Cos'è la governance dell'IA?

Che cos'è la governance dell'AI?

La governance dell'AI è l'insieme di framework, policy e processi che le organizzazioni adottano per garantire che i sistemi di intelligenza artificiale siano sviluppati, messi in produzione e gestiti in modo responsabile lungo l'intero ciclo di vita. Il termine indica qualsiasi meccanismo di supervisione che copra aspetti di etica, conformità normativa, gestione del rischio e attribuzione della responsabilità in relazione alle decisioni e ai risultati generati dall'AI.

Con l'integrazione sempre più estesa dei sistemi di AI nelle operazioni aziendali e nella società, pratiche di governance solide sono diventate essenziali. Le organizzazioni sono sottoposte a una pressione crescente da parte di enti regolatori, clienti e stakeholder per dimostrare che le proprie soluzioni di AI operano in modo trasparente, equo e sicuro. In assenza di una governance strutturata, il rischio è quello di incorrere in sanzioni normative, bias algoritmici, violazioni della privacy ed erosione della fiducia di stakeholder e clienti. In breve, una governance efficace dell'AI definisce meccanismi di salvaguardia che consentono l'innovazione, gestendo in modo sistematico tali rischi.

Questa guida esplora i principi fondamentali e i framework che definiscono la governance dell'AI, analizza come le organizzazioni possano costruire e personalizzare le proprie strutture di governance e affronta le sfide pratiche legate all'implementazione della governance nei sistemi di AI sia tradizionali che generativi.

Definire la governance dell'AI: principi fondamentali e ambito di applicazione

Che cosa si intende per governance dell'AI?

La governance dell'AI si estende all'intero ciclo di vita dell'intelligenza artificiale, dallo sviluppo e addestramento iniziali fino alla distribuzione, al monitoraggio, alla manutenzione e all'eventuale dismissione. A differenza della governance IT tradizionale, la governance dell'AI deve affrontare sfide specifiche poste da sistemi che apprendono dai dati, prendono decisioni autonome e generano output nuovi.

In sostanza, la governance dell'AI chiarisce la responsabilità associata ai processi decisionali. Ad esempio, quando un sistema di AI raccomanda il rifiuto di un prestito, segnala contenuti da rimuovere o influenza decisioni di assunzione, i sistemi di governance determinano chi è responsabile di tali risultati e in che modo le organizzazioni possono riesaminare, spiegare e contestare tali conclusioni. In breve, questo framework di responsabilità è ciò che collega i sistemi tecnici alle più ampie politiche organizzative e agli obiettivi di business.

La governance dell'AI considera anche implicazioni sociali di più vasta portata. I sistemi addestrati su dati storici possono perpetuare i bias contro gruppi protetti, mentre l'emergere di applicazioni di AI solleva interrogativi sulla sostituzione occupazionale, l'erosione della privacy e la crescente concentrazione del potere tecnologico. I framework di governance sono i meccanismi che aiutano le organizzazioni a gestire queste complessità, integrando nei flussi di lavoro di sviluppo e distribuzione dell'AI processi di revisione etica, meccanismi di coinvolgimento degli stakeholder e protocolli di valutazione dell'impatto.

Una governance efficace collega i controlli tecnici (come il testing dei modelli, il monitoraggio delle prestazioni o la validazione dei dati) con le strutture organizzative (comitati di supervisione, definizioni chiare dei ruoli, procedure di escalation) e con meccanismi di accountability più ampi (tracce di audit, standard di documentazione, trasparenza verso gli stakeholder).

Concetti chiave: framework, principi e pilastri

La governance dell'AI si fonda su diversi pilastri che operano congiuntamente per creare una supervisione completa. Questi pilastri riguardano la struttura organizzativa, la conformità legale, le considerazioni etiche, l'infrastruttura tecnica e la sicurezza lungo l'intero ciclo di vita dell'AI.

I Principi sull'AI dell'Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) forniscono un quadro di riferimento fondamentale riconosciuto da 47 paesi. Stabiliti per la prima volta nel 2019 e aggiornati nel 2024, questi principi definiscono i valori a cui i sistemi di AI devono conformarsi, tra cui l'inclusività, la sostenibilità e la promozione del benessere umano, nel rispetto dei diritti umani, dei valori democratici e dello stato di diritto. Il framework include anche altri principi chiave come trasparenza e spiegabilità, robustezza e sicurezza, e responsabilità. L'obiettivo dell'OCSE era fornire alle organizzazioni delle linee guida per lo sviluppo delle proprie strutture di governance. Oggi, oltre 1.000 iniziative di policy sull'AI, in più di 70 giurisdizioni, seguono questi principi.

