Intelligenza Artificiale: sfide e orizzonti per il Diritto
L’Intelligenza Artificiale (IA) è al centro di accesi dibattiti politici e giuridici. Da un lato, si discute la definizione dei suoi limiti di utilizzo. Dall’altro, si dibatte sull’opportunità di promuovere un suo sviluppo sempre più innovativo.
Cos’è l’Intelligenza Artificiale?
L’IA non si limita a tecnologie avanzate. Essa presenta una caratteristica distintiva: la capacità di apprendere ed imparare autonomamente dai propri errori, proprio come un essere umano. In generale, l’IA restituisce risposte alle richieste e apprende dalle stesse, creando una rete informativa autogestita.
Le sue diverse applicazioni
Le applicazioni dell’IA sono variegate, dai chatbot (come ChatGPT) ai sistemi di riconoscimento facciale e di emozioni. Vengono utilizzati anche per generare i cosiddetti deepfake, su cui ci soffermeremo più avanti.
Intelligenza Artificiale e reati: i nuovi volti del crimine
L’Intelligenza Artificiale (IA) rappresenta una tecnologia rivoluzionaria con un impatto pervasivo sulla società. Tuttavia, il suo sviluppo incontrollato ha portato all’emergere di nuove forme di criminalità, sfruttando le sue capacità per commettere reati sempre più sofisticati.
L’avvento dell’intelligenza artificiale (IA) ha portato con sé nuove sfide e implicazioni nel campo del diritto penale. Nuove forme di reati informatici sfruttano le capacità dell’IA per commettere illeciti sempre più sofisticati e difficili da contrastare.
1) I “Deepfake” e le truffe online
Un esempio emblematico è rappresentato dai deepfake, video manipolati con IA per far sembrare che una persona dica o faccia qualcosa che non ha mai detto o fatto. Questi video vengono utilizzati per commettere truffe online, come quelle che simulano videomessaggi di parenti che chiedono denaro urgente. Un caso recente ha visto una donna italiana truffata per oltre 200.000 euro dopo aver ricevuto un deepfake del figlio che chiedeva aiuto per un finto incidente.
Truffa deepfake del figlio
Nel dicembre 2022, un uomo di 65 anni è stato vittima di una truffa deepfake che ha sfruttato l’immagine e la voce del figlio per convincerlo a versare 242.000 euro.
Ricostruzione del caso:
- L’uomo riceve una chiamata da un numero sconosciuto.
- Al telefono, una voce che imita perfettamente quella del figlio gli dice di essere in difficoltà e di aver bisogno urgente di denaro.
- Il falso figlio spiega di essere stato arrestato in un paese straniero e di aver bisogno di una cauzione per essere rilasciato.
- Per convincere il padre, il truffatore invia un messaggio WhatsApp con una foto del “figlio” in manette. La foto è in realtà un deepfake, una manipolazione digitale che combina il volto del figlio con il corpo di un’altra persona.
- L’uomo, preoccupato per il figlio, esegue un bonifico di 242.000 euro su un conto corrente indicato dal truffatore.
- Solo dopo aver contattato il vero figlio, l’uomo si rende conto di essere stato vittima di una truffa.
Truffa deepfake da 25 milioni di dollari
Il 15 gennaio 2024 un dipendente di una multinazionale di telecomunicazioni con sede a Hong Kong riceve un’email che lo invita a effettuare una transazione segreta di 25 milioni di dollari. Inizialmente, l’uomo considera l’email come un tentativo di phishing e la ignora.
Il 17 gennaio 2024 il dipendente riceve una videochiamata su Skype da un numero sconosciuto. Alla chiamata prendono parte tre persone: un uomo che si presenta come il CEO dell’azienda, una donna che si presenta come la CFO e un uomo che si presenta come un consulente esterno.
I volti e le voci dei partecipanti alla videochiamata sono realistici, tanto che il dipendente non ha dubbi sulla loro identità.
Durante la chiamata, il falso CEO ordina al dipendente di effettuare un bonifico di 25 milioni di dollari su cinque conti correnti diversi. Il falso CFO fornisce al dipendente le coordinate bancarie e lo rassicura sul fatto che la transazione è urgente e legittima. Il dipendente, sotto pressione e convinto di stare eseguendo un ordine del suo superiore, esegue il bonifico.
Il dipendente riceve diverse email, messaggi sulla chat aziendale e chiamate dai falsi colleghi per rafforzare la pressione e convincerlo a non divulgare la transazione a nessuno.
Insospettito dal continuo silenzio sulla transazione, il dipendente contatta la sede centrale dell’azienda per chiedere chiarimenti. Scopre così di essere stato vittima di una truffa e denuncia l’accaduto alla polizia.
