Un rapporto dell'Agenzia dell'Unione europea per la sicurezza informatica (ENISA) e il Centro comune di ricerca (Ccr) esamina i rischi di sicurezza informatica connessi all'intelligenza artificiale (AI) nei veicoli autonomi e fornisce raccomandazioni per mitigarli.
L’intelligenza artificiale nei veicoli autonomi: criticità
L'ultimo decennio ha visto un aumento degli sforzi verso lo sviluppo degli Autonomous Vehicles (AVs). Un AV è un sistema di guida che osserva e comprende il suo ambiente, prende decisioni per raggiungere in modo sicuro e senza problemi un luogo desiderato, e intraprende azioni basate su queste decisioni per controllare il veicolo. Un fattore chiave della corsa verso gli AV è certamente dovuto ai recenti progressi nell'Intelligenza Artificiale (IA), e in particolare nel sistema di machine learning (MA).
In vero, progettare un AV risulta essere molto impegnativo, richiede la considerazione di una vasta gamma di mutevoli condizioni ambientali (fulmini, tempo, ecc.) e molteplici compiti complessi come: - seguire la strada - evitare gli ostacoli - rispetto della legislazione - stile di guida fluido - coordinazione delle manovre con altri elementi (es. veicoli, scooter, biciclette, pedoni, ecc.) - controllo dei comandi del veicolo.
Dunque, la sostituzione del guidatore, con un sistema di guida artificiale, lungi dal garantire una riduzione degli incidenti stradali e delle relative vittime, può rappresentare un tipo di rischio completamente diverso per l’ecosistema stradale (conducenti, passeggeri e pedoni).
Ed infatti, i sistemi di IA che impegnano tecniche di apprendimento automatico per raccogliere, analizzare e trasferire dati, al fine di prendere decisioni, sono apparsi vulnerabili agli attacchi esterni che potrebbero compromettere il corretto funzionamento del veicolo e mettere a repentaglio la sicurezza…non solo informatica!
L’intervento delle istituzioni UE
Un nuovo rapporto dell’Agenzia dell’Unione europea per la cybersicurezza (Enisa) e del Centro comune di ricerca (Ccr) individua i rischi per la sicurezza informatica legati alla diffusione dell’intelligenza artificiale nei veicoli autonomi e fornisce raccomandazioni per mitigarli.
Il rapporto: convalida sistematica della sicurezza dei modelli AI e dei dati
In particolare, nel rapporto l’Authority sottolinea che i dati e i modelli AI giocano un ruolo importante nell'implementazione delle capacità autonome negli AV. Questi componenti AI sono di natura dinamica e possono cambiare il loro comportamento nel tempo non solo quando “imparano” da nuovi dati, ma anche se vengono aggiornati dai produttori, ovvero quando incontrano dati inaspettati o perché intenzionalmente manipolati. Tale dinamicità, richiede che le valutazioni di sicurezza e robustezza dei componenti AI non avvengano solo in un dato momento durante il loro sviluppo, ma siano invece eseguite sistematicamente durante tutto il loro ciclo di vita.
Processi di cyber security e controlli sulle tecniche AI nella guida autonoma
L'adozione dell'IA nella guida autonoma porta con sé importanti preoccupazioni di cyber security. L'aumento della digitalizzazione dei veicoli e l'inclusione di funzionalità di IA si traducono in una maggiore superficie di attacco e potrebbero aumentare significativamente gli incentivi per gli aggressori a prendere di mira gli AV.
L'industria automobilistica dovrebbe, quindi, “sposare” il concetto di security by design per lo sviluppo e l'implementazione di funzionalità AI. Questo potrebbe includere l'uso di approcci standardizzati e soluzioni AI interoperabili omogenee per i sistemi automobilistici.
Aumentare la capacità e le competenze sull'AI cyber security per i sistemi automobilistici: “security by design”
L'adozione dell'IA come abilitatore per i veicoli a guida autonoma ha amplificato ulteriormente le sfide della cyber security, ponendola come uno dei requisiti critici per garantire la sicurezza e promuovere la fiducia.