Per quanto importanti e pionieristici siano i principi dell'OCSE, esistono anche altre linee guida etiche che orientano le strutture di governance, come:

• Centralità dell'essere umano: pone il benessere e la dignità umana al centro della progettazione dell'AI.
• Equità: richiede l'identificazione e la mitigazione proattiva dei bias.
• Inclusività: per garantire che i sistemi di AI servano in modo equo diverse popolazioni.

L'insieme di questi principi stabilisce un quadro teorico/concettuale su cui può essere costruita una governance dell'AI concreta. È importante notare, tuttavia, che la relazione tra framework di governance dell'AI, pratiche di AI responsabile e considerazioni etiche segue una gerarchia chiara. Ad esempio, i principi etici forniscono i valori fondamentali, mentre le pratiche di AI responsabile traducono tali valori in best practice tecniche e operative. Infine, i framework di governance forniscono le strutture organizzative, le politiche e i meccanismi di applicazione che assicurano che tali pratiche siano seguite in modo coerente.

Comprendere la distinzione tra principi e framework è essenziale. I principi sono valori guida; sono affermazioni su ciò che conta e sul perché. I framework sono strutture operative; si possono intendere come l'insieme di policy, procedure, i ruoli e punti di controllo che traducono i principi in pratica. Ad esempio, l'"equità" è un principio; il framework di governance esprime tale principio attraverso un protocollo di test dei bias con metriche definite, cadenze di revisione e misure correttive.

Framework essenziali per la governance dell'AI

Panoramica dei principali framework di governance dell'AI

Esistono diversi framework consolidati che possono essere usati come punti di partenza nello sviluppo di programmi di governance. Pur condividendo obiettivi simili, ciascuno si distingue per impostazioni e modalità differenti, pensate per adattarsi a diverse tipologie di organizzazioni e contesti normativi.

1. I Principi sull'AI dell'OCSE sottolineano cinque valori fondamentali: crescita inclusiva, sviluppo sostenibile, benessere, trasparenza, robustezza, sicurezza e responsabilità. Questi principi influenzano gli approcci normativi a livello globale e forniscono una base valoriale che le organizzazioni possono adottare. Un aspetto fondamentale è che tali principi non sono vincolanti, il che consente a governi e organizzazioni di implementarli nel proprio contesto specifico, pur aderendo a uno standard globale più ampio.

2. L'AI Act dell'UE adotta un approccio normativo basato sul rischio. Questo regolamento classifica i sistemi di AI in base al loro potenziale impatto e include quattro livelli di rischio:

   a. Rischio inaccettabile: sistemi vietati, come il social scoring

   b. Rischio elevato: include i sistemi utilizzati nelle infrastrutture critiche, nell'occupazione e nelle attività di applicazione della legge. Questi sistemi sono soggetti a requisiti stringenti in materia di governance dei dati, documentazione, trasparenza, supervisione umana e accuratezza.

   c. Rischio limitato: richiede obblighi di trasparenza

   d. Rischio minimo: non regolamentato

3. Il NIST AI Risk Management Framework fornisce un approccio strutturato alla gestione dei rischi dell'AI lungo l'intero ciclo di vita. Il framework organizza le attività in quattro funzioni: Govern, Map, Measure e Manage. Il framework è stato sviluppato n collaborazione con oltre 240 organizzazioni provenienti dall'industria privata, dal mondo accademico, dalla società civile e dal settore pubblico, ed è particolarmente utile per le organizzazioni che cercano un approccio orientato al rischio che si integri con i processi di Enterprise Risk Management esistenti. Il NIST ha progettato il framework come volontario, rispettoso dei diritti, non specifico per settore e indipendente dai casi d'uso.
4. La norma ISO/IEC 42001 offre specifiche tecniche per i sistemi di gestione dell'AI, concentrandosi su qualità, affidabilità e gestione del ciclo di vita. In quanto primo standard certificabile al mondo per i sistemi di gestione dell'AI, la norma specifica i requisiti per istituire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'AI all'interno delle organizzazioni.

