La corsa all’intelligenza artificiale rischia di trasformarsi in un boomerang per molte aziende. Secondo un nuovo report di Moody’s Ratings, la debolezza delle pratiche di governance dell’AI sta alimentando un crescente pericolo di violazioni dei dati.
Il report, condotto su quasi duemila organizzazioni a livello globale, rivela che “un gran numero di imprese non ha regole per l’uso sicuro dei nuovi strumenti di intelligenza artificiale sul posto di lavoro”, nonostante l’uso diffuso di chatbot come ChatGPT o Gemini.
Il risultato è che dipendenti inconsapevoli possono condividere informazioni sensibili o proprietarie su piattaforme pubbliche, aumentando il rischio di fughe di dati, perdite di proprietà intellettuale e danni reputazionali.
“Senza restrizioni, gli utenti possono esporre dati riservati a terze parti, violando le politiche interne o gli accordi di riservatezza”, avverte Moody’s.
A livello geografico, le differenze sono notevoli: in Nord America l’80% delle imprese ha introdotto limiti all’uso dell’AI, mentre nella regione Asia-Pacifico il 35% ammette di non avere alcuna policy. Ancora più vulnerabili, secondo il report, sono i governi locali, solo per metà coperti da regolamenti adeguati. Il quadro generale non è incoraggiante. Gli attacchi informatici contro le società valutate da Moody’s sono ai massimi livelli dell’ultimo decennio e, sebbene in calo rispetto al picco del 2020, l’agenzia prevede che “con la diffusione di tecnologie come l’AI generativa e il quantum computing, la gravità degli attacchi aumenterà e i costi cresceranno”.
Tra i punti critici segnalati spicca la dipendenza da fornitori terzi di software: catene di fornitura complesse che moltiplicano i punti d’ingresso per i cybercriminali. “Le vulnerabilità di un singolo fornitore possono propagarsi a tutta la filiera, colpendo più organizzazioni contemporaneamente”, scrive Moody’s, che sottolinea come solo il 65% delle imprese verifichi ogni anno le misure di sicurezza dei propri partner, e appena il 43% nel caso degli ospedali non profit. Per fronteggiare la minaccia, cresce comunque il numero di aziende che obbligano i fornitori a dotarsi di coperture assicurative cyber, soprattutto se hanno accesso ai sistemi IT interni.
Il punto più critico resta nelle pratiche di sicurezza di base: solo il 78% delle organizzazioni effettua backup giornalieri e una su cinque non controlla affatto i propri sistemi, lasciando ampi spazi ai possibili attacchi.
L’autenticazione multifattore, pur essendo in grado di prevenire la quasi totalità degli attacchi, viene applicata solo nel 75% delle organizzazioni e spesso solo per l’accesso remoto, lasciando vulnerabili altri segmenti della rete. Sul fronte della governance si registrano invece progressi: un numero crescente di responsabili della sicurezza informatica riferisce direttamente a Ceo o Cfo, aumentando visibilità e priorità del rischio cyber, un miglioramento fondamentale in un’economia sempre più basata sui dati e sugli algoritmi.