice aziendale su ChatGPT, per avviare considerazioni strategiche. Perché non chiedere un incontro e iniziare a mettere sul tavolo il tema, per parlarne e valutare insieme se adottare la nuova tecnologia. Conviene essere tra i primi o aspettare i concorrenti? Come adottarla e intraprendere la giusta strada per sfruttarne le potenzialità e mitigare le minacce?
In conclusione, si ritiene che sfruttare le potenzialità in maniera responsabile e sostenibile è fondamentale per la governance dei rischi tecnologici in evoluzione, correlati alla digitalizzazione delle organizzazioni e sempre più concatenati con altre tipologie di eventi rischiosi negativi (di conformità, finanziari, operativi, privacy, frode), senza tralasciare opportunità e benefici.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) La sigla GPT sta per Generative Pre-trained Transformer, una tecnologia nuova applicata al machine learning.
(2) Secondo il suo sviluppatore ChatGPT, utilizzando oltre 175 mld di parametri, consente di generare risposte, simili a quelle umane, agli input di testo in modo conversazionale.
(3) Alla base di ChatGPT, c’è una tecnologia che sfrutta il Natural Language Processing (NLP), ovvero un’AI basata sull’interazione tra computer e linguaggio umano. Alla base di ChatGPT vi è quindi un algoritmo in grado di analizzare e mettere in relazione tra loro miliardi di dati e informazioni.
(4) Cfr. Gartner Survey | Top emerging Risk Trends
(5) Tecnica di hacking in cui vengono utilizzati prompt nemici e dannosi, per indurre il modello a eseguire attività per le quali non era previsto lo scopo iniziale, come scrivere codici malware o sviluppare phishing su larga scala ovvero creare siti fittizi che assomigliano a siti noti (per catturare informazioni e dati sensibili e/o personali).