Mai come in questo momento i fari sono puntati sull’Intelligenza Artificiale, nel bene e nel male. Ma come l’AI e la tecnologia stanno trasformando il mondo economico e finanziario?
Dopo settimane in cui non si parla d’altro che di Intelligenza Artificiale, ci siamo chiesti come l’innovazione tecnologica stia impattando il settore bancario e finanziario e come possa contribuire a rafforzarlo o indebolirlo.
Con le truffe online all’ordine del giorno e le criptovalute usate sempre più spesso per operazioni illegali, come ci si può tutelare? La soluzione arriverà proprio dall’AI o l’AI aiuterà la criminalità?
Ne abbiamo parlato con Stefano Martinazzo, Responsabile del Dipartimento di Forensic Accounting, Internal Audit & Litigation di Axerta S.p.A. ed esperto di corporate fraud e investigation auditing.
Stefano, prima di entrare nel vivo dell’uso dell’intelligenza artificiale per il contrasto della criminalità, vorrei chiederti un parere sull’AI generativa e il clamore sollevato da ChatGPT. Che idea ti sei fatto?
Ritengo che sia una tecnologia da sviluppare, è ancora molto acerba e dipende molto dalle basi dati che alimentano questi sistemi di autoapprendimento. Se questa base dati è in qualche modo inquinata, non è integra, non è completa o è addirittura di parte o contiene notizie non veritiere, le risposte dei sistemi non sono sufficienti, sono faziose e possono anche essere dannose.
È una scienza all’alba del suo sviluppo. Io da economista guardo i numeri e ho visto che gli investimenti in questa tecnologia nel 2022 sono di circa 62 miliardi di dollari, + 21% rispetto al 2021 e addirittura si prevede una crescita nell’immediato futuro di circa il 40% all’anno, fino ad arrivare a una previsione al 2026 di 310 miliardi di dollari di fatturato. Un’espansione che non si vedeva dagli albori della diffusione del pc.
Si tratta quindi di una tecnologia al momento affascinante, che è importante ma che va migliorata prima di essere applicata.
Quali sono invece i vantaggi dell’AI e della tecnologia nel mondo finanziario?
Nel mondo finanziario ci sono sistemi tecnologici che aiutano gli investitori istituzionali ad analizzare una mole enorme di informazioni, come dati storici o previsionali, studi di settore, trend di mercato, dati di bilancio e contabilità delle singole aziende. Questi sistemi permettono di formulare degli scenari di espansione dei titoli azionari che sono abbastanza coerenti e precisi.
Si è provato ad applicare l’intelligenza artificiale per cercare di capire se fosse in grado di prevedere, sulla base di dati e informazioni disponibili in un dato momento passato, le attuali quotazioni azionarie. Bene, in tantissimi casi è riuscita a prevedere una forchetta entro cui in effetti oggi sono collocati i valori di alcuni titoli azionari.
Nonostante il buon margine di riuscita, tuttavia, questi sono ancora sistemi che non garantiscono il risultato certo, proprio perché i corsi azionari dipendono da una serie di fattori imprevedibili anche per l’intelligenza artificiale. Del resto, abbiamo visto come basti un virus con una diffusione globale o una guerra improvvisa per aumentare la volatilità delle Borse mondiali.
Resta il fatto che lo sviluppo di questi sistemi di gestione ed elaborazione dati è sicuramente molto interessante.
Altri sistemi, che sono quelli che invece io vorrei fossero sempre di più implementati, sono relativi alla prevenzione dei rischi di frode economico-finanziaria e contabile.
Gli ultimi grandi fallimenti endemici di banche o di grandi società quotate sono quasi sempre legati a fatti fraudolenti.
Se si tiene conto che tutti gli schemi di frode, come riconosciuto dalla letteratura, sono ricorrenti e che ci sono tre o quattro schemi fondamentali di frode ai quali tutte le varie tipologie sono riconducibili, abbiamo già una base di partenza.
