Uso non autorizzato dell’IA al lavoro: i rischi per le aziende e come tutelarsi

IA a lavoro all’insaputa dell’azienda: i dati

Tuttavia, un’indagine di Salesforce condotta su oltre 14.000 lavoratori, tra cui 1.002 italiani, evidenzia una realtà allarmante: molti di questi lavoratori ricorrono all’IA senza aver ricevuto un’autorizzazione dall’azienda.

In Italia, in particolare, il 17% dei lavoratori intervistati ha dichiarato di avvalersi degli strumenti di GenIA ed il 49% di questi senza ricevere approvazione dal proprio datore di lavoro. Inoltre, il 54% ha presentato il lavoro svolto da un’intelligenza artificiale generativa come proprio.

Tale realtà interessa i lavoratori della conoscenza, ossia coloro che producono, controllano ed utilizzano le informazioni. Trattasi dei lavoratori intellettuali o comunque «d’ufficio».

Ciò in quanto i lavoratori della conoscenza di oggi vengono travolti quotidianamente da un flusso incessante di informazioni digitali e da canali di comunicazione sempre attivi quali, ad esempio, l’e-mail, le notifiche, la messaggistica istantanea. Questo sovraccarico cognitivo genera per il lavoratore un “debito digitale”, ossia un arretrato di informazioni sempre più crescente che necessitano di essere elaborate per produrre un determinato risultato.

L’aiuto dell’IA generativa nelle attività di carattere creativo

In questo contesto, dunque, viene in soccorso l’IA generativa.

Un tratto distintivo dell’attuale intelligenza artificiale è la capacità di svolgere non solo prestazioni di routine, come accadeva con le tecnologie precedenti, ma anche attività non abitudinarie, che richiedono una certa conoscenza implicita.

Diversamente dagli algoritmi di intelligenza artificiale classica che generano risultati basandosi strettamente sui dati e sui modelli appresi, l’intelligenza artificiale generativa, pur traendo ispirazione dai dati di addestramento, ha il pregio di produrre contenuti completamente nuovi.

Pertanto, ci troviamo davanti ad un’automazione che investe attività di carattere creativo, che in passato erano difficili da codificare, come l’elaborazione di testi, la creazione di contenuti multimediali, la scrittura di codici informatici; tutte attività per le quali ChatGPT o Dall-E, per citarne alcuni, hanno già dimostrato un certo expertise.

Tali tecnologie, dunque, permettono ai lavoratori della conoscenza di elaborare una significativa mole di informazioni, realizzare previsioni, valutare impianti o procedure, produrre contenuti celermente. In sintesi, attraverso la GenIA è possibile ridurre il peso del sovraccarico cognitivo, così da superare il «debito digitale».

GenIA e lavoro: rischi e criticità nascoste

L’intelligenza artificiale generativa, sebbene offra notevoli opportunità in termini di produttività, nasconde altresì rischi rilevanti sotto diversi profili, tenuto conto che tutti i dati di input forniti alla GenIA vengono conservati dai sistemi per alimentare i processi di apprendimento.

Quando un dipendente utilizza ChatGPT per portare a termine un compito, che si tratti di una semplice richiesta o di un progetto complesso, potrebbe inconsapevolmente dare in pasto al sistema parte del know how aziendale o persino informazioni riservate dei clienti.

Il caso Samsung

Il Caso Samsung occorso lo scorso anno lo dimostra.

Il colosso coreano decise di proibire l’utilizzo di ChatGPT ai propri dipendenti dopo aver scoperto alcuni episodi di data leak. In particolare, porzioni di codici vennero condivise con la piattaforma al fine di correggere errori od ottimizzare software.

L’azione intrapresa da Amazon

Diversa, invece, è stata l’azione intrapresa da Amazon, che, di fronte ad episodi di questo tipo, ha preferito avvertire i suoi dipendenti sull’importanza di ricorrere all’IA in modo responsabile.