Oltre a questi quadri di riferimento più ampi, le singole organizzazioni stanno a loro volta sviluppando framework interni completi per affrontare le sfide di governance lungo l'intero ciclo di vita dell'AI. Pur aderendo a principi generali, qualsiasi framework dovrebbe bilanciare complessità e rigore della governance con il livello di maturità dell'AI dell'organizzazione, l'esposizione al rischio e gli obblighi normativi, rendendo la governance una soluzione su misura per ciascuna organizzazione. Ad esempio, una startup che sviluppa un singolo chatbot rivolto ai clienti avrà bisogno di strutture di governance diverse rispetto a un'istituzione finanziaria globale che distribuisce centinaia di modelli di AI per la valutazione del rischio, il trading e il customer service. Per affrontare alcune di queste sfide complessive di governance, Databricks ha sviluppato un framework che integra struttura organizzativa, conformità legale, supervisione etica, governance dei dati e sicurezza in un approccio unificato.

Sviluppare e personalizzare un framework di governance

Il vantaggio dei principali quadri di governance dell'AI è che consentono alle organizzazioni di valutare e adattare framework esistenti alle loro esigenze specifiche, invece di costruirli da zero. Oltre a far risparmiare tempo, questo approccio incorpora le best practice e garantisce l'allineamento con standard riconosciuti a livello internazionale.

1. Valutazione: per prima cosa, valuta il livello di maturità e i casi d'uso dell'AI nella tua organizzazione. Cataloga le iniziative di AI esistenti e pianificate, valutandone l'impatto sul business, la complessità tecnica e il profilo di rischio. Un'organizzazione che utilizza l'AI principalmente per strumenti di produttività interna, ad esempio, deve soddisfare requisiti di governance diversi rispetto a un'organizzazione che implementa l'AI in decisioni di credito rivolte ai clienti o in diagnosi mediche.
2. Requisiti normativi: successivamente, identifica i requisiti normativi e gli standard di settore pertinenti. Le organizzazioni che operano in ambito sanitario, ad esempio, devono soddisfare i requisiti dell'HIPAA, mentre le società di servizi finanziari devono considerare le leggi sul credito equo e le normative antidiscriminazione. Se un'azienda opera in più giurisdizioni, deve districarsi tra normative diverse in materia di privacy dei dati, regolamentazioni specifiche sull'AI e restrizioni sul trasferimento transfrontaliero dei dati.
3. Determina la tolleranza al rischio e le priorità di governance: questi aspetti variano in base alla cultura organizzativa, alle aspettative degli stakeholder e agli obiettivi di business. Alcune organizzazioni danno priorità alla rapidità di immissione sul mercato e possono accettare un livello di rischio più elevato, adottando una governance più snella per applicazioni a basso impatto. Altre, in particolare se operano in settori fortemente regolamentati o hanno solidi impegni etici, possono implementare una governance rigorosa anche per applicazioni a rischio moderato.
4. Valuta le risorse e la struttura organizzativa: la governance richiede ruoli dedicati, collaborazione interfunzionale, infrastrutture tecniche per il monitoraggio e la documentazione, nonché sponsorship a livello esecutivo. Le organizzazioni dovrebbero progettare framework di governance che siano effettivamente in grado di implementare e sostenere, date le risorse e la struttura disponibili.
5. Seleziona framework di base: invece di adottare integralmente un singolo framework, molte organizzazioni combinano elementi provenienti da più framework. Ad esempio, un'organizzazione potrebbe adottare i principi dell'OCSE come fondamento etico, utilizzare la struttura di gestione del rischio del NIST per i processi operativi e integrare i requisiti dell’EU AI Act per i sistemi distribuiti nei mercati europei.
6. Personalizza framework esistenti: una volta selezionato un framework di base, adattane i requisiti in modo che rispecchino le applicazioni di AI e il profilo di rischio della tua organizzazione. In altre parole, un framework progettato per la sicurezza dei veicoli autonomi potrebbe risultare eccessivamente rigoroso per un motore di raccomandazione marketing, mentre un framework pensato per modelli di ML semplici potrebbe essere insufficiente per modelli linguistici di grandi dimensioni con capacità estese. È in questa fase che gli stakeholder possono personalizzare i framework in base alle proprie esigenze.
7. Garantisci il contributo interfunzionale: coinvolgi stakeholder legali, tecnici, aziendali ed etici lungo tutto lo sviluppo del framework. Ogni team apporta la propria area di competenza: i team tecnici comprendono capacità e limiti dei modelli; i team legali individuano gli obblighi di conformità; i responsabili di business possono definire la tolleranza al rischio e le priorità strategiche; e le competenze etiche aiutano a orientarsi tra complessi compromessi di natura valoriale.
8. Rendi il framework operativo, misurabile e scalabile: definendo fin dall'inizio procedure chiare, criteri decisionali e metriche di successo, poni le basi per una governance efficace. La governance dovrebbe specificare chi approva quali tipologie di iniziative di AI, quale documentazione è richiesta, quali test devono essere condotti prima della distribuzione e come avviene il monitoraggio continuo. I framework che esistono solo come principi astratti, senza procedure operative chiare, raramente vengono implementati in modo coerente.

