L’autorità di regolamentazione finanziaria australiana ha avvertito le società finanziarie che la governance degli agenti di intelligenza artificiale e le pratiche di assicurazione sono mal governate. L’avvertimento arriva mentre le banche e gli amministratori fiduciari dei fondi pensione espandono l’intelligenza artificiale nelle operazioni interne e rivolte ai clienti.
L’Autorità australiana di regolamentazione prudenziale ha dichiarato di aver condotto una revisione mirata di grandi entità regolamentate selezionate alla fine del 2025 per valutare l’adozione dell’intelligenza artificiale e i relativi rischi prudenziali. È emerso che l’intelligenza artificiale veniva utilizzata in tutte le entità esaminate, ma la maturità variava nella gestione del rischio e nella resilienza operativa. APRA ha affermato che i consigli di amministrazione hanno mostrato un forte interesse per l’intelligenza artificiale per la produttività e l’esperienza del cliente. Tuttavia, è emerso che molti stanno ancora sviluppando la gestione dei rischi legati all’IA.
L’autorità di regolamentazione ha inoltre sollevato preoccupazioni circa l’affidamento alle presentazioni e ai riepiloghi dei fornitori. I consigli di amministrazione non sempre prestano sufficiente attenzione a rischi come il comportamento imprevedibile dei modelli e l’effetto dei fallimenti dell’intelligenza artificiale sulle operazioni critiche.
L’APRA ha affermato che i consigli di amministrazione dovrebbero sviluppare una migliore comprensione dell’intelligenza artificiale al fine di impostare strategie e supervisione in modo coerente. Ha affermato che la strategia di intelligenza artificiale dovrebbe allinearsi alla propensione al rischio di un istituto e includere il monitoraggio e procedure definite da adottare in caso di errori.
L’APRA ha osservato che gli enti regolamentati stanno sperimentando o introducendo l’intelligenza artificiale nell’ingegneria del software, nella valutazione dei sinistri e nell’elaborazione delle richieste di prestito. Altri casi d’uso citati includevano frodi, interruzioni dovute a truffe e interazione con i clienti.
Alcune entità trattavano il rischio dell’IA negli stessi termini di quello di altre tecnologie, ma tale approccio non tiene conto del comportamento e dei pregiudizi dei modelli.
Ha identificato lacune nel monitoraggio del comportamento dei modelli, nella gestione delle modifiche e nello smantellamento e ha affermato la necessità di inventari degli strumenti di intelligenza artificiale e di proprietà nominativa delle istanze di intelligenza artificiale. Ha inoltre sottolineato la necessità del coinvolgimento umano nelle decisioni ad alto rischio.
La sicurezza informatica era un’altra area di preoccupazione. APRA ha affermato che l’adozione dell’intelligenza artificiale sta cambiando l’ambiente delle minacce aggiungendo ulteriori percorsi di attacco come l’iniezione rapida e integrazioni non sicure.
In alcuni casi le pratiche di gestione dell’identità e degli accessi non si erano adeguate a elementi non umani come gli agenti di intelligenza artificiale. Il volume dello sviluppo di software assistito dall’intelligenza artificiale esercitava pressione sui controlli di modifica e rilascio.
APRA ha affermato che le entità dovrebbero applicare controlli sui flussi di lavoro degli agenti e autonomi che includono la gestione degli accessi privilegiati, la configurazione e l’applicazione di patch. Ha inoltre richiesto test di sicurezza del codice generato dall’intelligenza artificiale.
Alcune istituzioni sono diventate dipendenti da un unico fornitore per molte delle loro istanze di intelligenza artificiale, ha osservato l’ARPA, e solo poche sono state in grado di mostrare un piano di uscita o una strategia di sostituzione per i fornitori di intelligenza artificiale.
APRA ha affermato che l’intelligenza artificiale può essere presente nelle dipendenze a monte, di cui le entità potrebbero non essere a conoscenza.
Identità e accesso
L’attenzione ai controlli di identità e autorizzazioni si riflette anche nel lavoro sui nuovi standard dell’Alleanza FIDO. Il gruppo ha formato un gruppo di lavoro tecnico sull’autenticazione degli agenti e sta sviluppando specifiche per il commercio avviato dagli agenti.
FIDO ha affermato che alcuni modelli di autenticazione e autorizzazione esistenti sono progettati per l’interazione umana, non per le azioni delegate eseguite dal software. I fornitori di servizi necessitano di modalità per verificare chi o cosa autorizza le azioni e a quali condizioni.
I fornitori hanno presentato le loro soluzioni a FIDO per la revisione, incluso il protocollo di pagamento degli agenti di Google e il quadro di intenti verificabili di Mastercard. Il Center for Internet Security, un’organizzazione no-profit finanziata in gran parte dal Department for Homeland Security, ha pubblicato guide complementari alla sicurezza dell’intelligenza artificiale che associano i controlli CIS v8.1 a modelli linguistici di grandi dimensioni, agenti AI e ambienti Model Context Protocol.
La sua guida LLM copre questioni relative ai dati sensibili e tempestivi, mentre una guida MCP si concentra sull’accesso sicuro tramite strumenti software, identità non umane e interazioni di rete.
(Foto di Julien Tromeur)
Vedi anche: Google avverte che le pagine web dannose stanno avvelenando gli agenti IA
Vuoi saperne di più sull’intelligenza artificiale e sui big data dai leader del settore? Guardare Fiera dell’intelligenza artificiale e dei big data che si svolge ad Amsterdam, in California, e a Londra. L’evento completo è parte di TechEx ed è situato in concomitanza con altri importanti eventi tecnologici tra cui Fiera sulla sicurezza informatica e sul cloud. Clic Qui per ulteriori informazioni
AI News è alimentato da Media TechForge. Esplora altri prossimi eventi e webinar sulla tecnologia aziendale Qui.
Fonte: www.artificialintelligence-news.com