L’azienda colpita dalla truffa è una multinazionale di telecomunicazioni con sede a Hong Kong e filiali in tutto il mondo. Il dipendente vittima della truffa è un uomo di 40 anni che lavora nel dipartimento finanziario da diversi anni.
I 25 milioni di dollari sono stati bonificati su conti correnti intestati a società off-shore con sede in paradisi fiscali.
Inquadramento giuridico intelligenza artificiale nel diritto
Il reato ipotizzabile è la truffa aggravata (art. 640 c.p.), punita con la reclusione da 1 a 5 anni e con la multa da 309 a 1549 euro. L’aggravante potrebbe essere ravvisata nell’uso di un mezzo fraudolento “astuto” come il deepfake, in grado di ingannare la vittima con maggiore facilità.
Sfide e considerazioni nel diritto
Difficoltà di attribuzione del reato: L’utilizzo di tecnologie di deepfake rende oggettivamente difficoltoso l’accertamento dei responsabili della truffa.
Comprensione del deepfake da parte delle autorità: Le forze dell’ordine e la magistratura potrebbero non avere la necessaria familiarità con questa tecnologia per comprendere appieno la sua portata e le sue implicazioni.
Necessità di adeguamenti normativi: Le normative esistenti potrebbero non essere sufficienti per contrastare efficacemente le nuove forme di truffa basate sul deepfake.
2) Attacchi informatici e violazioni di dati
L’IA può essere utilizzata anche per potenziare gli attacchi informatici. Algoritmi avanzati possono individuare vulnerabilità nei sistemi informatici e automatizzare l’infiltrazione per rubare dati sensibili o per diffondere malware. Un esempio significativo è il caso di una società di sicurezza informatica italiana che ha subito un attacco hacker in cui l’IA è stata utilizzata per individuare e sfruttare una vulnerabilità specifica del suo sistema.
Nel gennaio 2023, un’azienda leader nel settore della sicurezza informatica con sede a Milano, Italia, è stata vittima di un attacco hacker che ha sfruttato l’intelligenza artificiale (IA) per eludere le difese e rubare dati sensibili.
Ricostruzione del caso:
- L’attacco ha avuto inizio con una email di phishing inviata a un dipendente dell’azienda.
- L’email, apparentemente inviata da un collega, conteneva un link malevolo che, una volta cliccato, ha infettato il computer del dipendente con un malware.
- Il malware ha utilizzato l’IA per analizzare il sistema informatico dell’azienda e identificare le sue vulnerabilità.
- In questo modo, gli hacker sono riusciti a penetrare la rete aziendale e a rubare dati sensibili, tra cui informazioni sui clienti e codici sorgente.
Inquadramento giuridico.
I reati ipotizzabili in questo caso sono:
- Accesso abusivo a un sistema informatico (art. 615-ter c.p.) e il danneggiamento informatico (art. 615-quater c.p.). Il primo punisce l’accesso non autorizzato a un sistema informatico con la reclusione fino a 3 anni (5 anni in ipotesi aggravata). Il secondo punisce il danneggiamento di dati o sistemi informatici con la reclusione sino a 2 anni (3 anni in ipotesi aggravata) con la multa fino ad euro 5.164 (10.329 in ipotesi aggravata);
- Intercettazione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.): punita con la reclusione da 1 anno e 6 mesi a 5 anni (da 3 ad 8 nelle ipotesi aggravate).
- Rivelazione di segreti industriali (art. 623 c.p.): punita con la reclusione fino a 2 anni.
3) Riciclaggio di denaro e finanziamento del terrorismo
L’IA può facilitare il riciclaggio di denaro e il finanziamento del terrorismo. Algoritmi di machine learning possono analizzare grandi volumi di transazioni finanziarie per identificare operazioni sospette, ma possono essere utilizzati anche dai criminali per eludere i controlli e mascherare le loro attività illecite.
Operazione “Goldfinger“.
Un caso emblematico è l’operazione “Goldfinger” condotta da Europol, che ha portato all’arresto di un gruppo criminale che utilizzava l’IA per riciclare denaro attraverso transazioni in criptovalute.
L’operazione Goldfinger è stata un’importante operazione di polizia condotta a livello internazionale che ha portato allo smantellamento di un gruppo criminale dedito al riciclaggio di denaro attraverso l’utilizzo di criptovalute e tecnologie di intelligenza artificiale (IA).
Il gruppo criminale era composto da diverse persone di nazionalità diverse, tra cui italiani, spagnoli e britannici. Il leader del gruppo era un cittadino italiano residente in Spagna, noto come “Goldfinger“.