Etica, diritti umani e AI responsabile

La differenza tra AI responsabile e governance dell'AI

AI responsabile e governance dell'AI sono termini spesso intercambiabili. Sono concetti distinti, che però operano congiuntamente per garantire che i sistemi di AI funzionino in modo etico e sicuro.

AI responsabile fa riferimento a principi, valori e best practice per sviluppare e distribuire l'AI in modo etico. Implementare l'AI responsabile significa assumersi un impegno verso equità, trasparenza, responsabilità, tutela della privacy e benessere umano. In altre parole, l'AI responsabile è principalmente la base teorica su cui si fondano gli standard e i valori etici che guidano il lavoro sull'AI.

La governance dell'AI, invece, riguarda le strutture organizzative, i processi, le policy e i meccanismi di applicazione che garantiscono che i principi dell'AI responsabile siano effettivamente rispettati. Se l'AI responsabile è la teoria, la governance è la prassi concreta attraverso cui le organizzazioni implementano, verificano e mantengono tali modalità operative in modo sistematico su tutte le iniziative di AI. I framework di governance devono affrontare sia impegni etici volontari che requisiti normativi obbligatori.

I contesti normativi mostrano come le aspettative etiche vengano sempre più recepite da leggi e regolamenti sotto forma di specifici requisiti di conformità. L'EU AI Act, ad esempio, traduce principi etici di trasparenza ed equità in obblighi legali specifici che le aziende devono rispettare, oltre a prevedere misure disciplinari in caso di violazione.

Un altro modo in cui questi due concetti interagiscono riguarda il modo in cui orientano le decisioni di governance quotidiane. Ad esempio, se un comitato etico sull'AI esamina una proposta di distribuzione di sistemi di riconoscimento facciale, applica principi etici quali la privacy, il consenso e il potenziale impatto discriminatorio. L'applicazione di tali principi si esprime attraverso processi di governance come la valutazione dell'impatto, la consultazione degli stakeholder e i requisiti di approvazione. I principi forniscono il quadro valoriale; la governance fornisce la struttura operativa per applicare tali valori in modo coerente.

Rendere operativi i principi etici

Tradurre standard etici astratti in policy di governance concrete può essere complesso e richiede approcci sistematici e meccanismi di implementazione specifici. Alcuni degli approcci più comuni sono i seguenti:

• Model card: forniscono una documentazione standardizzata che spiega l'uso previsto di un modello, i suoi limiti, le caratteristiche prestazionali e le considerazioni etiche. Questo contribuisce a rendere la trasparenza una caratteristica concreta, anziché una mera aspirazione.
• Audit sui bias: attraverso test quantitativi per misurare l'equità tra diversi gruppi demografici, questo processo traduce i principi di equità in risultati misurabili, con soglie definite di prestazione accettabile.
• Validazione degli stakeholder: questo processo incorpora i contributi di vari stakeholder durante la fase di sviluppo per garantire che prospettive eterogenee orientino le decisioni di progettazione.
• Sistemi di scoring del rischio: valutano fattori quali il livello di intervento umano richiesto e le esigenze in termini di intensità del controllo e di pianificazione delle contingenze. Lo scopo dei sistemi di scoring del rischio è allineare il rigore della governance ai livelli di rischio effettivi.
• Comitati di revisione etica: per garantire percorsi di escalation strutturati, possono essere istituiti comitati composti da team interfunzionali, incaricati di valutare le iniziative ad alto rischio rispetto a criteri etici prima dell'approvazione.
• Monitoraggio continuo: indipendentemente da quanto accuratamente possa essere implementato un processo di governance, è fondamentale monitorare le prestazioni dei modelli, rilevare il drift e segnalare eventuali anomalie in tempo reale. Strumenti automatizzati possono aiutare le organizzazioni a trasformare queste verifiche in una pratica sistematica.