A tal proposito, la mancanza di sufficienti conoscenze e competenze di sicurezza tra gli sviluppatori e i progettisti di sistemi sulla cyber security AI è una grande barriera che ostacola l'integrazione della sicurezza nel settore automobilistico. La corretta applicazione del principio della security by design (sicurezza durante la progettazione e sviluppo) richiede che tutti gli attori coinvolti nel ciclo di vita del prodotto siano sufficientemente competenti sulla cyber security e lavorino sistematicamente insieme verso l'obiettivo comune di costruire un prodotto sicuro.
Considerazioni in materia di Data Protection
I Connected and Automated Vehicles (CAV), raccolgono e trattano elevate quantità di informazioni, statiche e dinamiche, relativamente ai conducenti e passeggeri. Il trattamento di tali dati deve necessariamente realizzarsi in conformità alla disciplina europea in materia di dati personali (GDPR), attraverso la valorizzazione di misure volte a tutelare i diritti e le libertà dei soggetti interessati, assicurando l’assenza di qualsivoglia forma di discriminazione tra gli utenti e seguendo processi accessibili e comprensibili da parte di tutti i soggetti coinvolti.
Non a caso, sul tema del trattamento dei dati personali nel contesto dei veicoli, è intervenuto l’European Data Protection Board (EDPB) con delle Linee Guida di recente formulazione.
Le Linee Guida: definizioni e tipologie di dati personali trattati
A tal proposito, l’Autorità di vigilanza UE (EDPB) oltre a fornire, tra le varie definizioni, quella di “veicoli connessi”, ha indicato quali categorie di dati sono trattate dai connected vehicles. Inparticolare, oggetto di tali trattamenti possono essere sia dati funzionali a consentire un’identificazione diretta dell’interessato, sia dati (ad es. durata dei viaggi, modalità di utilizzo e condizioni del veicolo) che ne consentono un’identificazione indiretta, attraverso l’incrocio di differenti banche dati.
Criticità e soluzioni
Alla luce di tali considerazioni, è opportuno interrogarsi sulle possibili criticità emergenti da tali operazioni. In primis, occorre verificare se conducenti e passeggeri siano adeguatamente informati circa i trattamenti posti in essere. Successivamente, occorre focalizzare l’attenzione sulla base giuridica che rende lecito il trattamento dei dati da parte dei CAV. Ed infatti, come ricordato dall’EDPB, il consenso per potersi considerare valido dev’essere libero, specifico, informato ed inequivocabile, requisiti di non facile inquadramento nel contesto di tale trattamento, a fortiori considerando che il consenso inizialmente prestato per specifiche finalità di trattamento, non potrà essere impiegato per il perseguimento di finalità diverse ed ulteriori.
In conclusione ed al fine di mitigare tali criticità, le Linee Guida di derivazione UE forniscono una serie di raccomandazioni per gli operatori del mercato. In tal senso, occorre, dunque, evidenziare che l’implementazione dei princìpi di data protection by design & by default circa la realizzazione dei CAV consentirà maggiori garanzie per uno sviluppo compliance alle disposizioni in materia di privacy. Inoltre, in osservanza al principio di minimizzazione, le tecnologie impiegate nelle smart car dovrebbero essere progettate in modo tale da evitare la raccolta di dati personali ultronei, fornendo impostazioni di base volte alla tutela degli stessi e garantendo agli utenti la possibilità di modificare agevolmente le impostazioni circa i trattamenti effettuati.
Le aziende costruttrici, dovranno, inoltre, sia provvedere ad una trasmissione dei dati in forma prevalentemente anonimizzata o pseudonimizzata, effettuare adeguate valutazioni di impatto (DPIA) per una maggiore protezione dei dati personali, adempiere agli obblighi informativi ai sensi degli art. 13 e 14 GDPR, nonché porre in essere tutte le misure tecniche e organizzative necessarie al fine di garantire sicurezza e confidenzialità dei dati trattati attraverso i CAV.
Avv. Vincenzo Colarocco e Dott. Pietro Vitucci