Connect with us

Il divario di governance: perché la regolamentazione dell’IA è sempre in ritardo

Leader di pensiero

Il divario di governance: perché la regolamentazione dell’IA è sempre in ritardo

mm
Published
Updated

L’innovazione evolve alla velocità delle macchine, mentre la governance si muove alla velocità umana. Mentre l’adozione dell’IA cresce esponenzialmente, la regolamentazione è in ritardo, il che è abbastanza tipico quando si tratta di tecnologia. In tutto il mondo, i governi e altre entità stanno cercando di regolamentare l’IA, ma approcci frammentati e disomogenei sono all’ordine del giorno.

Parte della sfida è che non esiste una progettazione tecnica apolitica. Ci sono numerose regolamentazioni e proposte, dall’Atto sull’IA dell’Unione Europea ai sandbox regolatori degli Stati Uniti, ognuno con la sua filosofia. Mentre la governance dell’IA segue inevitabilmente l’innovazione, la vera sfida è gestire la sicurezza e la politica in modo responsabile all’interno di questo ritardo.

La natura del divario: innovazione prima, controllo poi

Il ritardo regolatorio è un sottoprodotto inevitabile del progresso tecnologico. Ad esempio, Henry Ford non stava sviluppando la Model T con un focus primario sulla sicurezza stradale e sulle regole della strada. I modelli regolatori storicamente seguono l’innovazione; esempi recenti includono la privacy dei dati, la blockchain e i social media. L’evoluzione rapida dell’IA supera la formazione e l’applicazione delle politiche. In altre parole, il carro è stato davanti al cavallo per un po’ di tempo.

Parte della sfida è che i responsabili delle politiche spesso reagiscono al danno anziché anticipare il rischio, il che crea cicli di governance reattiva. Il problema non è il ritardo stesso, ma piuttosto la mancanza di meccanismi adattivi per stare al passo con i modelli di minaccia emergenti e la mancanza di volontà di compromettere il vantaggio competitivo per il bene della sicurezza. È uno scenario di “corsa verso il basso”; stiamo erodendo la nostra stessa sicurezza collettiva per guadagni competitivi localizzati.

Mosaico globale di governance dell’IA rappresenta filosofie frammentate

Gli approcci di governance dell’IA esistenti nel mondo variano notevolmente.

Nell’UE, l’Atto sull’IA introdotto l’anno scorso è molto basato sull’etica e sul rischio. L’uso dell’IA è valutato in base al livello di rischio, con alcuni ritenuti inaccettabili e quindi proibiti. Gli Stati Uniti, al contrario, hanno adottato un modello di sandbox regolatore che enfatizza la flessibilità dell’innovazione. Alcuni potrebbero descriverlo come un’esenzione per l’innovazione, mentre i critici potrebbero definirlo un assegno in bianco.

C’è anche il processo di Hiroshima, che contiene l’intento di coordinamento globale ma con un follow-through limitato; ogni nazione del G7 è ancora focalizzata sulla supremazia dell’IA a livello domestico.

Negli Stati Uniti, la questione è stata in gran parte lasciata ai singoli stati, il che di fatto garantisce una mancanza di regolamentazione efficace. Il governo federale lo fa a volte proprio a causa di quanto può essere inefficace. Gli stati stanno creando nuovi sandbox per attirare aziende tecnologiche e investimenti, ma è improbabile che ci sarà una regolamentazione significativa a livello statale; solo eccezioni concesse.

Il Regno Unito è stato impegnato in una lotta domestica e internazionale per stabilirsi come indipendente a seguito della Brexit. Attraverso la deregolamentazione e il piano di “Leveling Up” del governo, l’introduzione di sandbox regolatori non è una sorpresa. Il governo del Regno Unito vorrà che il Regno Unito sia una superpotenza dell’IA per vantaggi politici sia interni che esterni e per la stabilità.

L’UE si concentra di più sulla sicurezza dei consumatori, ma anche sulla forza del suo mercato condiviso. Ciò ha senso, data la storia dell’UE con la regolamentazione a patchwork. La conformità condivisa, le norme e il commercio transfrontaliero sono fondamentali per rendere l’UE ciò che è. Tuttavia, richiedono ancora sandbox regolatori, ma anche che ogni stato membro debba avere uno operativo entro la stessa data.