Oltre a questi approcci più generali per rendere operativa l'etica, esistono anche meccanismi specifici che affrontano singoli principi etici:

1. Spiegabilità: i requisiti di spiegabilità si traducono in standard di documentazione, model card che descrivono capacità e limiti dei sistemi e tracce di audit trail che consentono di ricostruire il processo decisionale. Le organizzazioni possono richiedere che tutti i sistemi di AI ad alto impatto includano spiegazioni per le singole decisioni, con un livello di dettaglio commisurato alla rilevanza della decisione.
2. Privacy: le tutele della privacy diventano operative attraverso pratiche di minimizzazione dei dati, sistemi di gestione del consenso, procedure di conformità al GDPR, tecniche di privacy differenziale e controlli degli accessi. Le policy di governance specificano quali dati possono essere utilizzati per l'addestramento dell'AI, per quanto tempo possono essere conservati e quali misure di protezione della privacy devono essere implementate.
3. Equità: i principi di equità vengono resi operativi tramite protocolli di test dei bias condotti in più fasi del ciclo di vita, requisiti di dati di addestramento diversificati e rappresentativi, metriche di equità definite e appropriate a ciascun dominio applicativo e misure correttive quando viene rilevato un bias. Le organizzazioni devono specificare cosa costituisce un bias inaccettabile per i diversi casi d'uso e quali azioni sono richieste quando i test evidenziano problemi.
4. Sicurezza: le procedure di sicurezza vengono solitamente eseguite prima della distribuzione, tramite protocolli di test che valutano il comportamento del sistema in diverse condizioni e piani di risposta agli incidenti per i casi in cui i sistemi si comportino in modo inatteso. Possono anche includere funzionalità di rollback che consentono una rapida disattivazione del sistema qualora emergano problemi.
5. Costruzione di processi di revisione etica: molte organizzazioni istituiscono comitati etici sull'AI con rappresentanti di funzioni e background diversi per affrontare sfide sistemiche. Questi comitati esaminano le iniziative di AI ad alto rischio, valutano le implicazioni etiche, raccomandano modifiche e approvano o respingono le distribuzioni. Processi chiari aiutano a definire cosa attiva una revisione etica, quali informazioni devono essere fornite e come le decisioni vengono assunte e documentate.
6. Considerazioni sui diritti umani: comprendere come i sistemi di AI possano avere effetti sui diritti fondamentali, come la privacy, la libertà di espressione e il giusto processo, è essenziale per una distribuzione responsabile. I framework di governance dovrebbero includere valutazioni di impatto sui diritti umani per i sistemi che potrebbero incidere su tali diritti, con particolare attenzione alle popolazioni vulnerabili.
7. Meccanismi di attribuzione della responsabilità: infine, la creazione di meccanismi di attribuzione della responsabilità definisce cosa accade quando gli standard etici vengono violati o compromessi. Ciò include procedure di segnalazione degli incidenti, processi di indagine, requisiti in materia di misure correttive e conseguenze per le violazioni. I meccanismi di attribuzione della responsabilità garantiscono che qualsiasi violazione o compromissione della governance comporti conseguenze.

Implementazione: dai framework alla governance nel mondo reale

Chi dovrebbe guidare e come costruire la governance dell'AI?

Una governance efficace dell'AI richiede una leadership chiara, ruoli definiti e l'integrazione con le strutture organizzative esistenti. Ma chi, nello specifico, dovrebbe guidare questi sforzi e in che modo le organizzazioni dovrebbero strutturare il proprio approccio? Di seguito sono riportate alcune domande chiave e modelli di riferimento che un'organizzazione può utilizzare per definire il proprio approccio alla governance.

Approcci alla governance: centralizzata, distribuita o ibrida. Le organizzazioni possono strutturare la propria governance in modi diversi in base a dimensioni, cultura ed esigenze. Una governance centralizzata, ad esempio, concentra l'autorità decisionale in un ufficio o comitato centrale di governance dell'AI. Questo approccio garantisce coerenza all'interno dell'organizzazione, ma può anche creare colli di bottiglia. La governance distribuita, al contrario, delega l'autorità alle unità aziendali o ai team di prodotto, consentendo decisioni più rapide ma con il rischio di incoerenze. I modelli ibridi cercano un equilibrio tra queste istanze, definendo standard centralizzati e delegando le decisioni ai team più vicini alle attività operative.

