Tramite il corretto uso di strumenti di AI generativa, anche nella loro versione gratuita, è possibile agevolare notevolmente tutte le attività legate al presidio, all’implementazione e alla verifica dei sempre più numerosi atti legislativi che impattano sul sistema informativo e sulla sicurezza aziendale.

Ecco gli strumenti di AI generativa, nella loro versione gratuita, per la compliance normativa di DORA (regolamento dell’Unione Europea, in vigore il 16 gennaio 2023 e obbligatorio dal 17 gennaio 2025, che punta a rafforzare la resilienza operativa del settore finanziario contro cyber minacce e incidenti), NIS2 (la normativa europea che rafforza la sicurezza informatica e la resilienza di reti e sistemi informativi nella Ue), GDPR (Regolamento generale sulla protezione dei dati, in vigore dal 2018), AI Act (il Regolamento sull’Intelligenza Artificiale dell’Unione europea) eccetera.

L’AI generativa e la compliance normativa

L’AI generativa sta emergendo come uno strumento fondamentale per affrontare la crescente complessità del panorama normativo europeo.

Strumenti come ChatGPT, Claude, Gemini e NoteBookLM, disponibili sia in versione gratuita che a pagamento (solitamente in questo caso con diversi livelli di abbonamento, compresa la disponibilità di spazi in cloud, dedicati ad una specifica azienda), stanno dimostrando un potenziale straordinario nel supportare le organizzazioni nella gestione di normative complesse come il Regolamento DORA, la Direttiva NIS2 e il Regolamento GDPR.

Le loro capacità sono spesso sottovalutate, sia per un errato approccio alla loro implementazione nelle aziende (e di questo parleremo in un altro articolo), come testimoniano gli allievi dei miei corsi, sia per la mancanza di comprensione di una serie di paradigmi che caratterizzano il loro uso e che ho individuato grazie alla intensa sperimentazione che ho condotto negli ultimi mesi.

Il corretto approccio all’AI generativa: i 3 paradigmi

Il primo paradigma da considerare è che l’esperienza personale nell’uso di ogni singolo strumento è veramente poco significativa per la sua valutazione.

Questi strumenti evolvono con una rapidità impressionante e quello che oggi uno strumento fa male, domani (nel senso letterale del termine) potrebbe farlo in modo assolutamente ottimale.

I vari strumenti fanno a gara per essere i migliori e la competizione è veramente molto forte.

È quindi inutile classificarli in base al loro possibile uso, in particolare in. questo contesto. Le potenzialità di ChatGPT, Copilot, Gemini, Claude infatti devono essere periodicamente ritestate.

Diverso è il caso di strumenti specialistici come NoteBook LM, che è insuperabile nell’analisi di un documento o di un insieme di documenti, o come Perplexity, capace di formulare un testo originale basandosi su decine e decine di fonti informative.

Il secondo paradigma è che, a differenza delle altre applicazioni informatiche, non è necessario saperli usare una volta che si è capito che è possibile richiedere qualunque cosa direttamente allo strumento stesso.

È infatti possibile rivolgersi direttamente allo strumento per chiedergli come funziona, come ci può aiutare nell’implementare una normativa, chiedergli di realizzare qualcosa di specifico, compresa la possibilità di generare direttamente il prompt più adatto per ottenere quanto di nostro interesse.

Il terzo paradigma è che può chiedere di inserire qualunque informazione a integrazione della semplice risposta proposta di default dallo strumento.

Un esempio

Per esempio, si può chiedere di descrivere che ragionamento ha fatto per arrivare a una certa conclusione, indicando la fonte di ogni paragrafo che ha scritto, riportando anche il testo originale della fonte per avere un riscontro immediato ed individuando in questo modo eventuali allucinazioni.

Se la risposta che lo strumento fornisce non comprende di base una serie di elementi di nostro interesse, basta chiedergli di inserirli.

Non mancano i vistosi limiti, prime fra tutti le appena citate allucinazioni, determinate dal fatto che gli strumenti rispondono in ogni caso alle richieste dell’utente e, se non sanno una cosa, la inventano.

Bibliografia fantasma: come risolvere

Pochi giorni fa, nel fornirmi la risposta su un argomento per il quale avevo richiesto informazioni, ChatGPT si è inventato la relativa bibliografia.

Che la bibliografia fosse inventata in realtà avrei potuto anche intuirlo subito; accanto ai documenti citati non c’era alcun link. L’ho scoperto cercando i singoli documenti elencati: tutti inventati.

Quindi è opportuno utilizzare tali strumenti solo per argomenti sui quali si è esperti, al fine di poter valutare immediatamente la bontà della risposta.

In caso contrario, si passerà più tempo a verificare la veridicità di quest’ultima rispetto al tempo che sarebbe servito a costruirla senza l’aiuto dell’AI.

Esistono ovviamente tecniche per effettuare i controlli della qualità dell’output, ed è anche possibile automatizzare questo processo. Del resto, a questi strumenti si può chiedere di fare tutto.

La riservatezza delle informazioni caricate durante l’uso

L’altro grande limite che contraddistingue questi strumenti e che preoccupa, forse eccessivamente gli utenti, riguarda la riservatezza delle informazioni caricate durante il loro uso.

In alcuni casi tali informazioni potrebbero essere utilizzate per addestrare il modello, come ben evidenziano le avvertenze che alcuni prodotti mostrano durante il loro uso.

