// TOM'S HARDWARE ITALIA — INTELLIGENZA ARTIFICIALE
AI agentica nei servizi finanziari: come governarla in sicurezza
L'implementazione dell'AI agentica nei servizi finanziari richiede controlli di sicurezza aggiuntivi che affrontino i rischi specifici dell'intelligenza artificiale.
Le istituzioni finanziarie che si muovono in questo contesto si trovano di fronte a una duplice sfida. Da un lato, devono conformarsi a un quadro normativo in continua evoluzione - che include framework quali l'SR 11-7 negli Stati Uniti, l'SS1/23 nel Regno Unito e le linee guida della BCE nell'Unione Europea - e dall'altro devono affrontare le problematiche di sicurezza specifiche introdotte dall'AI agentica. A differenza dei sistemi software tradizionali, l'AI agentica è in grado di prendere decisioni autonome e compiere azioni che possono avere un impatto su clienti, operatività e reputazione. Questa autonomia richiede un approccio alla sicurezza che vada oltre i controlli convenzionali.
Le organizzazioni già allineate a framework consolidati come l'ISO 27001 e il NIST Cybersecurity Framework dispongono di una base solida, ma è necessario integrare misure di sicurezza specifiche per l'AI, così da affrontare i rischi peculiari dell'AI agentica. L'utilizzo dell'AI agentica impone di rafforzare i controlli tradizionali con misure dedicate. La natura non deterministica dei sistemi AI, la loro capacità di agire con un elevato grado di autonomia e la complessità delle interazioni multi-agente introducono nuove dimensioni di rischio che devono essere gestite con attenzione.
Nei servizi finanziari, la trasparenza delle decisioni automatizzate è un requisito imprescindibile per una gestione efficace del modello di rischio. Quando gli agenti AI prendono decisioni o compiono azioni per conto dell'organizzazione, è necessaria una visibilità completa su cosa è stato fatto, perché è stato fatto e chi, o cosa, ne è responsabile. Questa trasparenza contribuisce a mantenere la fiducia, a soddisfare gli obblighi regolamentari e a implementare l'AI in modo responsabile.
Questo articolo delinea i principi di sicurezza per l'implementazione dell'AI agentica nei servizi finanziari, concentrandosi su due fattori abilitanti fondamentali: l'osservabilità completa dei flussi di lavoro agentici e il controllo granulare dei permessi di accesso degli agenti agli strumenti. Insieme, queste capacità forniscono le basi per la spiegabilità e creano un ambiente di controllo che favorisce l'accountability.
L'approccio è strutturato in due parti. La prima parte illustra sette principi di progettazione che assolvono a una duplice funzione: guidare i solution architect nella progettazione dei sistemi AI e fornire un framework per identificare i fattori di rischio critici. La seconda parte fornisce indicazioni operative dettagliate, con spunti pratici per implementare soluzioni AI sicure e conformi nel settore finanziario. È tuttavia consigliabile consultare i propri team compliance e legali per determinare i requisiti specifici della propria situazione. I requisiti normativi stabiliscono standard minimi, ma le valutazioni di rischio dell'organizzazione, inclusi il rischio reputazionale e il potenziale danno ai clienti, spesso richiedono controlli aggiuntivi.
In questa sezione vengono delineati i principi di progettazione chiave per i sistemi di AI agentica nei servizi finanziari. Questi principi aiutano a soddisfare i requisiti fondamentali di osservabilità e controllo degli accessi. Sebbene i requisiti di conformità specifici varino in base alla giurisdizione e al caso d'uso, questi principi costituiscono una base per sistemi sicuri e governabili.
Comprendere i controlli umani e determinarne l'applicabilità ai loro flussi di lavoro agentici, documentando i profili degli agenti. Implementare le identità degli agenti in aggiunta alle tradizionali autorizzazioni basate su ruoli e attributi, alla registrazione delle attività e al monitoraggio comportamentale. Garantire che le azioni critiche siano soggette a supervisione (agentica o umana), definire l'ambito di competenza degli agenti nei flussi