Con l’approvazione da parte del Parlamento Europeo dell’AI Act dell’Unione Europea (UE), molte aziende non sono pronte a rispettare queste ampie regolamentazioni sull’AI. Abbiamo parlato con Nader Henein, VP Analyst presso Gartner, per capire quanto le aziende siano preparate, cosa devono fare per essere pronte nel breve termine e come iniziare.
Quanto sono preparate le organizzazioni a rispettare le regolamentazioni delineate nell’AI Act dell’UE?
Molte organizzazioni pensano che, poiché non stanno sviluppando strumenti e servizi AI internamente, sono libere e al sicuro. Ciò che non si rendono conto è che quasi ogni organizzazione è esposta all’AI Act perché non sono solo responsabili delle capacità AI che costruiscono, ma anche di quelle capacità che hanno già acquistato. Gartner raccomanda alle organizzazioni di mettere in atto un programma di governance AI per catalogare e categorizzare i casi d’uso dell’AI e affrontare qualsiasi istanza vietata il prima possibile.
Le regole relative ai sistemi AI proibiti entreranno in vigore 6 mesi dopo l’entrata in vigore dell’AI Act, e queste regole comporteranno la multa più alta di 35 milioni di euro o il 7% del fatturato globale. Diciotto mesi dopo (al termine dei due anni), la maggior parte delle regole associate ai sistemi AI ad alto rischio entreranno in vigore. Queste si applicheranno a molti casi d’uso aziendali che richiedono una discreta quantità di diligenza e ancora più della documentazione delineata in questa, e guide successive.
Cosa devono fare le organizzazioni per evitare pesanti multe nel breve termine?
Il primo e più critico passo è scoprire e catalogare le capacità abilitate dall’AI con un dettaglio sufficiente per la successiva valutazione del rischio. Molte organizzazioni hanno centinaia di capacità guidate dall’AI implementate all’interno dell’impresa, alcune delle quali sono costruite appositamente, ma la maggior parte sono invisibili; incorporate in molte delle piattaforme utilizzate quotidianamente. La catalogazione richiede alle organizzazioni, ai fornitori e agli sviluppatori di intraprendere la scoperta e l’elenco di ciascun sistema abilitato all’AI implementato in tutta l’impresa. Ciò faciliterà la successiva categorizzazione in uno dei quattro livelli di rischio delineati nel Regolamento: sistemi AI a basso rischio, sistemi AI ad alto rischio, sistemi AI proibiti e sistemi AI di uso generale.
Le figure di leadership per la sicurezza e la gestione del rischio devono prima scoprire e catalogare le capacità abilitate dall’AI con un dettaglio sufficiente per la successiva valutazione del rischio.
Come dovrebbe essere affrontato il processo di scoperta?
È meglio lavorare sistematicamente attraverso ciascuna delle quattro classi di implementazione dell’AI (vedi Figura 1). Il motivo per prendere questo approccio è perché anche se l’obiettivo a breve termine è l’identificazione del rischio, l’obiettivo finale è la mitigazione del rischio e ciascuna di queste classi ha i suoi requisiti unici di mitigazione del rischio.
Classi di adozione AI
- A: AI In-the-wild – strumenti AI, generativi o meno, disponibili nel dominio pubblico che i dipendenti utilizzano per scopi lavorativi formalmente e informalmente, come ChatGPT o Bing.
Come catalogare: questo richiede l’educazione dei dipendenti e una serie di sondaggi per compilare rapidamente l’elenco dei sistemi in uso. Parallelamente, il team IT potrebbe essere in grado di identificare ulteriori strumenti AI utilizzati esaminando le analisi del traffico web dell’organizzazione.
- AI incorporata: capacità AI incorporate in soluzioni standard e offerte SaaS utilizzate all’interno dell’impresa. I fornitori di servizi hanno integrato le loro offerte con capacità AI per la maggior parte del decennio passato, molte delle quali sono completamente invisibili all’organizzazione, come i modelli di apprendimento automatico che alimentano i motori di rilevamento dello spam o dei malware.
Come catalogare: le organizzazioni dovranno espandere il loro programma di gestione del rischio di terze parti e richiedere informazioni dettagliate ai loro fornitori poiché le capacità IA incorporate potrebbero non essere ovvie.
- AI In-house: capacità AI addestrate, testate e sviluppate internamente dove l’organizzazione ha piena visibilità sui dati, le tecnologie e le successive ottimizzazioni apportate ai modelli, nonché lo scopo per cui vengono utilizzati.
Come catalogare: le organizzazioni che costruiscono e mantengono i propri modelli AI avranno scienziati dei dati e un programma di governance per curare i dati in ambito, rendendo il processo di scoperta fluido e i dati necessari per la successiva categorizzazione prontamente disponibili.
AI Ibrida: capacità AI aziendali che sono costruite internamente utilizzando uno o più modelli fondamentali preconfezionati, generativi o meno, integrati con dati aziendali.