Ruoli chiave: diversi ruoli chiave svolgono una funzione di guida e apportano competenze specialistiche nella governance dell'AI. Il Chief AI Officer fornisce in genere la sponsorship a livello di top management e la direzione strategica del programma di AI e della sua governance. Il Comitato etico per l'AI, invece, apporta prospettive diversificate per valutare iniziative ad alto rischio e dilemmi etici. I comitati di governance definiscono le policy, verificano la conformità e risolvono le questioni sottoposte in escalation. Infine, i team interdisciplinari (ad esempio tra data science, ingegneria, funzioni legali, conformità e business) collaborano all'implementazione operativa quotidiana.

Integrazione con i processi esistenti: invece di creare la governance come funzione isolata, le organizzazioni dovrebbero collegare la governance dell'AI ai programmi di conformità esistenti, ai framework di gestione del rischio e ai processi di governance IT. Questa integrazione valorizza le competenze esistenti ed evita duplicazioni di sforzi all'interno dell'organizzazione. Inoltre, eleva la governance dell'AI allo stesso livello di altre priorità in materia di rischio e conformità.

Meccanismi di supervisione interfunzionali: per tradurre i requisiti di governance in realtà operative, le organizzazioni necessitano di punti di contatto e processi regolari. Le revisioni periodiche di governance valutano la conformità continua, esaminano nuove iniziative e affrontano le sfide emergenti. Con il coinvolgimento degli stakeholder, i leader possono integrare contributi provenienti da team interni, esperti esterni e comunità interessate. I checkpoint di audit e conformità verificano che i requisiti di governance vengano rispettati, mentre cicli di revisione regolari consentono di adattare la governance all'evoluzione delle capacità dell'AI e all'emergere di nuove sfide.

Costruzione di processi scalabili: man mano che le organizzazioni passano da pochi modelli di AI a decine o centinaia, i processi di revisione manuale diventano rapidamente colli di bottiglia. Una governance scalabile utilizza elementi quali automazione, template e checklist standardizzati, processi di revisione a più livelli che allineano il rigore al rischio e risorse self-service che aiutano i team a rispettare i requisiti di governance senza richiedere sempre la revisione da parte di un comitato.

• Approcci per organizzare le strutture di leadership interna (centralizzate vs. distribuite)
• Ruoli chiave: Chief AI Officer, Comitato etico per l'AI, comitati di governance, team interdisciplinari
• Integrazione della governance dell'AI nei processi esistenti di conformità, gestione del rischio e governance IT
• Meccanismi per integrare la supervisione interfunzionale:
  • Riunioni periodiche di revisione della governance
  • Processi di coinvolgimento degli stakeholder (team interni, esperti esterni, community interessate)
  • Checkpoint di audit e conformità
  • Cicli di revisione regolari per adattare la governance all'evoluzione delle capacità dell'AI
• Costruzione di processi interni che scalino con l'adozione dell'AI all'interno dell'organizzazione

Competenze pratiche e carriere emergenti nella governance dell'AI

Competenze richieste e percorsi professionali

Una governance efficace dell'AI richiede una combinazione di competenze tecniche, capacità di ragionamento etico, competenze legali e abilità organizzative. Questo insieme unico di competenze sta dando origine a nuovi percorsi professionali per figure in grado di fare da ponte tra ambiti tecnici e di policy.

Competenze tecniche: i professionisti della governance devono avere una comprensione dei sistemi di AI e machine learning sufficiente a valutare i rischi ed esaminare i controlli, anche se non si occupano personalmente dello sviluppo dei modelli. Ciò include capacità di verifica della qualità dei dati, competenze di valutazione algoritmica e familiarità con gli approcci di monitoraggio dei modelli. Inoltre, l'alfabetizzazione tecnica conferisce ai professionisti della governance un'importante credibilità nei confronti dei team di data science, consentendo loro di porre le domande giuste durante le revisioni.

