La intel·ligència artificial (IA) és un recurs poderós capaç d’elevar la productivitat i l’eficiència a les empreses, però també té una cara B: la que s’empara per cometre un frau. Un estudi de FICO Espanya indica que el 76% dels espanyols han rebut algun tipus de missatge, correu electrònic o trucada de telèfon que en realitat era una estafa. El que és sorprenent és que un 8% va acabar realitzant el pagament malgrat haver estat alertat pel seu banc i només el 19% va informar la seva entitat de la suplantació.
“Abans era fàcil detectar un email fraudulent perquè hi havia errors gramaticals o frases que resultaven sospitoses. Actualment, fins i tot la mateixa Europol alerta de l’habilitat de ChatGPT per escriure textos impecables que els delinqüents fan servir per fer phishing i altres modalitats de frau”, adverteix Felipe García, advocat i soci del despatx Cercle Legal Madrid. Tant aquest sistema d’IA generativa com altres de crear deepfakes molt realistes eleven la urgència de reforçar la seguretat en l’àmbit corporatiu a través del compliance, una eina poderosa capaç de prevenir aquests atacs.
L’advocat admet que aquesta tecnologia suposa “un problema real per a les empreses i els ciutadans, amb la qual cosa cal una regulació quant a l’ús i el desenvolupament d’aquesta, sobretot, a la IA generativa, limitant-ne l’ús”, això és , segons el Lletrat “és un veritable problema, cada cop és més freqüent, per exemple, la suplantació d’identitat per obrir comptes i disposar de quantitats importants de diners, que moltes vegades acaben amb l’afectat en una banqueta, imputant-li un delicte de estafa, s’utilitzen per a això tècniques com l’spooling facial, o fins i tot la imitació de la veu, si no se li posa límit a l’ús d’aquesta intel·ligència, els problemes de frau s’incrementaran exponencialment en els propers mesos, la UE ha de reaccionar ràpid així com els Estats Membres, com sempre, la realitat va per davant de la regulació, i moltes vegades per davant de les Forces i Cossos de Seguretat de l’Estat, que tampoc tenen marge de maniobra en molts dels casos que passen pels seus mans.
La importància del compliance
La solució a aquestes amenaces rau en la prevenció i en la formació. El Lletrat insisteix que “les empreses han de revisar les seves polítiques de risc i, si veuen que el frau pot créixer més, fer les inversions corresponents per prevenir aquest tipus de comportaments irregulars”. En aquest sentit, gairebé el 5% de les transaccions digitals realitzades a Espanya la primera meitat de l’any van ser sospitoses de frau, segons Transunion.
Per a García, el destí d’aquesta inversió ha d’abastar tant els mitjans tècnics com els humans. “Cal comptar amb equips liderats per persones que impulsin plans de formació específics a evitar fraus, en totes les modalitats, no serveixen de res els sistemes, models o programes si darrere, no hi ha persones que involucrin l’organització en accions de formació específiques per a evitar el frau en totes les seves modalitats, sens dubte, s’erigeix com a protagonista principal una figura clau per a les organitzacions, el Compliance Officer, Qui millor per emprendre aquestes restes?
Regulació necessària
Per a finals d’any, cal esperar que s’arribi a un acord al Consell Europeu respecte al llançament de la Llei d’Intel·ligència Artificial de la UE, una norma pionera que establirà obligacions per a proveïdors i usuaris en funció del nivell de risc i que sembla que posarà UE al capdavant de la regulació d’aquesta intel·ligència.
Aquest reglament és, en opinió de García, “molt necessari per regular el desenvolupament i l’ús de la IA, com a tecnologia líder, disruptiva i molt útil, però amb una potencialitat lesiva d’indubtable calat”.
El portaveu de Cercle Legal Madrid recorda que Espanya tindrà un regulador específic: l’Agència Estatal per a la Supervisió de la Intel·ligència Artificial (Aesia), un organisme estatal amb seu a la Corunya l’entrada en funcionament del qual està prevista abans que s’acabi el 2023.
“S’implementarà un sandbox per testar aquesta regulació a les empreses que s’allotgin en aquest nou entorn desregulat”, comenta García, afegint que “la IA no és només protecció de dades, atès que afecta altres drets fonamentals. Caldrà veure molt bé la seva implementació i com es coordina amb el regulador existent en matèria de privadesa, que és l’Agència Espanyola de Protecció de Dades (AEPD)”.