Ricorrere all’IA generativa nasconde un ulteriore rischio, ossia quello di violare la proprietà intellettuale o industriale di terzi. Ciò in quanto è plausibile che i contenuti generati dall’IA contengano opere, marchi o invenzioni protette di cui l’utente non è al corrente. Tali contenuti, se introdotti nei servizi e prodotti aziendali, possono far incorrere l’impresa in ingenti richieste risarcitorie.

IA sul posto di lavoro: una duplice minaccia

È dunque evidente la duplice minaccia: da un lato, il rischio di una fuga accidentale di informazioni riservate; dall’altro lato, l’uso indebito della proprietà intellettuale ed industriale di soggetti terzi.

Dati e violazione della proprietà intellettuale ed industriale

Il dato aziendale non è l’unico tipo di informazione cui prestare attenzione; infatti, i prompt dei dipendenti possono contenere altresì dati personali. Se è vero che il sistema memorizza i dati di input per l’addestramento, sussiste il rischio che i modelli generativi possano inavvertitamente divulgare detti dati personali a soggetti non legittimati a conoscerli. Di conseguenza, l’azienda verrebbe esposta all’esercizio del potere sanzionatorio da parte dell’Autorità di controllo per essersi verificato un data breach.

Come per molti servizi gratuiti, i rischi fin qui descritti dipendono principalmente dall’assenza di garanzie di sicurezza nell’utilizzo delle licenze gratuite.

Le misure a tutela dei dati in caso di acquisto di licenze aziendali di Copilot

Microsoft, ad esempio, illustra sul proprio sito le misure a tutela dei dati in caso di acquisto di licenze aziendali di Copilot:

• “I messaggi e le risposte non vengono usati per addestrare i modelli di intelligenza artificiale sottostanti usati da Copilot, quindi è possibile sentirsi sicuri di usare i contenuti di lavoro con Copilot. Sia che tu stia copiando e incollando contenuto di lavoro in chat o caricando un file, il contenuto di lavoro è protetto”;
• “I dati della chat in Copilot sono crittografati durante la sessione di chat con protezione dei dati aziendali”;
• “Copilot ti aiuta a proteggerti da contenuti dannosi con la protezione dei dati aziendali”;
• “Le query di ricerca Bing attivate dalle richieste in Copilot non sono collegate all’account o all’organizzazione”.

Per contro, “leggendo tra le righe”, nelle licenze gratuite mancano le suindicate garanzie di sicurezza.

Il rischio di allucinazioni

A completare il quadro delle criticità legate all’utilizzo della GenIA sul lavoro vi sono le note “allucinazioni” di cui può soffrire. I modelli di intelligenza artificiale generativa, infatti, possono commettere errori, produrre risultati imprecisi, inesatti o persino inventati, alle volte con un impressionante livello di dettaglio ed un tono così autorevole da riuscire a convincere persino gli esperti.

Le cause di questo fenomeno possono essere varie: la presenza di bias nei dati di addestramento, un adattamento eccessivo del modello ai dati (c.d. overfitting) o, ancora, l’ambiguità della richiesta formulata dall’utente.

Senza un meccanismo di validazione degli output, infatti, l’errore dell’IA rischia di trasformarsi nell’errore del dipendente.

In che modo possono tutelarsi le aziende

Come è chiaro, quanto più i sistemi di IA generativa si diffondono e si sviluppano in vari modi, tanto più le sfide relative alla sicurezza delle informazioni si moltiplicano.

I dati costituiscono asset preziosi per l’impresa ed un pieno controllo sulla filiera dei dati aziendali è possibile soltanto sa la stessa è in grado di prevenire correttamente situazioni di conflitto con il sistema di sicurezza adottato.

Dal “2024 Work Trend Index” emerge che gli utenti riconoscono nell’IA un valido supporto sul lavoro. In particolare, per risparmiare tempo (90%), concentrarsi sulle attività più importanti (85%), esprimere maggiore creatività (84%), nonché vivere il proprio lavoro in modo più gratificante (83%).

