L’intelligenza artificiale sta rapidamente diventando onnipresente nei sistemi aziendali e negli ecosistemi IT, con un’adozione e uno sviluppo più rapidi di quanto ci si potesse aspettare. Oggi sembra che ovunque ci giriamo, gli ingegneri del software stiano costruendo modelli personalizzati e integrando l’IA nei loro prodotti, mentre i leader aziendali incorporano soluzioni alimentate dall’IA nei loro ambienti di lavoro.
Tuttavia, l’incertezza sul modo migliore di implementare l’IA impedisce ad alcune aziende di agire. L’ultimo Digital Acceleration Index (DAI) di Boston Consulting Group, un’indagine globale condotta su 2.700 dirigenti, ha rivelato che solo il 28% afferma che la propria organizzazione è pienamente preparata alle nuove normative sull’IA.
L’incertezza è esacerbata dalle normative sull’IA che arrivano in fretta e furia: la legge sull’IA dell’UE è in arrivo; l’Argentina ha pubblicato una bozza di piano sull’IA; il Canada ha emanato la legge sull’IA e sui dati; la Cina ha emanato una serie di normative sull’IA e i paesi del G7 hanno lanciato il “processo Hiroshima sull’IA” Le linee guida abbondano: l’OCSE sta sviluppando dei principi sull’IA, l’ONU ha proposto un nuovo organo consultivo sull’IA e l’amministrazione Biden ha pubblicato un progetto per una Carta dei Diritti dell’IA (anche se questo potrebbe cambiare rapidamente con la seconda amministrazione Trump).
La legislazione è in arrivo anche nei singoli stati americani e compare in molti quadri industriali. Ad oggi, 21 Stati hanno emanato leggi per regolamentare in qualche modo l’uso dell’IA, tra cui il Colourado AI Act e le clausole del CCPA della California, mentre altri 14 Stati hanno leggi in attesa di approvazione.
Nel frattempo, ci sono voci forti da entrambe le parti del dibattito sulla regolamentazione dell’IA. Un nuovo sondaggio di SolarWinds mostra che l ‘88% dei professionisti IT è favorevole a una regolamentazione più severa e una ricerca separata rivela che il 91% dei britannici vuole che il governo faccia di più per ritenere le aziende responsabili dei loro sistemi di IA. D’altra parte, i leader di oltre 50 aziende tecnologiche hanno recentemente scritto una lettera aperta in cui chiedono una riforma urgente delle pesanti normative dell’UE in materia di IA, sostenendo che esse soffocano l’innovazione.
Si tratta certamente di un periodo difficile per i leader aziendali e gli sviluppatori di software, in quanto le autorità di regolamentazione si affannano per mettersi al passo con la tecnologia. È ovvio che vuoi approfittare dei vantaggi che l’IA può offrire, ma puoi farlo in modo da essere conforme a qualsiasi requisito normativo in arrivo e non ostacolare inutilmente il tuo utilizzo dell’IA mentre i tuoi rivali sono in vantaggio.
Non abbiamo la sfera di cristallo, quindi non possiamo prevedere il futuro. Tuttavia, possiamo condividere alcune best practice per la creazione di sistemi e procedure che preparino il terreno per la conformità normativa dell’IA.
Mappare l’utilizzo dell’IA nel tuo ecosistema più ampio
Non puoi gestire l’utilizzo dell’IA da parte del tuo team se non ne sei a conoscenza, ma già questo può rappresentare una sfida significativa. Lo Shadow IT è già la piaga dei team di cybersecurity: I dipendenti si iscrivono a strumenti SaaS all’insaputa dei dipartimenti IT, lasciando un numero imprecisato di soluzioni e piattaforme con accesso ai dati e/o ai sistemi aziendali.
Ora i team di sicurezza devono fare i conti anche con l’AI ombra. Molte app, chatbot e altri strumenti incorporano l’IA, l’apprendimento automatico (ML) o la programmazione del linguaggio naturale (NLP), senza che queste soluzioni siano necessariamente soluzioni di IA evidenti. Quando i dipendenti accedono a queste soluzioni senza un’autorizzazione ufficiale, introducono l’AI nei tuoi sistemi a tua insaputa.
Come ha spiegato Henrique Fabretti Moraes, esperto di privacy di Opice Blum, “La mappatura degli strumenti in uso – o di quelli destinati all’uso – è fondamentale per comprendere e perfezionare le politiche di utilizzo accettabile e le potenziali misure di mitigazione per diminuire i rischi legati al loro utilizzo”
Alcune normative ti ritengono responsabile dell’utilizzo dell’IA da parte dei fornitori. Per avere il pieno controllo della situazione, devi mappare tutta l’IA presente nei tuoi ambienti e in quelli delle tue organizzazioni partner. A questo proposito, l’utilizzo di uno strumento come Harmonic può essere utile per individuare l’utilizzo dell’IA nella catena di fornitura.
Verifica la governance dei dati
La privacy e la sicurezza dei dati sono le principali preoccupazioni di tutte le normative sull’IA, sia quelle già in vigore che quelle in procinto di essere approvate.
L’utilizzo dell’IA deve già essere conforme alle leggi sulla privacy esistenti, come il GDPR e il CCPR, che richiedono di sapere a quali dati l’IA può accedere e cosa fa con i dati, e di dimostrare di avere delle linee guida per proteggere i dati utilizzati dall’IA.
Per garantire la conformità, è necessario che la tua organizzazione si doti di solide regole di governance dei dati, gestite da un team definito e supportate da verifiche periodiche. Le tue politiche dovrebbero includere una due diligence per valutare la sicurezza dei dati e le fonti di tutti i tuoi strumenti, compresi quelli che utilizzano l’IA, per identificare le aree di potenziale pregiudizio e rischio per la privacy.
