Per supportare le aziende nell’adozione dell’Intelligenza Artificiale l’AI Act dell’Unione Europea suddivide i rischi in quattro categorie.

ai-act

Il team di FTI Consulting condivide alcune specifiche relative ai rischi dell’Intelligenza Artificiale evidenziati nell’AI Act (regolamentazione dell’Unione Europea che subirà ancora delle modifiche) e ha ipotizzato quattro consigli per le organizzazioni che sviluppano e impiegano sistemi di IA per assicurarsi di disporre di solide strutture di governance e di sistemi di gestione per ridurre i rischi.

I quattro rischi dell’Artificial Intelligence Act dell’UE: come capire se la propria azienda è ben posizionata

L’Artificial Intelligence Act (“AI Act”) dell’UE rappresenta un tentativo di introdurre un quadro normativo e legale condiviso per l’intelligenza artificiale e disciplinare il rapido impiego di questa tecnologia da parte delle aziende e della società nel suo complesso. Il progetto di legge, presentato per la prima volta ad aprile 2021 e attualmente ancora sotto forma di bozza, imporrebbe a tutte le aziende che utilizzano l’IA di mettersi al passo con le normative. Così come per il GDPR, l’obiettivo dell’AI Act è quello di aumentare la fiducia dei consumatori nei confronti di questa tipologia di tecnologia.

Tra i modi in cui l’AI Act cerca di mitigare i rischi c’è anche la riduzione della possibilità che i bias umani si inseriscano nei sistemi di IA. Si tratta però di un compito tutt’altro che facile: per essere conformi alla normativa, le aziende devono conoscere i modelli algoritmici codificati che compongono i loro sistemi di IA e anche i dati che vengono immessi nei sistemi. L’introduzione di un sistema di IA in un ambiente nuovo, ad esempio nelle attività che si rivolgono direttamente al pubblico, potrebbe portare a problemi imprevisti.

I rischi individuati dall’AI Act

Per le aziende, gestire i bias dell’IA è essenzialmente un esercizio tecnico, ma anche un lavoro che di solito va oltre le competenze degli esperti tecnici o dei dipartimenti legal e compliance. Il modo più adatto per affrontare la sfida in maniera olistica è sviluppare un team plurifunzionale specializzato nell’identificazione dei bias umani e meccanici.

Al fine di supportare le aziende, l’AI Act attualmente suddivide i rischi in quattro categorie:

  1. Inaccettabile: le applicazioni che fanno leva su tecniche subliminali, sistemi di sfruttamento o sistemi di social scoring impiegati dalle autorità sono severamente vietate. Sono vietati anche i sistemi di riconoscimento biometrico remoto “in tempo reale” utilizzati dalle forze dell’ordine in aree accessibili al pubblico.
  2. Rischio elevato: comprende applicazioni legate, tra le altre cose, a trasporti, istruzione, occupazione e welfare. Prima di immettere sul mercato o di implementare nell’UE un sistema di intelligenza artificiale a rischio elevato, le aziende devono effettuare una “valutazione di conformità” preventiva e soddisfare una lunga lista di requisiti affinché ci si assicuri la sicurezza del sistema. Come misura pragmatica, il regolamento prevede anche che la Commissione europea crei e mantenga un database consultabile in cui i fornitori saranno obbligati a condividere informazioni sui loro sistemi di IA che presentano un rischio elevato, garantendo la trasparenza per tutte le parti interessate.
  3. Rischio limitato: si riferiscono a sistemi di IA che soddisfano specifici obblighi di trasparenza. Ad esempio, una persona che interagisce con un chatbot deve essere informata del fatto che sta interagendo con una macchina, in modo da poter decidere se procedere o meno, o chiedere di interagire con un essere umano.
  4. Rischio Minimo: Queste applicazioni sono già ampiamente utilizzate e rappresentano la maggior parte dei sistemi di intelligenza artificiale con cui interagiamo oggi: i filtri per lo spam, i videogiochi basati sull’intelligenza artificiale e i sistemi per la gestione dell’inventario.

I suggerimenti di FTI Consulting

Per essere al passo e anticipare la regolamentazione, noi di FTI Consulting abbiamo ipotizzato quattro consigli per le organizzazioni che sviluppano e impiegano sistemi di IA per assicurarsi di disporre di solide strutture di governance e di sistemi di gestione per ridurre i rischi:

  • Introduzione di un AI Risk Assessment Framework per affrontare il rischio di bias in ogni fase, dalla progettazione alla dismissione. Serve per comprendere e documentare le caratteristiche intrinseche dei dati, decidere con attenzione l’obiettivo dell’algoritmo, utilizzare informazioni appropriate per addestrare l’IA e inserire tutti i parametri del modello e le metriche di performance in un model registry;
  • Creazione di un’infrastruttura di governance e di un sistema di risk management per rispettare le best practice in materia di solidità tecnica, testing, data training, data governance e cybersecurity. Sarà necessario che le pratiche di supervisione durante l’intero ciclo di vita del sistema vengano effettuate da un controllo umano e che la trasparenza venga integrata in modo che gli utenti possano interpretare i risultati del sistema (e contestarli, se necessario).
  • Poiché l’AI Act include un’esenzione che consente ai fornitori di trattare alcuni tipi di dati personali quando sono indispensabili per monitorare, individuare e correggere gli errori, la valutazione e lo sviluppo dei programmi sulla privacy saranno necessari non solo per garantire che vengano messe in atto le azioni più adatte per tutelare i diritti delle persone interessate, ma anche per mantenere la fiducia dei consumatori.
  • Crescita delle conoscenze IA in tutta l’azienda: poiché il bisogno di competenze legate all’intelligenza artificiale è enorme, ed è sentita non solo nei team che lavorano direttamente sui sistemi ma anche da coloro che sono attivi in settori collegati. I dipartimenti legal, ad esempio, dovranno familiarizzare con i sistemi di IA delle loro organizzazioni al fine di essere certi che siano in linea con le regolamentazioni che interessano i loro settori.

L’AI Act è ancora un “work in progress”

Sembra che l’IA Act subirà diverse modifiche nel corso del prossimo anno. A dicembre 2022, il Consiglio dell’Unione Europea si è riunito per rivedere la definizione delle quattro categorie di rischio. Anche se le modifiche apportate durante la riunione di dicembre devono ancora essere approvate dal Parlamento Europeo, la velocità con cui si muovono le istituzioni testimonia il rapidissimo tasso di evoluzione dell’Act. Le aziende che mirano ad essere un passo avanti rispetto alle regolamentazioni ed essere ben posizionate per essere in linea con le loro disposizioni dovrebbero agire immediatamente.

A cura del team di FTI Consulting

Articoli correlatiAltro dello stesso autore