LET’S TALK & CONNECT

Gli analisti prevedono per i prossimi anni un’ascesa delle piattaforme di governance AI. Uno strumento necessario, da scegliere con cura.

L’intelligenza artificiale non può essere solo gestita: va governata. Bisogna, cioè, controllarla dall’alto, definire il raggio d’azione e i suoi limiti, valutare il rapporto tra costi e benefici e definire misure di contenimento dei rischi. E tutto questo va continuamente verificato e monitorato in tempo reale, mentre i sistemi di AI consumano e producono dati, artefatti o azioni. Poiché i regolamenti sull’intelligenza artificiale nazionali, internazionali e di settore sono in continua evoluzione, è anche necessario verificare continuamente la compliance, onde evitare multe e danni di reputazione.

Per fare tutto ciò non bastano le strategie definite su carta, non basta un lavoro di controllo “analogico” (che sarebbe immane, dispersivo, poco accurato) e secondo diversi analisti non bastano nemmeno le tradizionali tecnologie di governance, risk management and compliance (Grc). Come sottolinea Gartner, i tradizionali strumenti Grc non sono equipaggiati per gestire le peculiarità dell’AI, come  il rischio di bias e di abusi o come l’automazione in tempo reale di decisioni, processi e azioni. Inoltre molti strumenti non riescono a eseguire verifiche di compliance continue ed estese all’intero “ecosistema” del software, fornitori inclusi.

A colmare queste lacune arrivano le piattaforme di governance dell’AI, la cui adozione è destinata a crescere. Con funzionalità di supervisione centralizzata, gestione del rischio e continui controlli di compliance, queste soluzioni aiutano a garantire la conformità in modo continuativo, seguendo l’evoluzione delle regole e monitorando in tempo reale le interazioni tra dati, software e persone.

Sbagliando si paga

L’entrata in vigore del GDPR, il regolamento europeo sulla protezione dei dati, nel 2018 ha alzato la posta in gioco nell’ambito della compliance a obblighi che riguardano (anche, ma non solo) l’utilizzo di tecnologie informatiche. L’AI Act europeo prevede un sistema sanzionatorio a scaglioni simile a quello del GDPR, con multe calibrate in base alla gravità della violazione e alla dimensione dell’azienda, ma con massimali ancor più elevati.

In caso di informazioni false, incomplete o fuorvianti riferite durante un audit o in fase di notifica alle autorità, possono scattare multe fino a 7,5 milioni di euro o pari all’1% del fatturato mondiale annuo dell’azienda (si applica il valore più alto). Si arriva, invece, fino a 15 milioni di euro o al 3% del giro d’affari in caso di mancata conformità nei sistemi di intelligenza artificiale catalogati come ad alto rischio, come quelli impiegati nella sanità, nelle infrastrutture critiche dell’energia e dei trasporti, nella valutazione dei diritti di welfare o nella selezione del personale.

L’ultimo scaglione è quello delle violazioni gravi, commesse da chi usa o vende sistemi di AI che realizzano manipolazioni, social scoring, analisi biometriche o riconoscimento delle emozioni su filmati catturati in luoghi pubblici o scuole: il massimo della pena è 35 milioni di euro o fino al 7 % del fatturato mondiale annuo dell’azienda, a seconda di quale tra i due sia il valore più alto.

Una crescita attesa

Le piattaforme di governance dell’AI per ora stanno prendendo piede soprattutto nelle grandi aziende, che sull’AI hanno una strategia e investimenti più strutturati. L’adozione è però destinata a crescere: Gartner prevede che da qui al 2030 i regolamenti sull’AI si applicheranno al 75% delle nazioni, cioè a tre quarti dell’economia mondiale. Nello stesso periodo, le organizzazioni pubbliche e private affronteranno spese di AI compliance per un miliardo di dollari.

Oggi, secondo Gartner, in media le grandi aziende impiegano otto diverse soluzioni Grc in uso, ma da qui alla fine del 2028 il numero medio salirà a dieci. La stima emerge da un sondaggio condotto nella seconda metà dello scorso anno su 360 grandi aziende. Chi si affida a vere piattaforme di AI governance ha, rispetto a chi usa semplici soluzioni Grc, tre volte e mezzo più probabilità di riuscire a controllare efficacemente l’intelligenza artificiale. Secondo le stime di Gartner, i costi legati a multe e altre conseguenze di mancata compliance possono essere ridotti del 20%.

“Passando dalla sperimentazione alla distribuzione su larga scala, il rischio di modelli distorti, opachi o inaffidabili si intensifica”, scrive la società di ricerca MarketsandMarkets. “Mantenere equità, capacità di auditing e coerenza lungo le pipeline di intelligenza artificiale mondiali sta diventando una sfida di governance per le aziende. La necessità di monitoraggio continuo, framework di spiegabilità e strumenti per un’AI responsabile sta ridefinendo i criteri di selezione dei fornitori, mentre la governance emerge come fattore decisivo nella strategia di intelligenza artificiale a lungo termine”.

Fare la scelta giusta

Come scegliere una buona piattaforma di AI governance? Gartner consiglia di verificare che siano supportati tutti i principali regolamenti e le principali linee guida sull’intelligenza artificiale , come ovviamente lo European AI Act, ma anche la norma ISO 42001 e il framework di gestione del rischio AI del National Institute of Standards and Technology (Nist AI Rmf).

Inoltre vanno considerate le specifiche necessità di utilizzo dell’AI in azienda, pensando sia alle esigenze immediate sia agli obiettivi di lungo termine. Terzo punto, l’interoperabilità: la piattaforma di AI governance deve integrarsi senza attrito con le tecnologie già presenti. Aziende come Ibm, Securiti, Flddler e 2021.AI (è la selezione citata da MarketsandMarkets in un suo report sul tema) si distinguono per la scalabilità delle rispettive piattaforme, per l’integrazione di framework di gestione del rischio e per le alleanze strategiche con fornitori cloud.

Per un investimento “a prova di futuro”, gli analisti consigliano di orientarsi su prodotti aperti ai casi d’uso emergenti, per esempio oggi gli agenti AI, anche se l’azienda ancora non ha considerato la loro adozione. Le proposte delle startup potrebbero essere più innovative o presentare funzionalità specifiche per determinati target di utenza, ma d’altro canto un vendor consolidato offre maggiori garanzie sul fatto che la soluzione continuerà a esistere e a essere supportata in futuro.

Valentina Bernocco
Conten Manager, TIG – The Innovation Group