“Le organizzazioni devono adottare misure proattive migliorando l’igiene dei dati, applicando una solida etica dell’IA e creando i team giusti per guidare questi sforzi”, ha dichiarato Rob Johnson, VP e Global Head of Solutions Engineering di SolarWinds. “Questo atteggiamento proattivo non solo aiuta a rispettare le normative in evoluzione, ma massimizza anche il potenziale dell’IA”
Stabilisci un monitoraggio continuo per i tuoi sistemi di IA
Un monitoraggio efficace è fondamentale per gestire qualsiasi area della tua azienda. Quando si tratta di IA, come per altre aree della cybersecurity, è necessario un monitoraggio continuo per assicurarsi di sapere cosa stanno facendo gli strumenti di IA, come si comportano e a quali dati stanno accedendo. È inoltre necessario sottoporli a verifiche periodiche per tenere sotto controllo l’utilizzo dell’IA nella propria organizzazione.
“L’idea di utilizzare l’IA per monitorare e regolare altri sistemi di IA è uno sviluppo cruciale per garantire che questi sistemi siano efficaci ed etici”, ha dichiarato Cache Merrill, fondatore della società di sviluppo software Zibtek. “Attualmente, per monitorare l’IA si utilizzano tecniche come i modelli di apprendimento automatico che prevedono il comportamento di altri modelli (meta-modelli). I sistemi analizzano i modelli e i risultati dell’IA operativa per rilevare anomalie, distorsioni o potenziali guasti prima che diventino critici”
La piattaforma di automazione Cyber GRC Cypago consente di eseguire il monitoraggio continuo e la raccolta di prove di audit normativi in background. L’automazione no-code ti permette di impostare funzionalità di flusso di lavoro personalizzate senza competenze tecniche, in modo che gli avvisi e le azioni di mitigazione vengano attivati istantaneamente in base ai controlli e alle soglie che hai impostato.
Cypago è in grado di connettersi con le tue diverse piattaforme digitali, di sincronizzarsi con qualsiasi quadro normativo e di trasformare tutti i controlli pertinenti in flussi di lavoro automatizzati. Una volta impostate le integrazioni e i quadri normativi, creare flussi di lavoro personalizzati sulla piattaforma è semplice come caricare un foglio di calcolo.
Usa le valutazioni del rischio come linee guida
È fondamentale sapere quali strumenti di IA sono ad alto rischio, a medio rischio e a basso rischio, per la conformità alle normative esterne, per la gestione interna del rischio d’impresa e per migliorare i flussi di lavoro dello sviluppo software. I casi d’uso ad alto rischio richiederanno maggiori garanzie e valutazioni prima dell’implementazione.
“Sebbene la gestione del rischio dell’IA possa essere avviata in qualsiasi momento dello sviluppo del progetto”, ha affermato Ayesha Gulley, esperta di politiche sull’IA di Holistic AI. “L’implementazione di un quadro di gestione del rischio prima del tempo può aiutare le aziende ad aumentare la fiducia e a scalare con fiducia”
Quando si conoscono i rischi posti dalle diverse soluzioni di IA, si può scegliere il livello di accesso ai dati e ai sistemi aziendali critici.
In termini di normative, l’EU AI Act distingue già tra sistemi di IA con diversi livelli di rischio e il NIST raccomanda di valutare gli strumenti di IA in base all’affidabilità, all’impatto sociale e al modo in cui gli esseri umani interagiscono con il sistema.
Imposta in modo proattivo la governance dell’etica dell’IA
Non è necessario aspettare le normative sull’IA per definire delle politiche etiche sull’IA. Assegna la responsabilità delle considerazioni sull’IA etica, crea dei team ed elabora delle politiche per l’uso dell’IA etica che includano la cybersicurezza, la convalida dei modelli, la trasparenza, la privacy dei dati e la segnalazione degli incidenti.
Molti framework esistenti, come l’AI RMF del NIST e l’ISO/IEC 42001, raccomandano le migliori pratiche di IA che puoi incorporare nelle tue politiche.
“La regolamentazione dell’IA è necessaria e inevitabile per garantire un uso etico e responsabile. Sebbene possa introdurre delle complessità, non deve ostacolare l’innovazione”, ha dichiarato Arik Solomon, CEO e co-fondatore di Cypago. “Integrando la conformità nei loro quadri interni e sviluppando politiche e processi allineati ai principi normativi, le aziende dei settori regolamentati possono continuare a crescere e a innovare in modo efficace”
Le aziende che possono dimostrare un approccio proattivo all’IA etica saranno meglio posizionate per la conformità. Le normative sull’IA mirano a garantire la trasparenza e la privacy dei dati, quindi se i tuoi obiettivi sono in linea con questi principi, è più probabile che tu disponga di politiche conformi alle normative future. La piattaforma FairNow può aiutarti in questo processo, grazie agli strumenti per gestire la governance dell’IA, i controlli sui pregiudizi e le valutazioni dei rischi in un unico luogo.
Non lasciarti frenare dalla paura delle normative sull’IA
Le normative sull’IA sono ancora in evoluzione ed emergono, creando incertezza per le aziende e gli sviluppatori. Ma non lasciare che questa situazione fluida ti impedisca di trarre vantaggio dall’IA. Implementando in modo proattivo politiche, flussi di lavoro e strumenti in linea con i principi di privacy dei dati, trasparenza e uso etico, puoi prepararti alle normative sull’IA e trarre vantaggio dalle possibilità offerte dall’IA.