Ho evidenziato “eccessivamente” nel precedente paragrafo non perché il problema non sia reale, ma perché non ho visto una preoccupazione altrettanto marcata nell’uso dei vari strumenti di traduzione on line, e nemmeno alcuna policy che ne vieti o limiti l’uso.

Le soluzioni

Anche in questo caso non mancano le soluzioni, che vanno dall’anonimizzare le informazioni fino all’uso di modelli di AI gratuiti da installare in locale e funzionanti senza alcuna connessione esterna.

Ce ne sono a decine, compresi i modelli che fino a pochi mesi fa erano i più avanzati di OpenAI.

Per le applicazioni descritte nei libri [1] in realtà non ci sono problemi di riservatezza. Gli esempi riportati riguardano l’analisi di una normativa, la gap analisi rispetto a normative preesistenti, la definizione di policy, procedure, modelli di contratto, check list di audit o di valutazione dei rischi di fornitura. Tutti argomenti che non trattano informazioni riservate.

Vediamo ora alcuni casi pratici.

Analisi normativa

Nel caso del Regolamento DORA, un’applicazione di AI generativa può analizzare l’intero corpus normativo e produrre un inventario dettagliato di tutti gli obblighi imposti, suddividendoli in categorie distinte: requisiti organizzativi, tecnici, di sicurezza e legali.

È possibile richiedere all’AI di scomporre un singolo articolo nei suoi obblighi specifici, identificando chi è il soggetto tenuto all’adempimento, quali sono le scadenze previste e quali sanzioni potrebbero applicarsi in caso di inadempimento.

L’AI può inoltre individuare tutte le definizioni tecniche e legali rilevanti contenute nel testo e confrontarle con quelle di altre normative, evidenziando similitudini e differenze terminologiche che potrebbero avere implicazioni operative significative.

Gap analysis

L’entrata in vigore di nuove normative comporta sempre una attenta analisi di quali siano le differenze con normative già esistenti, al fine di individuare i gap.

Spesso le aziende saltano questa fase e confrontano direttamente la loro situazione con quanto richiesto dalla nuova normativa, una pratica questa che in realtà presenta alcuni rischi, come ho avuto modo di evidenziare in diversi miei interventi.

È quindi indispensabile condurre questa gap analisys che, se svolta manualmente, può richiedere molto tempo.

L’AI può confrontare per esempio i requisiti del nuovo Regolamento DORA con le normative precedenti, come gli orientamenti EBA, producendo un’analisi differenziale che evidenzia con precisione non solo quali sono i nuovi adempimenti richiesti. Si tratta di un’analisi che infattinon è unidirezionale.

L’AI è infatti in grado di rilevare sia gli elementi presenti nella nuova normativa che erano assenti in quella precedente, sia, viceversa, offrendo una visione completa delle continuità e delle discontinuità regolamentari.

I vantaggi dell’AI nella gap analysis

Un esempio concreto di questa capacità emerge dall’individuazione di requisiti tecnici specifici di DORA che non trovavano corrispondenza negli orientamenti EBA.

Similmente, nel confronto tra NIS2 e DORA, l’AI può mappare i requisiti comuni alle due normative, distinguendoli da quelli specifici di ciascuna regolamentazione. Questa capacità di rappresentazione comparativa permette alle organizzazioni di ottimizzare gli sforzi implementativi, identificando le sinergie possibili e concentrando le risorse dove realmente necessario.

Creare documenti

Policy interne, procedure operative, modulistica: tutti questi documenti possono essere generate con il supporto dell’IA.

Nel contesto di DORA, uno degli ambiti più delicati riguarda la contrattualistica con i fornitori di servizi TIC.

I contratti stipulati tra entità finanziarie e fornitori devono infatti soddisfare requisiti molto specifici, e l’AI può generare schemi contrattuali completi che includono tutti gli elementi richiesti dalla normativa.

Audit e verifiche

Gli esempi di applicazione dell’AI generativa sono illimitati. Rispetto all’attività di audit, l’AI può:

• creare check list;
• schemi di interviste;
• proporre la struttura di un audit report;
• definire metodologie di audit e criteri di valutazione.

Ma si presta anche alla produzione di applicativi che aiutano l’auditor nello svolgimento del suo lavoro.

Le applicazioni per la continuitè del business

Per gli ambiti business continuity, forniture in ambito DORA e forniture in ambito NIS2, ho realizzato delle applicazioni che operano in locale su qualunque PC.

Sono applicazioni costituite da un unico file html, che sottomettono una checklist di audit composte fra 50 e 100 domande.

Ogni domanda ha 5 possibili risposte che identificano 5 diversi livelli di maturità di implementazione del requisito.

Le applicazioni sono state realizzate con un prompt molto semplice, scritto in non più di 20 secondi e sono una evidenza estrema del diverso livello di efficienza raggiungibile con questi strumenti.

Una realizzazione manuale di un risultato analogo, avrebbe comportato un lavoro sicuramente di diversi giorni ad un esperto umano.

Le applicazioni sono liberamente scaricabili e sono state realizzate a solo scopo dimostrativo e quindi non è stato verificato il loro funzionamento e contenuto specifico per un uso professionale. Ma danno comunque un’idea di quanto sia possibile realizzare in pochi secondi con questi strumenti.

L’uso degli agenti AI, in particolare nell’ambito delle attività di verifica, sarà oggetto del prossimo articolo.

Bibliografia

G.Butti – AI e audit, ITER 2024;
G.Butti – Compliance 4.0, ITER 2025
G.Butti – Supply chain: gestire i rischi con strumenti di AI gratuita, ITER 2025.