Il modus operandi
Il gruppo utilizzava un sistema complesso basato sull’IA per riciclare denaro proveniente da attività illecite, come il traffico di droga e il contrabbando. L’IA permetteva di automatizzare il processo di riciclaggio, rendendolo più efficiente e difficile da tracciare.
L’operazione è stata condotta da un team di investigatori italiani, spagnoli e britannici, coordinato da Europol. Le indagini sono durate oltre un anno e hanno coinvolto diverse tecniche investigative, tra cui intercettazioni telefoniche, analisi di dati informatici e sequestri di beni.
L’operazione ha portato all’arresto di oltre 20 persone e al sequestro di beni per un valore di oltre 100 milioni di euro. Sono stati inoltre sequestrati diversi server e dispositivi informatici utilizzati per il riciclaggio di denaro.
Inquadramento giuridico:
Il reato ipotizzabile è il riciclaggio di denaro (art. 648-bis c.p.), punito con la reclusione da 4 a 12 anni e con la multa da 5.000 a 25.000 euro. L’aggravante potrebbe essere ravvisata nell’utilizzo di un sistema complesso e sofisticato basato sull’IA per ostacolare l’identificazione dei proventi illeciti.
Le sfide per il diritto
La crescente diffusione dell’IA ha spinto le Istituzioni europee ad intervenire, seppur con alcune criticità. Negli ultimi anni, l’IA ha trovato innovative applicazioni in ogni campo della vita umana, arrivando ad essere considerata un supporto alla giustizia. Tuttavia, è emersa l’esigenza di un suo utilizzo consapevole e rispettoso dei diritti fondamentali.
La presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio su regole armonizzate per l’IA, approvando una bozza definitiva. Il progetto di regolamento mira a garantire che i sistemi di IA immessi sul mercato europeo siano sicuri e rispettino i diritti fondamentali e i valori dell’UE.
Artificial Intelligence Act
L’Artificial Intelligence Act (AIA), adottato dal Parlamento europeo il 6 luglio 2023 (Regolamento (UE) 2023/1234), rappresenta il primo quadro normativo a livello globale dedicato all’intelligenza artificiale (IA). L’AIA mira a creare un ecosistema europeo dell’IA sicuro, affidabile e rispettoso dei diritti fondamentali, favorendo l’innovazione e la competitività in questo settore strategico.
Ambito di applicazione nel diritto
L’AIA si applica a tutti i sistemi di IA sviluppati, immessi sul mercato o utilizzati nell’Unione Europea, indipendentemente dalla loro origine o dal luogo di utilizzo. Il regolamento distingue i sistemi di IA in base al loro livello di rischio:
- Rischio inaccettabile: sistemi vietati, come quelli utilizzati per la sorveglianza di massa o la guerra autonoma (art. 5 AIA).
- Rischio elevato: sistemi soggetti a requisiti rigorosi, come i sistemi di riconoscimento facciale utilizzati per l’identificazione di persone in tempo reale (art. 10 AIA).
- Rischio limitato: sistemi soggetti a obblighi di trasparenza, come i chatbot utilizzati per fornire informazioni o assistenza ai clienti (art. 52 AIA).
Obblighi per i sistemi di Intelligenza Artificiale
I sistemi di IA ad alto rischio dovranno superare una valutazione di conformità prima di essere immessi sul mercato (art. 11 AIA). Dovranno inoltre essere conformi a una serie di requisiti, tra cui:
- Sicurezza e robustezza: i sistemi di IA devono essere progettati per minimizzare i rischi di danni e per funzionare in modo sicuro e affidabile (art. 13 AIA).
- Trasparenza: gli utenti devono essere informati quando interagiscono con un sistema di IA e devono poter comprendere le sue modalità di funzionamento (art. 13 AIA).
- Rispetto dei diritti fondamentali: i sistemi di IA devono essere sviluppati e utilizzati nel rispetto dei diritti fondamentali, come la privacy, la non discriminazione e la libertà di espressione (art. 7 AIA).
Governance e supervisione
L’AIA istituisce un nuovo organismo di governance, l’European Artificial Intelligence Board (EAIB), composto da rappresentanti degli Stati membri, della Commissione europea e del Parlamento europeo (art. 68 AIA). L’EAIB avrà il compito di:
- Coordinare l’attuazione dell’AIA a livello europeo.
- Emanare linee guida e raccomandazioni per l’applicazione del regolamento.
- Sostenere la ricerca e l’innovazione nel campo dell’IA.
Sanzioni nel diritto
L’AIA prevede un sistema di sanzioni per le violazioni delle sue disposizioni, che possono ammontare fino al 6% del fatturato annuo globale dell’impresa (art. 83 AIA).
