Mar. Dic 3rd, 2024
Perché i gestori del rischio informatico devono combattere l’intelligenza artificiale con l’intelligenza artificiale

La tecnologia dell’intelligenza artificiale presenta nuovi rischi – e nuove opportunità – per le istituzioni finanziarie che sperano di migliorare la propria sicurezza informatica e ridurre le frodi.

Le banche e i gruppi di servizi finanziari hanno dovuto affrontare attacchi informatici per decenni, poiché le loro risorse finanziarie e gli enormi database di clienti li rendono i principali bersagli degli hacker.

Ora, però, devono affrontare i criminali che utilizzano l’intelligenza artificiale generativa, che può addestrarsi su immagini e video di clienti o dirigenti reali, per produrre clip audio e video che li impersonano. Questi hanno il potenziale per ingannare i sistemi di sicurezza informatica, avvertono gli esperti. Secondo un rapporto della piattaforma di verifica dell'identità Sumsub, il numero di incidenti “deepfake” nel settore della tecnologia finanziaria aumentato del 700% nel 2023anno dopo anno.

Allo stesso tempo, le bande criminali utilizzano tecnologie di intelligenza artificiale generativa per diffondere software dannoso o malware. In un esperimento, i ricercatori di sicurezza informatica hanno utilizzato un modello LLM (Large Language Model) di intelligenza artificiale per sviluppare un file forma benigna di malware che possono raccogliere informazioni personali, come nomi utente, password e numeri di carta di credito. Secondo i ricercatori, il malware è riuscito a eludere i sistemi di sicurezza IT modificando costantemente il suo codice.

Al passo con i cloni: le banche devono fermare i “deepfake” che impersonano i loro clienti © Andrew Brookes/Getty Images/Fonte immagine

Per contrastare la minaccia, le società di servizi finanziari, che sono tra i maggiori investitori in tecnologia, stanno implementando l’intelligenza artificiale nelle loro difese informatiche. Da almeno un decennio ormai, le banche utilizzano diversi tipi di intelligenza artificiale, come l’apprendimento automatico, per rilevare le frodi individuando schemi nelle transazioni e segnalando anomalie.

La difficoltà sta nel tenere il passo con i criminali informatici che hanno accesso agli strumenti di intelligenza artificiale più recenti. Molte banche hanno difficoltà a farlo, secondo a rapporto pubblicato a marzo dal dipartimento del Tesoro americano. La conclusione è che le società finanziarie dovrebbero prendere in considerazione un maggiore utilizzo dell’intelligenza artificiale per contrastare i criminali informatici esperti di tecnologia e condividere maggiori informazioni sulle minacce alla sicurezza dell’intelligenza artificiale.

L’impiego dell’intelligenza artificiale in questo modo, tuttavia, potrebbe creare altri rischi. Una preoccupazione è che i criminali potrebbero tentare di inserire dati falsi negli LLM che sono alla base dei sistemi di intelligenza artificiale generativa, come ChatGPT di OpenAI, utilizzato dalle società di servizi finanziari.

“Se l’attaccante inietta normale [finance] transazioni come fraudolente, o viceversa, allora il [AI] imparerebbe a classificare queste attività in modo errato”, avverte Andrew Schwartz, analista senior di Celent, una società di consulenza specializzata in servizi finanziari.

Alcune società di servizi finanziari, tuttavia, stanno proseguendo con i sistemi di intelligenza artificiale generativa. A febbraio Mastercard, la società di tecnologia dei pagamenti, ha presentato in anteprima il proprio software di intelligenza artificiale generativa, che a suo avviso può aiutare le banche a individuare meglio le frodi. Questo software, che analizza le transazioni sulla rete Mastercard, sarà in grado di scansionare 1.000 punti dati per prevedere se una transazione è autentica.

Mastercard afferma che la tecnologia potrebbe essere in grado di aumentare i tassi di rilevamento delle frodi delle banche in media del 20% e, in alcuni casi, fino al 300%.

Secondo Mastercard, il monitoraggio delle transazioni potenziato dall’intelligenza artificiale può offrire un altro grande vantaggio: una riduzione di oltre l’85% dei “falsi positivi” segnalati. Questi sono casi in cui una banca contrassegna erroneamente una transazione legittima come fraudolenta. Mastercard prevede di rendere disponibile in commercio la funzionalità AI entro la fine dell’anno.

