L'ASIC esorta i broker a rafforzare urgentemente le difese informatiche, poiché l'intelligenza artificiale di frontiera intensifica le minacce

L'Australian Securities and Investments Commission (ASIC) avverte le società finanziarie e gli operatori di mercato di rafforzare le misure di protezione informatica, poiché l'intelligenza artificiale continua ad amplificare le minacce informatiche a livello globale.

Sosteneva che, sebbene le minacce informatiche siano sempre state una preoccupazione, strumenti di intelligenza artificiale sofisticati come Claude Mythos potrebberomaticla scoperta e lo sfruttamento delle vulnerabilità. 

In una lettera aperta, l'autorità di regolamentazione ha consigliato alle aziende di proteggere fin da ora i propri sistemi dai rischi accelerati dall'intelligenza artificiale, anziché fare affidamento su futuri strumenti di IA. In particolare, ha sostenuto un approccio tecnologicamente neutrale e basato su principi per gli urgenti aggiornamenti di sicurezza informatica.

Cosa si aspetta l'ASIC dai titolari di licenza in tutto il paese?

L'intelligenza artificiale di frontiera ha spinto il rischio informatico in una "nuova era", ha avvertito la commissaria dell'ASIC Simone Constant. Ha osservato che, nonostante i potenziali vantaggi dei modelli di intelligenza artificiale avanzati, questi possono ancora sfruttare le vulnerabilità molto più rapidamente di quanto la maggior parte delle persone si aspetti.

Ciò significa che ora anche singole falle possono causare il collasso totale del sistema, consentendo ad hacker di livello medio di accedere a tecniche di hacking avanzate. 

Questa comunicazione fa seguito alle evidenze emerse da Connective, secondo cui i broker stanno integrando strumenti di intelligenza artificiale senza le necessarie infrastrutture di sicurezza. L'amministratore delegato di Connective, Glenn Lees, ha affermato che il settore dei broker è attualmente in fermento per l'entusiasmo suscitato dall'IA, ma manca della struttura necessaria per un'implementazione sicura e stabile.

Ciononostante, ha esortato i broker a costruire solide basi di strategia, sistemi e governance, affermando che questo è probabilmente l'unico modo per far funzionare l'adozione dell'IA. 

La lettera aperta dell'ASIC ha inoltre chiesto ai titolari di licenza di affrontare subito le proprie lacune in materia di sicurezza, anziché attendere l'evoluzione delle minacce legate all'IA. Constant ha spiegato che un piano di risposta pronto all'uso è essenziale, poiché le regole fondamentali della sicurezza informatica non cambiano solo perché cambia la tecnologia.

Ha aggiunto che i vertici aziendali devono assumersi la responsabilità, garantendo che test rigorosi e interventi correttivi tempestivi avvengano ben prima che una minaccia si trasformi in una crisi. 

Ha inoltre commentato: "Manca un minuto alla mezzanotte: se non avete ancora implementato misure di sicurezza informatica efficaci, è il momento di agire e prepararvi"

Inoltre, oltre all'ASIC, anche l'Autorità australianadent(APRA) ha avvertito le banche che le loro misure di governance e controllo per l'intelligenza artificiale sono in ritardo rispetto alla rapida espansione degli strumenti di IA. 

Therese McCarthy Hockey, membro di APRA, ha dichiarato: "La rivoluzione dell'intelligenza artificiale offre enormi opportunità a banche, compagnie assicurative e amministratori di fondi pensione per migliorare l'efficienza e i servizi alla clientela. Tuttavia, non possiamo ignorare i rischi di una tecnologia così potente."

L'ASIC ha intrapreso azioni contro FIIG Securities

L'ASIC ha recentemente intrapreso un'azione legale contro la società australiana specializzata in titoli a reddito fisso FIIG Securities Limited (FIIG) per non aver implementato per anni adeguate misure di sicurezza informatica a tutela della sua vasta clientela. Di conseguenza, la società è stata condannata al pagamento di sanzioni pecuniarie per un totale di 2,5 milioni di dollari e di circa 500.000 dollari a titolo di rimborso delle spese legali dell'ASIC. 

Secondo quanto riportato, le falle nella sicurezza di FIIG avrebbero contribuito alla portata della violazione informatica del 2023, che ha esposto datident, tra cui codici fiscali, coordinate bancarie e documenti dident. Circa 18.000 clienti hanno ricevuto una notifica che i loro dati personali sensibili potrebbero essere stati divulgati.

All'epoca, la FIIG ammise persino che le sue misure di sicurezza informatica erano inadeguate rispetto ai australiana per i servizi finanziari (AFS) e che migliori misure di sicurezza avrebbero potuto ridurre l'impatto della violazione. Per loro stessa ammissione, la società non aveva inoltre rispettato le proprie politiche, concepite proprio per prevenire questo tipo di fuga di dati. 

La Corte Federale ha inoltre disposto un auditdent per adeguare la sua resilienza informatica a uno standard professionale. 

A seguito dell'esito del caso, anche la vicepresidente dell'ASIC, Sarah Court, ha commentato: "L'ASIC si aspetta che i titolari di licenze per i servizi finanziari siano sempre pronti a proteggere i propri clienti. FIIG non lo è stata, mettendo a rischio migliaia di clienti. In questo caso, le conseguenze hanno superato di gran lunga il costo che FIIG avrebbe sostenuto per implementare controlli adeguati fin dall'inizio."