Come catalogare: poiché si tratta di una combinazione di modelli preaddestrati esterni con dati interni, questo compito diventa una combinazione delle domande sulla gestione dei fornitori da AI incorporata e l’approvvigionamento interno dei metadati da AI in-house per raccogliere le informazioni appropriate necessarie per categorizzare ciascun caso d’uso.
I clienti Gartner possono saperne di più in Getting Ready for the EU AI Act, Phase 1: Discover & Catalog.”
Normative sull’AI per promuovere iniziative di AI responsabili
Abbiamo parlato con Anushree Verma, Director Analyst di Gartner, per discutere dell’impatto delle normative sull’AI sui piani futuri dei CIO e di cosa possono fare per implementare l’AI responsabile nelle loro organizzazioni.
La rapida espansione e diffusione dell’intelligenza artificiale in tutte le organizzazioni ha portato a un’ampia spinta globale per regolamentare l’AI. Entro il 2026, Gartner prevede che il 50% dei governi di tutto il mondo imporrà l’uso di un’AI responsabile attraverso normative, politiche e la necessità di privacy dei dati.
Quali sono le implicazioni di questo tipo di normative?
Le normative sull’AI responsabile erigeranno confini geografici nel mondo digitale e creeranno una rete di normative concorrenti da parte di diversi governi per proteggere le nazioni e le loro popolazioni da applicazioni non etiche o altrimenti indesiderabili dell’AI e della GenAI. Ciò limiterà la capacità dei leader IT di massimizzare i prodotti AI e GenAI stranieri in tutte le loro organizzazioni. Queste normative richiederanno agli sviluppatori di AI di concentrarsi su una maggiore etica, trasparenza e privacy dell’AI attraverso un uso responsabile dell’AI in tutte le organizzazioni.
“AI responsabile” è un termine generico per gli aspetti che riguardano l’adozione dell’AI nel contesto dell’organizzazione. Gli esempi includono la trasparenza nell’uso dell’intelligenza artificiale, la mitigazione dei pregiudizi negli algoritmi, la protezione dei modelli contro la sovversione e l’abuso e la protezione della privacy delle informazioni dei clienti e della conformità normativa. L’AI responsabile rende operative le responsabilità e le pratiche organizzative che garantiscono uno sviluppo e un utilizzo dell’AI positivi e responsabili.
Lo sviluppo e l’uso di un’AI responsabile non saranno cruciali solo per gli sviluppatori di prodotti e servizi di AI, ma anche per le organizzazioni che utilizzano strumenti di AI. La mancata conformità esporrà le organizzazioni a un controllo etico da parte dei cittadini in generale, portando a significativi rischi finanziari, reputazionali e legali per l’organizzazione.
Quando l’AI responsabile diventerà mainstream?
L’AI responsabile è a soli tre anni dal raggiungimento di un’adozione maggioritaria precoce grazie all’adozione accelerata dell’AI, in particolare GenAI, e alla crescente attenzione alle implicazioni normative associate.
L’AI responsabile avrà un impatto praticamente su tutte le applicazioni dell’AI in tutti i settori. Nel breve termine, i settori più regolamentati, come i servizi finanziari, la sanità, la tecnologia e la pubblica amministrazione, rimarranno i primi ad adottare un’AI responsabile. Tuttavia, l’AI responsabile svolgerà un ruolo importante anche nei settori meno regolamentati, contribuendo a costruire la fiducia dei consumatori e a promuoverne l’adozione, oltre a mitigare i rischi finanziari e legali.
Quali azioni dovrebbero intraprendere le organizzazioni per rendere i loro progetti GenAI a prova di futuro, tenendo conto delle normative governative attuali e di quelle future?
Ci sono diverse azioni che le organizzazioni possono prendere in considerazione quando si tratta di rendere i loro progetti GenAI a prova di futuro:
- Monitorare e incorporare i requisiti di conformità in evoluzione dell’AI responsabile da parte di diversi governi, sviluppando un quadro che mappi il portafoglio di prodotti e servizi GenAI dell’organizzazione ai requisiti normativi dell’AI delle diverse nazioni.
- Comprendere, implementare e utilizzare pratiche di AI responsabili contestualizzate all’organizzazione. Questo può essere fatto determinando un curriculum per l’AI responsabile e quindi stabilendo un approccio strutturato per educare e creare visibilità in tutta l’organizzazione, coinvolgere le parti interessate e identificare i casi d’uso e le soluzioni appropriate per l’implementazione.
- Rendere operativa la gestione della fiducia, del rischio e della sicurezza dell’AI (AI TRiSM) in soluzioni incentrate sull’utente integrando l’AI responsabile per accelerare l’adozione e migliorare l’esperienza utente.
- Garantire la responsabilità dei fornitori di servizi per una governance responsabile dell’AI facendo rispettare gli obblighi contrattuali e mitigare l’impatto dei rischi derivanti da comportamenti non etici e non conformi o da esiti derivanti da pregiudizi incontrollati e inspiegabili dalle soluzioni di AI.
I clienti di Gartner possono saperne di più in “Predicts 2024: AI’s Impact on the Employee Experience”.