Sensibilizzare i lavoratori su criticità e implicazioni di usi non autorizzati

Tali dati suggeriscono che una chiusura verso l’utilizzo della GenIA, seguendo l’esempio di Samsung, potrebbe non essere la soluzione più vantaggiosa per la produttività e la competitività dell’impresa. Tuttavia, nel breve periodo, potrebbe rappresentare l’opzione più sicura, almeno fino a quando l’azienda non avrà analizzato il fenomeno, valutandone le implicazioni e definendo come affrontarlo.

«Consapevolezza» e «responsabilizzazione» sono i valori che devono orientare le imprese in tale sfida. È fondamentale, dunque, includere nel percorso formativo del proprio personale programmi di sensibilizzazione sulle criticità e sulle implicazioni connesse ad utilizzi non autorizzati di sistemi di IA, con particolare attenzione ai temi etici e legali rilevanti.

In questo modo, i dipendenti acquisiranno nozioni e pratiche per un approccio attento e consapevolmente critico verso tali tecnologie.

Inoltre, è imprescindibile per l’azienda dotarsi di una politica efficace sulle tecnologie emergenti, ossia che detti regole chiare e tracci confini precisi tra utilizzi consentiti e pratiche vietate, vincolando il personale alla sua osservanza ed attuazione.

In caso di apertura da parte dell’azienda verso l’utilizzo dell’IA generativa sul lavoro, occorrerà censire le piattaforme alle quali i dipendenti potranno ricorrere, previa attenta valutazione delle garanzie offerte dai fornitori rispetto alla sicurezza delle informazioni.

Sarà opportuno, altresì, fornire istruzioni specifiche sulle corrette modalità di tutela del dato.

Ad esempio, sotto il profilo della protezione dei dati personali, si dovrà impedire l’inserimento, nelle query, di dati che identifichino direttamente i soggetti, nonché delle informazioni che possano consentire – indirettamente- la ricostruzione del profilo di tali individui, suggerendo quindi di ricorrere a descrizioni sufficientemente generiche o ad etichette.  

La stessa soluzione è valida anche per tutelare il know how della società e dei propri clienti. Sempre a titolo esemplificativo, il dipendente IT che intende risolvere un errore presente in un software, anziché inserire nella richiesta all’IA la copia di un’intera porzione di codice sorgente, dovrà descrivere l’errore o ricorrere ad esempi simili al problema riscontrato.

Come illustrato, i sistemi di IA potrebbero basarsi su dati di addestramento contenenti materiale protetto dalla normativa sulla proprietà intellettuale o dal segreto industriale. Per prevenire la riproduzione illecita di tale materiale, potrebbe essere opportuno limitarne l’utilizzo esclusivamente per scopi di ricerca e di analisi. Perlomeno in questa delicata fase storica di studio del recente Regolamento sull’intelligenza artificiale (“AI Act”), cui dovranno adeguarsi i fornitori di GenIA, risulterebbe necessario impedirne l’uso per richiedere testi, immagini o video già confezionati.

Per quanto attiene, invece, alle criticità sulle allucinazioni dell’IA, non potendo garantire l’attendibilità e l’affidabilità dei risultati di ricerca, sarà opportuno responsabilizzare il personale affinché verifichi in modo accurato la correttezza di detti risultati prima che vengano utilizzati nelle attività operative. La supervisione umana è cruciale per impedire che dati e soluzioni imprecisi o inesatti vengano incorporati in servizi o prodotti destinati ai clienti.

Conclusioni

L’utilizzo dell’IA generativa come strumento di lavoro, quando ciò avviene all’insaputa dell’azienda, espone quest’ultima ad implicazioni potenzialmente gravi, in quanto capaci di incidere sulla sua competitività, sull’immagine, sulla reputazione, nonchè sul patrimonio.

Questa prassi dovrebbe quindi allarmare le imprese, spingendole ad attivarsi per riacquisire o rafforzare il controllo sulla sicurezza dei flussi informativi aziendali, messi a dura prova dall’attrattiva dei vantaggi che la GenIA esercita oggi sui lavoratori della conoscenza.