L’adozione crescente di modelli di intelligenza artificiale generativa nelle organizzazioni sta aprendo nuove opportunità di efficienza e innovazione, ma porta con sé anche rischi concreti quando avviene senza un adeguato presidio. È questo il messaggio centrale che emerge dall’ultima ricerca di Trend Micro dedicata ai rischi legati all’uso non governato dei modelli linguistici di grandi dimensioni.
Lo studio mette in evidenza come l’utilizzo di LLM senza processi strutturati di governance, verifica e supervisione possa esporre le aziende a conseguenze legali, finanziarie e reputazionali, soprattutto nei contesti in cui l’intelligenza artificiale viene impiegata in modo diretto nei confronti dei clienti o a supporto di decisioni critiche.
Output diversi, stesso input: la natura non deterministica dei modelli linguistici
Uno degli aspetti più rilevanti emersi dalla ricerca riguarda la natura non deterministica dei modelli di AI generativa. A differenza dei software tradizionali, gli LLM non garantiscono che lo stesso input produca sempre lo stesso output. Le risposte possono variare in funzione della posizione geografica dell’utente, della lingua utilizzata, del modello sottostante e dei meccanismi di controllo integrati.
Questa variabilità diventa particolarmente problematica quando l’output dell’intelligenza artificiale viene utilizzato come fonte diretta di informazione, raccomandazione o decisione. In questi casi, incoerenze e discrepanze possono compromettere la fiducia degli utenti, entrare in conflitto con regolamenti locali o generare errori operativi difficili da individuare a posteriori.
Bias geografici, culturali e politici: un rischio sottovalutato
La ricerca ha analizzato oltre cento modelli di intelligenza artificiale, sottoponendoli a più di ottocento prompt progettati per valutare bias regionali, consapevolezza culturale e politica, comportamenti di geofencing e segnali di sovranità dei dati. I risultati mostrano che, in scenari sensibili come quelli legati a territori contesi o identità nazionali, le risposte dei modelli tendono ad allinearsi in modo diverso a seconda dell’area geografica e del contesto di utilizzo.
Queste differenze non sono solo teoriche. In ambienti globali, un servizio basato su AI potrebbe produrre messaggi o indicazioni non coerenti con il quadro normativo, politico o culturale di un determinato Paese, esponendo l’organizzazione a rischi di compliance e a potenziali crisi reputazionali.
Quando l’AI sbaglia tempo e contesto
Un altro elemento critico riguarda la gestione del tempo e del contesto. Lo studio evidenzia come molti modelli restituiscano informazioni obsolete o incoerenti in ambiti che richiedono precisione, come i calcoli finanziari o i dati sensibili al fattore temporale. Questo limite diventa particolarmente pericoloso quando l’intelligenza artificiale viene integrata in processi automatizzati che influenzano prezzi, condizioni contrattuali o valutazioni economiche.
La difficoltà dei modelli nel distinguere eventi correlati da informazioni irrilevanti all’interno di una stessa richiesta può inoltre portare a risultati distorti, con effetti a catena su sistemi e decisioni aziendali.
I rischi per le organizzazioni globali e per il settore pubblico
Le criticità legate all’AI non gestita risultano amplificate nelle organizzazioni che operano su scala globale o in più aree geografiche. In questi contesti, un unico servizio di intelligenza artificiale può essere soggetto a quadri giuridici e normativi differenti, rendendo ancora più complessa la gestione dei rischi.
Il settore pubblico presenta ulteriori elementi di vulnerabilità. Gli output generati dall’intelligenza artificiale possono essere percepiti come indicazioni ufficiali e, se basati su modelli non localizzati o non verificati, possono introdurre problemi di sovranità, accessibilità e affidabilità delle informazioni.
“L’intelligenza artificiale non è un software tradizionale”
“In molte organizzazioni, si pensa che l’intelligenza artificiale si comporti come un software tradizionale e che lo stesso input produca in modo affidabile lo stesso output”, afferma Marco Fanuli, Technical Director di Trend Micro Italia. “La nostra ricerca mostra che questo pensiero non è corretto. I LLM possono fornire risposte diverse in base all’area geografica, alla lingua, ai guardrail e possono anche cambiare da un’interazione all’altra.”
Secondo Fanuli, quando i risultati dell’intelligenza artificiale vengono utilizzati direttamente dai clienti o per prendere decisioni di business, il rischio è quello di perdere il controllo sulla comunicazione, sulla compliance e sul rispetto delle norme culturali.
Governance, responsabilità e verifica umana come fattori chiave
Il messaggio che emerge dallo studio è chiaro: l’intelligenza artificiale non può essere trattata come uno strumento di produttività “plug-and-play”. Le organizzazioni devono dotarsi di una governance chiara, definire responsabilità precise e prevedere sempre un livello di verifica umana per gli output destinati agli utenti o ai processi critici.
“Le organizzazioni devono considerare i rischi di dipendenza, adottare una governance chiara, definire le responsabilità e introdurre la verifica umana per qualsiasi output rivolto agli utenti”, conclude Fanuli. “L’intelligenza artificiale promuove innovazione ed efficienza, ma solo quando viene utilizzata con una chiara comprensione dei suoi limiti e con controlli che verificano come i sistemi si comportano negli ambienti del mondo reale.”