Queste sono solo alcune di queste regolamentazioni, ma probabilmente le più prominenti. Il punto chiave è che ci sono framework disgiunti che mancano di definizioni condivise, meccanismi di applicazione e interoperabilità transfrontaliera. Ciò sta lasciando spazi per gli attaccanti da sfruttare.

La natura politica dei protocolli

Nessuna regolamentazione dell’IA può mai essere veramente neutrale; ogni scelta di progettazione, ogni guardrail e ogni regolamentazione riflette gli interessi sottostanti del governo o dell’azienda. La regolamentazione dell’IA è diventata uno strumento geopolitico; le nazioni la utilizzano per ottenere vantaggi economici o strategici. I controlli sulle esportazioni di chip sono un esempio attuale; servono come governance indiretta dell’IA.

L’unica regolamentazione effettivamente introdotta finora è stata per ostacolare intenzionalmente un mercato. La corsa globale per la supremazia dell’IA mantiene la governance come meccanismo per la competizione piuttosto che per la sicurezza collaborativa.

Sicurezza senza frontiere, ma governance con esse

Il problema spinoso maggiore qui è che le minacce abilitate dall’IA trascendono i confini mentre la regolamentazione rimane confinata. Le minacce in rapida evoluzione di oggi includono sia attacchi ai sistemi dell’IA che attacchi che utilizzano i sistemi dell’IA. Queste minacce attraversano le giurisdizioni, ma la regolamentazione rimane siloizzata. La sicurezza viene sequestrata in un angolo mentre le minacce attraversano l’intero internet.

Stiamo già iniziando a vedere l’abuso di strumenti dell’IA legittimi da parte di attori minacciosi globali che sfruttano controlli di sicurezza deboli. Ad esempio, è stata osservata attività maliziosa con l’uso di strumenti di creazione di siti web dell’IA che sono più simili a clonatori di siti e possono essere facilmente abusati per creare infrastrutture di phishing. Questi strumenti sono stati utilizzati per impersonare pagine di accesso per tutto, dai servizi di social media popolari alle agenzie di polizia nazionali.

Finché i framework di governance non rifletteranno la struttura senza frontiere dell’IA, i difensori rimarranno vincolati da leggi frammentate.

Dalla regolamentazione reattiva alla difesa proattiva

Il ritardo regolatorio è inevitabile, ma la stagnazione non lo è. Abbiamo bisogno di governance adattiva e predittiva con framework che evolvono con la tecnologia; si tratta di passare dalla regolamentazione reattiva alla difesa proattiva. Idealmente, ciò significherebbe:

  • Sviluppo di standard internazionali condivisi per la classificazione del rischio dell’IA.
  • Partecipazione allargata alla definizione degli standard oltre i principali governi e aziende. La governance di Internet ha cercato (con successo misto) di utilizzare un modello multistakeholder piuttosto che uno multilaterale. Sebbene imperfetto, ha avuto un grande impatto nel rendere Internet uno strumento per tutti e minimizzare la censura e gli spegnimenti politici.
  • Favorire la diversità di pensiero nella governance.
  • Un meccanismo per la segnalazione degli incidenti e la trasparenza. La mancanza di regolamentazioni spesso significa anche la mancanza di requisiti di segnalazione. È improbabile che ci sarà un requisito per informare il pubblico dei danni causati da errori o scelte di progettazione all’interno dei sandbox regolatori nel prossimo futuro.

Mentre il divario di governance non scomparirà mai, framework collaborativi, trasparenti e inclusivi possono prevenire che diventi una vulnerabilità permanente nella sicurezza globale.

Related Topics:
mm

Ginny Spicer è un'analista di minacce informatiche presso Netcraft, dove traccia le tattiche e le campagne di attori minacciosi emergenti. Il suo background è nell'analisi di rete e nella ricerca di minacce di stato-nazione. È il presidente del 2026 del capitolo della Silicon Valley dell'HTCIA, un membro del consiglio di amministrazione del Deep Packet Inspection Consortium e uno degli ambasciatori giovanili della Internet Society del 2025.