E10: L'avvelenamento dei dati (o "data poisoning")

L’avvelenamento dei dati (o “data poisoning”) è un fenomeno/attacco in cui i dati utilizzati per addestrare un sistema di intelligenza artificiale vengono intenzionalmente manipolati o corrotti per minare la funzionalità o l’affidabilità del sistema stesso.

Pensiamo, rimanendo in ambito giuridico, all’introduzione deliberata di informazioni fuorvianti in un corpus di contenuti giuridici, simile alla falsificazione di precedenti giudiziali o alla alterazione di un database legale, per distorcere il ragionamento basato su quei dati.

S'immagini il nostro giovane giurista che si sta affidando a un noto compendio di giurisprudenza per elaborare argomentazioni da portare in processo o preparare una sentenza. Se questo compendio venisse manomesso - introducendo sentenze fittizie, alterando i fatti o, ancora, omettendo decisioni-chiave - il giurista verrebbe fuorviato, causando potenzialmente interpretazioni errate o decisioni ingiuste. Allo stesso modo, quando un sistema di IA viene addestrato su dati avvelenati, assorbe queste imprecisioni come parte essenziale della sua attività di comprensione, portando a risultati distorti, parziali, discriminatori o dannosi.

L’avvelenamento dei dati può assumere forme diverse, a seconda degli obiettivi dell’attaccante. In alcuni casi, l’obiettivo è quello di degradare le prestazioni complessive dell’IA, rendendola inaffidabile o inutilizzabile. Ad esempio: un attaccante malintenzionato potrebbe "iniettare" dati irrilevanti o "rumorosi" nel set di addestramento, facendo sì che l’IA faccia fatica a identificare modelli significativi. In altri casi, l’obiettivo può essere più mirato, finalizzato a manipolare l’IA per farle commettere errori specifici. Ad esempio: un avversario potrebbe avvelenare il set di dati utilizzato per addestrare un sistema di riconoscimento facciale, assicurandosi che identifichi in modo errato determinate persone o gruppi.

Le caratteristiche dell’avvelenamento dei dati spesso includono silenziosità, precisione e inganno. I dati avvelenati sono in genere progettati per eludere il rilevamento durante la fase di addestramento, mescolandosi perfettamente con informazioni legittime. Proprio come un precedente giudiziario contraffatto potrebbe imitare lo stile e la struttura delle sentenze "autentiche", i dati avvelenati sono creati per apparire autentici, pur incorporando imprecisioni che compromettono la funzionalità dell’AI.

Anche i limiti dell’avvelenamento dei dati, tuttavia, sono un tema assai interessante. L'efficacia di un simile attacco dipende dalla capacità dell’attaccante di infiltrarsi nel set di dati e di introdurre un numero sufficiente di esempi dannosi senza essere scoperto. Inoltre, buone pratiche di cura e governance dei dati, e specifici processi di validazione, possono mitigare il rischio di avvelenamento, proprio come un attento esame delle fonti giuridiche utilizzate può smascherare falsificazioni o incongruenze. Tecniche come gli audit dei set di dati, il rilevamento delle anomalie e l’uso di fonti di dati diverse e ridondanti possono costituire garanzie di protezione contro questa minaccia.

La comprensione dell’avvelenamento dei dati è importante, per il giurista, per le sue implicazioni per la fiducia, la sicurezza e la responsabilità nei sistemi di IA. Per un esperto di diritto, questo concetto evidenzia i paralleli tra l’avvelenamento dei dati e l’erosione della credibilità nei processi quando vengono compromessi i contenuti fondamentali. Entrambi gli scenari sottolineano l’importanza dell’integrità delle fonti su cui vengono costruiti i sistemi, siano essi giuridici o artificiali.

L'avvelenamento dei dati solleva anche questioni etiche e legali. Chi è responsabile quando un sistema di IA, compromesso da dati avvelenati, produce risultati dannosi o distorti? Quali responsabilità hanno gli sviluppatori, i fornitori di dati e gli utenti nella garanzia dell’integrità dei dati di formazione?

In estrema sintesi, e in conclusione, l’avvelenamento dei dati è un atto deliberato che mira a compromettere un sistema di IA corrompendo i suoi dati di addestramento.