Conoscenze etiche e legali: queste competenze aiutano a orientarsi tra i complessi compromessi di natura valoriale insiti nella governance dell'AI. I professionisti devono comprendere i framework di etica dell'AI, conoscere i requisiti normativi nelle giurisdizioni rilevanti e le metodologie di valutazione del rischio, nonché analizzare come i sistemi di AI possano avere un impatto su individui e comunità. In sintesi, è necessario che comprendano sia i fondamenti filosofici dell'AI etica, sia gli obblighi legali pratici che le organizzazioni devono affrontare.

Competenze organizzative: solide capacità organizzative aiutano i professionisti della governance a implementare efficacemente i framework. Le competenze nello sviluppo di policy possono tradurre i principi in procedure chiare e attuabili, mentre le capacità di gestione degli stakeholder sono fondamentali per facilitare la collaborazione tra funzioni tecniche, aziendali e legali con priorità e prospettive diverse. Ulteriori competenze nella collaborazione interfunzionale e nella gestione del cambiamento possono inoltre favorire un coinvolgimento produttivo di team eterogenei e agevolare la transizione verso l'adozione di nuove pratiche di governance.

Percorsi professionali emergenti: la crescente domanda di competenze nella governance dell'AI si sta traducendo in un ambito professionale in rapida espansione.

• Specialisti di governance dell'AI: progettano, implementano e mantengono i framework di governance.
• Responsabili dell'etica dell'AI: incaricati di fornire orientamento etico, guidano i processi di revisione etica.
• Responsabili del rischio AI: identificano, valutano e mitigano i rischi legati all'AI.
• Analisti di policy sull'AI: sono responsabili del monitoraggio degli sviluppi normativi e della conformità organizzativa.

Risorse per lo sviluppo di competenze: le certificazioni professionali in governance dell'AI, etica e gestione del rischio offrono percorsi di apprendimento strutturati. La partecipazione a gruppi di settore e organismi professionali focalizzati sull'AI responsabile favorisce il networking e la condivisione delle conoscenze. Dal canto loro, i programmi di upskilling e formazione continua offerti da università e organizzazioni professionali contribuiscono a costruire competenze di base nel settore. La risorsa forse più preziosa, infine, è la costruzione di esperienza pratica attraverso progetti interfunzionali che coinvolgano l'implementazione della governance dell'AI.

Adattare la governance all'AI generativa e di nuova generazione

AI generativa e sfide di governance

I sistemi di AI generativa, in particolare i modelli linguistici di grandi dimensioni e i foundation model, pongono sfide di governance diverse rispetto ai sistemi di machine learning tradizionali. Di conseguenza, le organizzazioni devono adattare i propri framework di governance per tenere conto di queste caratteristiche specifiche. Tra le principali sfide rientrano:

Allucinazioni e accuratezza fattuale: a differenza dei sistemi di AI tradizionali, che hanno comportamenti più prevedibili, i modelli di AI generativa possono produrre informazioni errate presentate con apparente sicurezza. La ricerca ha dimostrato che le allucinazioni non possono essere eliminate completamente; sono una caratteristica intrinseca del modo in cui i modelli linguistici di grandi dimensioni generano testo. Ciò significa che i framework di governance devono stabilire come le organizzazioni verificano l'accuratezza per diversi casi d'uso, quali disclaimer sono richiesti e quando è necessario un intervento umano prima di agire su contenuti generati dall'AI. Le tecniche come la Retrieval-Augmented Generation possono ridurre le allucinazioni fornendo contesto fattuale, ma non possono impedire completamente che i modelli introducano errori.

Questioni di copyright e proprietà intellettuale: si tratta di una preoccupazione persistente, che deriva dal modo in cui i modelli vengono addestrati e da come generano contenuti. L'addestramento su materiali protetti da copyright solleva questioni legali che sono ancora oggetto di esame nei tribunali, poiché dati e modelli di terze parti spesso non autenticano le fonti originali o le intenzioni del creatore, rendendo difficile tracciare la reale provenienza dei contenuti. Le policy di governance devono stabilire quali dati di addestramento siano accettabili, come documentare le fonti e quali obblighi di disclosure si applichino all'uso di contenuti generati dall'AI.

Provenienza dei dati e requisiti di trasparenza: questi aspetti diventano più complessi con i foundation model addestrati su set di dati di enormi dimensioni. Le organizzazioni devono comprendere su quali dati siano stati addestrati i propri modelli, ma i foundation model potrebbero non divulgare i dettagli relativi ai dati di addestramento. I framework di governance dovrebbero specificare quale documentazione è richiesta quando si utilizzano modelli di terze parti, nonché le attività di due diligence necessarie.