Dando in pasto alla capacità generativa dell’intelligenza artificiale tutto l’insieme dei dati e delle informazioni aziendali, per esempio le rilevazioni contabili, è possibile a livello teorico che questa tecnologia identifichi in modo preventivo i campanelli di allarme di possibili frodi, dandoci quindi la possibilità di indagare quando la situazione è ancora governabile e risolvibile, evitando che arrivi a un punto di degenerazione tale che poi è assolutamente ingestibile e porti al dissesto dell’azienda e, nel caso delle banche, allo spaventoso effetto domino.
Questi sistemi sono già operativi e utilizzati?
Questi sistemi effettivamente sono in fase di studio e sono parzialmente già applicati nei software investigativi che utilizziamo per il contrasto alla criminalità economica e alla criminalità organizzata.
Si tratta, per esempio, dell’analisi automatica delle intercettazioni telefoniche, delle molte informazioni contenute nei documenti sequestrati, dei dati contabili conservati nei server aziendali, dei messaggi di posta elettronica o della messaggistica attraverso app, fino ad arrivare alle analisi dei vocali, dei video o delle immagini. Ecco, tutto questo può aiutare a definire con molto preavviso una situazione di rischio.
A proposito di frodi finanziarie, molto spesso la moneta di scambio sono le criptovalute. La diffusione delle criptovalute deve essere in qualche modo contenuta e regolamentata? Come si può intervenire per evitare che si prestino ad alimentare operazioni illecite?
La criptovaluta nasce per obiettivi legittimi e assolutamente correlati con l’utilizzo che se ne doveva fare, ovvero una moneta da utilizzare nel web non collegata alle valute reali e alle politiche monetarie dei vari Paesi.
All’inizio coloro che hanno strutturato il sistema della criptovaluta avevano anche l’obiettivo di certificare e rendere pubblica la transazione finanziaria, per questo i movimenti sono iscritti in un registro validato da alcuni soggetti chiamati appunto a certificare le operazioni. Un registro che permette di andare a ricostruire tutti i flussi avvenuti sulle varie piattaforme crypto.
Una procedura di registrazione che in un certo senso supera la riservatezza delle banche, che al contrario non rendono pubblica la movimentazione sui conti correnti dei propri clienti. Mentre con le criptovalute abbiamo un registro che permette di sapere, in qualsiasi momento, qual è la valuta e l’importo scambiato in una data operazione.
Peccato che però manca un’informazione fondamentale: l’identità dell’ordinante e del beneficiario.
Queste strutture di pagamento possono essere nascoste nel profondo del cosiddetto “dark web” e consentirne così l’utilizzo per scopi criminali e fraudolenti.
Non solo, le criptovalute hanno un mercato molto volatile e molto liquido. Si può acquistare una criptovaluta e venderla lo stesso giorno perché ha guadagnato il 20% oppure purtroppo resta in mano all’investitore perché è crollata nel giro di poco tempo.
Per questo motivo si sente parlare di criptovalute solo quando c’è lo scandalo della caduta incontrollata del valore della criptovaluta stessa oppure il suo rialzo repentino o quando è richiesta per pagare il riscatto da chi, ad esempio, è stato vittima di un virus che gli ha bloccato il computer o ancora quando viene usata per comprare beni illegali.
Ciò avviene perché le criptovalute non sono vigilate e il loro valore non è governato da politiche monetarie. Ogni giorno potrebbero potenzialmente nascere nuove criptovalute basate su algoritmi più o meno simili ad altri e non si sa esattamente chi le governa, dal momento che il metodo di creazione della criptovaluta prescinde dalle logiche monetarie ordinarie ma è legato a complicatissimi algoritmi.
Per tutti questi motivi ritengo che sia uno strumento da regolamentare o perlomeno si deve consentire alle polizie giudiziarie o in generale a chi fa le investigazioni per il contrasto del crimine di poter risalire ai soggetti ordinanti e beneficiari, perché altrimenti rimane uno strumento nelle mani della criminalità.
Quali sono le principali criticità nel contrastare i crimini finanziari?
Dal punto di vista del contrasto dei fenomeni illegali, mi imbatto in due grosse criticità.
La prima è che basta il semplice scambio di una chiavetta usb contenente wallet di criptovalute per permettere il flusso di denaro tra due soggetti.
