Tenho visto, de forma cada vez mais recorrente, notícias e informações sobre regulações, proteção de dados e Inteligência Artificial sendo veiculadas em meios que não são diretamente relacionados à tecnologia ou à segurança da informação. Isso me surpreendeu positivamente, pois demonstra que mais pessoas terão visibilidade sobre temas tão importantes quanto esses e, indiretamente, possibilita que mais pessoas reflitam sobre o assunto e, eventualmente, possam contribuir para a sua evolução.

A proteção de dados, por si só, já possui uma série de desafios associados. Quando o elemento IA é adicionado à equação, o grau de complexidade do tema aumenta significativamente. Neste artigo, compartilho alguns dos meus pontos de vista sobre os principais desafios que teremos pela frente no que se refere a regulações e segurança relacionadas às Inteligências Artificiais Generativas. Para me referir a esses tipos específicos de Inteligência Artificial de forma mais resumida, usarei a sigla IAG.

É amplamente sabido que as IAGs estão sendo utilizadas de diversas formas, inclusive para fins maliciosos. Essa percepção faz com que deixemos de pensar na possibilidade de "um ataque com IAG acontecer ou não" e nos leve à certeza de que "um ataque com IAG irá acontecer, então, quais as melhores formas de lidar com isso?". Isso, por si só, já demonstra uma evolução na maturidade de segurança relacionada ao tema e nos leva ao que acredito ser um dos desafios mais complexos a serem solucionados: como as responsabilidades sobre um incidente serão atribuídas?

Esse não é um desafio trivial, pois não há uma resposta simples para essa questão. Existem muitos pontos a serem considerados. Se pensarmos em todo o processo envolvido na criação de um novo conteúdo, temos, minimamente, a seguinte estrutura:

  • Empresa proprietária da ferramenta;
  • Desenvolvedores de software envolvidos na criação da ferramenta e na definição de seus parâmetros de interação;
  • Responsáveis pelo treinamento da solução, incluindo coleta de dados, catalogação e inserção no modelo para aprendizado;
  • Usuário da ferramenta, que a utilizou para criar um conteúdo potencialmente nocivo e, eventualmente, usá-lo para gerar um incidente.

É extremamente difícil atribuir a responsabilidade nesses casos. As IAGs nada mais são do que ferramentas e, como sempre digo, uma ferramenta pode ter seu propósito subvertido. Em casos de ferramentas tão robustas e complexas como essas, pode ser necessário que os países busquem um consenso e estabeleçam algumas diretrizes e tipificações de incidentes para lidar da melhor forma possível com essas situações.

Essa necessidade de cooperação me leva ao segundo desafio: a transnacionalidade.

Para exemplificar, utilizarei um exemplo bastante simples: suponha que um cibercriminoso usou uma IAG para realizar um ataque. Apesar do sucesso do ataque, o criminoso foi descoberto, e as autoridades responsáveis pela investigação identificaram o seguinte cenário: o criminoso é do país AAAA; ele utilizou uma IAG cuja origem e sede estão no país BBBB; e a empresa vítima é do país CCCC.

Sem um processo bem estruturado de cooperação entre os países, o crime cometido demoraria ainda mais para ser resolvido. Contudo, essa estruturação não é facilmente obtida. Leis de proteção de dados, como a GDPR, da União Europeia, possuem características voltadas à transnacionalidade que podem ser adaptadas e aprimoradas para embasar as novas regulações voltadas à IA que surgirão.

O terceiro e último desafio que citarei neste artigo refere-se às características inerentes à criação de uma regulação e aos avanços tecnológicos que ela deverá regular.

Vamos imaginar uma empresa de IAG que acabou de lançar sua ferramenta para o público. Assim que foi lançada, em sua versão 1.0, uma regulação para desenvolvimento e uso da tecnologia se fez necessária.

Vamos assumir que a empresa continuará desenvolvendo os recursos de sua nova ferramenta e lançará atualizações a cada três meses. Por conveniência, suponha também que a lei que regulará a solução será criada no Brasil.

Para que uma lei entre em vigor, há uma série de exigências que precisam ser seguidas. Primeiro, a lei precisa ser proposta; em seguida, passar pela análise das comissões responsáveis; pode ser necessário ser votada no plenário, encaminhada ao Senado, aprovada pela Presidência da República e, caso tenha êxito em todos os trâmites anteriores, publicada.

Se tudo transcorrer em um tempo médio, em dois anos uma lei para regular o uso da versão 1.0 da tecnologia seria publicada. Nesse meio-tempo, a nova IAG já teria recebido ao menos oito atualizações, possivelmente adicionando novos recursos. Ou seja, mesmo a lei entrando em vigor tão brevemente quanto possível, ela já estaria bastante defasada.

Esses, infelizmente, são apenas alguns dos muitos desafios que as Inteligências Artificiais Generativas trazem para o cenário de segurança. Acredito que será um dos desafios mais complexos da história. Não por acaso, as IAGs também figuram entre as Tendências de Segurança que destacamos para 2025.

Independentemente das regulações, cabe a todos nós permanecermos alertas para os diferentes tipos de abordagens que ferramentas como essa podem propiciar. Essa prontidão ajuda a conter os avanços dos cibercriminosos.