Autenticità dei contenuti e disclosure: questo ambito riguarda quando e come le organizzazioni devono dichiarare che un contenuto è stato generato dall'AI. Contesti diversi, come le comunicazioni politiche o i lavori accademici, prevedono requisiti differenti. Le policy di governance dovrebbero specificare chiaramente i requisiti di disclosure per ciascun caso d'uso.

Sfide di responsabilità: queste problematiche derivano dalle ampie capacità e dalle molteplici applicazioni potenziali degli LLM e dei foundation model. Un foundation model potrebbe essere utilizzato per decine di scopi diversi all'interno di un'organizzazione, ciascuno con profili di rischio differenti. La governance deve stabilire chi è responsabile quando, ad esempio, lo stesso modello produce risultati vantaggiosi in un'applicazione e risultati problematici in un'altra.

Requisiti di trasparenza: per l'AI generativa, le organizzazioni dovrebbero documentare le caratteristiche dei dati di addestramento, le capacità e i limiti del modello, le modalità di fallimento e i rischi noti, nonché i casi d'uso consentiti e vietati. Questa documentazione supporta la governance interna e la trasparenza verso l'esterno.

Considerazioni sulla privacy dei dati: queste emergono dal modo in cui i modelli generativi gestiscono le informazioni nei prompt e negli output. Gli utenti potrebbero inavvertitamente includere informazioni sensibili nei prompt e i modelli corrono il rischio di riprodurre informazioni private presenti nei dati di addestramento. I framework di governance dovrebbero affrontare le policy di gestione dei dati per prompt e completamenti, i controlli tecnici per prevenire l'esposizione di dati sensibili e l'educazione degli utenti sui rischi per la privacy.

Sfide di governance nel mondo reale: la governance dell'AI affronta sfide complesse nel mondo reale, rendendo fondamentale che qualsiasi framework preveda una chiara allocazione delle responsabilità e procedure di valutazione del rischio. Ad esempio, si consideri un chatbot del servizio clienti che fornisce consigli medici per i quali non è stato progettato. In questo scenario, chi è responsabile? È lo sviluppatore del modello, l'organizzazione che lo distribuisce o il team aziendale che lo ha configurato? Quando uno strumento di generazione di codice riproduce codice protetto da copyright, quale responsabilità ricade sull'organizzazione? Sapere dove risiedono le responsabilità può facilitare una risoluzione più rapida dei problemi.

Framework adattivi: data la rapidità con cui l'AI evolve, la governance deve a sua volta evolvere per restare al passo. Le organizzazioni dovrebbero condurre revisioni periodiche della governance, attivate da aggiornamenti dei modelli o cambiamenti nelle loro capacità, nonché processi di monitoraggio in grado di rilevare nuovi modelli di utilizzo o rischi emergenti. Dovrebbero inoltre prevedere solidi meccanismi di feedback, capaci di raccogliere segnalazioni da utenti e comunità interessate, insieme a procedure di aggiornamento che garantiscano l'allineamento continuo della governance all'evoluzione tecnologica.

Conclusione

La governance dell'AI è un processo continuo e iterativo che deve evolversi parallelamente alla tecnologia dell'AI, ai requisiti normativi e alle capacità organizzative. Una governance efficace si fonda su framework chiari che traducono i principi etici in policy attuabili, su una supervisione completa che bilancia innovazione e gestione del rischio e su un impegno organizzativo che si estende dalla leadership esecutiva fino ai team tecnici.

Le organizzazioni che investono in una governance strutturata dell'AI ottengono vantaggi competitivi. Possono distribuire l'AI con fiducia, sapendo di disporre di processi sistematici per identificare e affrontare i rischi. Costruiscono fiducia con clienti, enti regolatori e stakeholder attraverso trasparenza e responsabilità. Riducono i rischi legali e reputazionali affrontando in modo proattivo, anziché reattivo, le questioni etiche e di conformità.

Man mano che i sistemi di AI diventano più capaci e più profondamente integrati nel business e nella società, la governance cessa di essere opzionale per diventare essenziale. I framework, i processi e le competenze che le organizzazioni costruiscono oggi determineranno la loro capacità di sfruttare i vantaggi dell'AI gestendone responsabilmente i rischi.