Una volta (e in qualche caso ancora oggi) per corrompere un funzionario pubblico ci si presentava con le borse piene di denaro, mentre oggi la criminalità più evoluta semplicemente consegna un microchip con all’interno dei codici criptati e accessibili attraverso delle password che vengono date in separata sede. A questo punto si può diventare il proprietario di wallet con importi milionari che si possono monetizzare dall’altra parte del pianeta.
Quindi i metodi di corruzione possono essere in questo modo molto semplificati.
Il secondo punto è proprio quello dell’identità.
Dalla fine del secolo scorso si possono aprire più conti online sparsi per il mondo e comodamente dalla propria scrivania spostare il denaro tra un conto all’altro, sfruttando la cosiddetta frammentazione dei flussi finanziari tipica del riciclaggio di denaro sporco.
Sostanzialmente il denaro contante entra nel mercato finanziario attraverso un semplice deposito in qualche istituto di credito nel perimetro dell’emisfero bancario, in paradisi fiscali sperduti nel mondo, e poi piano piano viene trasferito verso il centro entrando gradualmente in banche blasonate.
Avviene tutto facilmente perché basta trasferire i fondi online grazie ad una tastiera.
Però le polizie hanno uno strumento di contrasto a volte efficacie che è la rogatoria: si richiede (più o meno facilmente) alla banca di consegnare gli estratti conto, le contabili bancarie e, in tal modo, è possibile ricostruire la cosiddetta catena del flusso finanziario, l’identità degli intermediari e dei beneficiari finali.
Ma tutto questo lavoro di ricostruzione a tendere potrebbe non essere più possibile. La transazione in criptovaluta che avviene nel “dark web”, la rende completamente anonima e ciò obbliga le polizie a tornare all’attività investigativa più tradizionale, non più basata sulle indagini bancarie, ma su strumenti quali il pedinamento, l’ottenimento di informazioni da fonti confidenziali e le intercettazioni telefoniche e ambientali.
Da questo punto di vista stiamo facendo un passo indietro.
Invece bisognerebbe sviluppare una capacità investigativa che blocchi questi comportamenti sul nascere o che possa intervenire durante il corso dell’operazione illecita, anche sul “dark web”, in modo da risalire ai soggetti beneficiari e ordinanti e a ricostruire interamente il flusso monetario in criptovaluta.
Possiamo dire che la transizione digitale ci mette sempre più a rischio di questo tipo di crimini?
Sì, a meno che la transizione digitale sia accompagnata da una solida transizione anche dei controlli. Non ci si può fermare a controlli ormai obsoleti o fatti con tecnologie non avanzate quando ci si confronta con un’evoluzione tecnologica così rapida. Bisogna far procedere le tecnologie e i controlli su binari paralleli e alla pari.
Ci sono ancora aziende che non hanno adottato policy in merito alla gestione delle password, degli apparati mobili utilizzati dai propri dipendenti ed è permesso usare il cellulare aziendale per scopi che non riguardano le attività lavorative e magari quel cellulare è connesso alla rete aziendale, quindi diventa un veicolo formidabile di ingresso per virus e hacker.
Per non parlare poi del fatto che queste tecnologie sono così avanzate che i criminali informatici utilizzano per avere accesso ad una serie di informazioni sensibili e strategiche che possono danneggiare interi Paesi. Per questo dobbiamo avere una organizzazione centrale non vulnerabile agli attacchi di alto livello tecnologico.
Proprio qualche settimana fa c’è stato un grosso attacco informatico, è la prova che sistema Italia è molto vulnerabile?
Sì, siamo vulnerabili anche a livello di sistema Paese. E aggiungo che in quel caso è uscita la notizia e l’attacco è stato arginato. Mi spaventano molto di più gli attacchi in corso di cui noi non conosciamo nulla. Sono quelli i più pericolosi.
I casi son due: o non ci sono attacchi informatici e possiamo stare tranquilli oppure sono in itinere ma ancora non sono stati identificati. Immaginiamo per ipotesi se questi attacchi all’improvviso potessero compromettere il sistema autostradale, quello bancario, quello dei trasporti pubblici o della sanità.
La consapevolezza che c’è o c’è stato un attacco nasce quando siamo stati bravi ad intercettarlo. Il problema è laddove non ce l’abbiamo fatta.