“[Our AI] sta davvero contribuendo a offrire un'esperienza migliore ai consumatori, rilevando allo stesso tempo con precisione le frodi giuste”, afferma Johan Gerber, vicepresidente esecutivo per la sicurezza informatica e l'innovazione di Mastercard.

300%Aumento del tasso di rilevamento delle frodi in alcuni casi, come affermato da Mastercard quando utilizza il suo software AI

Anche altre funzioni di sicurezza informatica, come l’analisi delle minacce in tempo reale e il coordinamento di azioni più rapide contro di esse, possono essere automatizzate.

Ad esempio, la società irlandese FBD Insurance utilizza il software di sicurezza basato sull’intelligenza artificiale di Smarttech247 per analizzare fino a 15.000 “eventi” IT al secondo sulla sua rete per potenziali minacce alla sicurezza. Tali eventi potrebbero includere l'accesso di un dipendente a sistemi IT o di posta elettronica vietati o violazioni del firewall.

“Un grande cambiamento nella nostra intelligenza artificiale è che interpretiamo e ispezioniamo le cose mentre accadono”, afferma Enda Kyne, responsabile delle operazioni e della tecnologia presso FBD. La tradizionale tecnologia di sicurezza informatica impiega più tempo per individuare le minacce, e lo fa “dopo il fatto”, spiega.

Gli esperti sottolineano, tuttavia, che le difese informatiche basate sull’intelligenza artificiale non sostituiranno i professionisti IT e di gestione del rischio dei gruppi finanziari nel prossimo futuro. I difetti emergenti nell’intelligenza artificiale generativa – come la fabbricazione di fatti o le “allucinazioni” – significano che la tecnologia necessita ancora di un’attenta supervisione.

Yashin Ahmed, che guida i servizi di sicurezza informatica nei servizi finanziari presso il gruppo tecnologico IBM, ha opinioni contrastanti sull’uso dell’intelligenza artificiale da parte delle società finanziarie per la sicurezza informatica. Sebbene l’intelligenza artificiale possa creare “enormi efficienze” per la sicurezza delle informazioni, aggiunge che le società di servizi finanziari stanno “lottando” per tenere traccia della crescita del suo utilizzo.

“Non conoscono tutti i luoghi in cui l'azienda utilizza necessariamente l'intelligenza artificiale”, sottolinea. “E non sanno se l'azienda ha protetto l'intelligenza artificiale durante il processo di sviluppo e se dispone di strumenti per proteggere l'intelligenza artificiale una volta implementata in un ruolo di tipo rivolto al cliente.”

Reclutare personale con il giusto mix di competenze IA e informatiche può aiutare a ridurre al minimo le conseguenze indesiderate. Ma trovare personale può essere difficile, data la carenza globale di personale di sicurezza informatica che dura da oltre un decennio e l’intensa concorrenza per gli esperti di intelligenza artificiale delle grandi aziende tecnologiche.

Un numero “molto piccolo” di candidati “ha il livello di comprensione ed esperienza” desiderato dalle società di servizi finanziari, afferma Giancarlo Hirsch, amministratore delegato di Glocomms, un reclutatore di tecnologia. “Quindi è un pool di candidati molto più di nicchia.”

È probabile che anche la domanda di sicurezza informatica potenziata dall’intelligenza artificiale aumenterà le vendite di software standard. IL mercato globale dei prodotti e dei servizi di sicurezza informatica basati sull’intelligenza artificiale si prevede che crescerà da circa 24 miliardi di dollari nel 2023 a quasi 134 miliardi di dollari entro il 2030, secondo il fornitore di dati Statista.

“Nei prossimi anni gli aggressori utilizzeranno sempre di più l’intelligenza artificiale”, afferma Rom Eliahou, direttore dello sviluppo aziendale presso BlueVoyant, una società di sicurezza informatica. “E semplicemente non puoi combattere la portata delle attività senza utilizzare tu stesso l’intelligenza artificiale e l’apprendimento automatico. Ci saranno troppe minacce là fuori”.