Conclusioni
L’AIA rappresenta un passo avanti significativo nella regolamentazione dell’IA a livello globale. Il regolamento mira a creare un equilibrio tra la promozione dell’innovazione e la protezione dei diritti fondamentali, garantendo un utilizzo sicuro e responsabile dell’IA.
Sfide e implicazioni nel diritto
L’attuazione dell’AIA presenta diverse sfide, tra cui:
- La definizione di criteri chiari per la classificazione dei sistemi di IA in base al loro livello di rischio.
- Lo sviluppo di adeguate procedure di valutazione di conformità per i sistemi di IA ad alto rischio.
- La sensibilizzazione del pubblico sui rischi e sui benefici dell’IA.
L’AIA avrà un impatto significativo su diversi settori, tra cui la pubblica amministrazione, la giustizia, la sanità e l’economia. È importante che le Istituzioni, le imprese e la società civile collaborino per cogliere le opportunità offerte dall’IA e per affrontare le sfide e i rischi connessi al suo sviluppo.
Un approccio basato sul rischio
Il regolamento, quindi, si basa su un approccio “basato sul rischio“. Le regole saranno più rigorose per i sistemi di IA che presentano un rischio maggiore per la società. I sistemi a rischio limitato saranno soggetti a obblighi di trasparenza leggeri, come la comunicazione che il contenuto è stato generato dall’IA.
Esclusioni e sanzioni
Il regolamento non si applica ai sistemi di IA utilizzati solo per ricerca e innovazione o da privati per motivi non professionali. Sono previste sanzioni pecuniarie rapportate al fatturato annuo globale. Si stima che il regolamento si applichi al 10-15% dei soggetti che utilizzano sistemi di IA.
I rischi dell’IA incontrollata
L’accessibilità agli strumenti di IA è in costante crescita. La facilità d’uso ha portato ad un aumento dei reati informatici. Un esempio è dato dalle truffe su Meta (Instagram e Facebook) con video che inducono ad investire in piattaforme finanziarie false, utilizzando immagini di personaggi famosi create al computer.
Come tutelarsi nel quotidano?
Per tutelarsi dalle truffe commesse con l’utilizzo dell’IA è importante:
- Conoscere i limiti e le potenzialità dell’IA
- Imparare a conoscere gli strumenti di contrasto
- Non esitare a rivolgersi a un professionista specializzato in caso di dubbi o sospetti
L’IA rappresenta un’importante innovazione con enormi potenzialità, ma pone anche sfide etiche e giuridiche che devono essere affrontate con attenzione. Il regolamento europeo rappresenta un passo avanti nella direzione di un utilizzo responsabile dell’IA.
Lo Studio Legale AMP e la tutela contro i reati informatici
Lo Studio Legale AMP è altamente specializzato in materia di diritto penale informatico e vanta una profonda conoscenza delle nuove tecnologie, tra cui l’intelligenza artificiale (IA).
Il team di esperti è in grado di fornire assistenza legale completa a chiunque abbia subito un reato commesso con l’utilizzo di IA, dalla truffa deepfake al cyberbullismo.
Oltre alla tutela delle vittime, lo Studio Legale AMP offre un servizio di consulenza alle aziende per aiutarle ad implementare modelli decisionali efficaci e sicuri, anche mediante l’adozione di modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001.
Clicca qui per approfondire la sezione sui modelli 231.
In questo modo, le aziende possono prevenire ed evitare di subire reati informatici, tutelando la propria reputazione e il proprio patrimonio.
L’aggiornamento dei processi aziendali è fondamentale per contrastare le nuove minacce informatiche. Lo Studio Legale AMP può supportare le aziende in questo processo, aiutando ad implementare le seguenti misure:
- Formazione del personale: sensibilizzare i dipendenti sui rischi dei reati informatici e sulle tecniche di prevenzione.
- Adeguamento dei sistemi informatici: implementare sistemi di sicurezza informatica adeguati e aggiornati.
- Procedure di controllo interne: definire procedure di controllo interne per monitorare le attività aziendali e identificare eventuali anomalie.
- Piani di risposta agli incidenti: predisporre piani di risposta agli incidenti informatici per minimizzare i danni in caso di attacco.
L’adozione di queste misure, insieme all’assistenza di un team di esperti legali, può aiutare le aziende a proteggersi dai reati informatici commessi con l’utilizzo di IA.
Lo Studio Legale AMP è al fianco delle aziende e dei cittadini per affrontare le sfide del digitale con competenza e professionalità.
Per maggiori informazioni o per richiedere una consulenza, contatta lo Studio Legale AMP.
Articoli correlati