innovazione

AI generativa in azienda: come gestirla bene in sette mosse



Indirizzo copiato

La Generative AI, se usata bene e senza perdere di vista gli aspetti etici e sociali, è uno strumento in grado di aumentare l’efficienza e la competitività. La sua adozione rappresenta una sfida e un’opportunità per le aziende: ecco come governarla per trarne i maggiori benefici

Pubblicato il 2 mag 2024

Emma Marcandalli

Managing Director di Protiviti



intelligenza artificiale

L’intelligenza artificiale generativa, di cui ChatGPT è solo una delle applicazioni, promette una trasformazione dei business senza precedenti. Sono molte le imprese che stanno studiandone e sperimentandone le applicazioni per sfruttarne l’enorme potenziale.

A questo lavoro si accompagna l’identificazione e la gestione dei rischi per assicurare un utilizzo responsabile e in linea con le aspettative degli stakeholder. L’entità del fenomeno è ben rappresentata da due evidenze. Secondo un sondaggio dell’IBM Institute for Business Value, oltre il 60% delle imprese prevede, entro il 2024, di sperimentare o gestire applicazioni di AI generativa, mentre le società di venture capital hanno investito oltre 1,7 miliardi di dollari negli ultimi tre anni. C’è, insomma, una volontà diffusa di accelerare ma anche sfide serie per chi guida le imprese:

  • come e dove applicare l’AI generativa per generare il maggior valore;
  • come assicurarne il governo;
  • come mitigarne i rischi, quelli noti e quelli emergenti.

I rischi da governare nella Generative AI

Le organizzazioni stanno comprendendo, in misura crescente, l’importanza di adottare l’AI generativa in modo responsabile. Di fronte a una tecnologia nascente, infatti, servono consapevolezza e solida preparazione alla gestione dei rischi, alcuni dei quali, peraltro, stanno emergendo solo ora. Vediamoli.

Rischio di allucinazione

I modelli di AI generativa non sono progettati per distinguere il vero dal falso o riconoscere la veridicità delle informazioni, ma per dare risposte verosimili. Ciò può, quindi, indurre tali modelli a produrre risposte inventate o non completamente corrette, un fenomeno noto come “allucinazione”. Ne consegue che i contenuti generati dall’AI devono essere verificati nella loro correttezza e veridicità prima di essere utilizzati.

Rischio di autenticità

È simile al rischio di allucinazione ed emerge quando diventa impossibile determinare se qualcosa è stato prodotto dall’AI. Un esempio sono i c.d. deepfake, ossia immagini, foto o video manipolate artificialmente per modificare la realtà, non sempre facilmente riconoscibili come dei “falsi”.

Rischio violazione della privacy

La protezione dei dati diventa una criticità quando gli utenti che utilizzano software aperti al pubblico (come ChatGPT) inseriscono informazioni proprietarie. È importante che chi adotta l’AI generativa riveda attentamente i termini e le condizioni associate ai software e ne comprenda il potenziale impatto sui dati personali. Quando si utilizzano applicazioni open source, è necessaria molta cautela: i prompt e le query potrebbero diventare parte del pool di dati pubblici disponibili a tutti gli utenti futuri. I principali fornitori di software e servizi stanno cercando di risolvere questo problema apportando modifiche ai termini di servizio. Per esempio, Zoom, fornitore di servizi di videoconferenza, ha revocato la policy che gli consentiva di addestrare l’IA sui dati dei clienti (engadget.com).

Rischio di cybersecurity

Gli hacker possono aggirare le restrizioni sull’utilizzo dell’AI per sviluppare, per esempio, script finalizzati a rubare dati o creare nuovo malware. La Fondazione Open Worlwide Application for Security Project (OWASP) ha identificato i principali rischi per la sicurezza dei Large Language Model, che includono l’avvelenamento dei dati di addestramento, la divulgazione d’informazioni sensibili e l’infiltrazione di prompt. Comprendere le implicazioni dell’AI generativa sulla sicurezza informatica deve essere una priorità.

Rischio di tutela della proprietà

L’AI generativa non fornisce né cita le proprie fonti d’informazione. I modelli apprendono continuamente sia dalle informazioni pubbliche, sia da quelle raccolte dalle interazioni degli utenti. Se uno sviluppatore utilizza l’AI generativa per scrivere il codice, parte del codice generato potrebbe provenire dalla proprietà intellettuale di un concorrente, per esempio se quest’ultimo ha precedentemente utilizzato il modello di AI generativa per ottimizzare il proprio codice. Né lo sviluppatore né il concorrente sarebbero in grado di tracciare o stabilire la proprietà originaria.

Ci sono, inoltre, rischi legati alla tutela della proprietà. Un fornitore d’immagini, per esempio, ha citato in giudizio i creatori di un modello pubblico di conversione testo-immagine basato su AI per aver utilizzato le sue immagini proprietarie per addestrare il generatore d’immagini. Comprendere meglio come vengono costruiti i modelli e le potenziali responsabilità delle violazioni è, quindi, un tema centrale.

Che cosa caratterizza le applicazioni basate sull’AI generativa

Prima di occuparci del suo governo è opportuno richiamare le caratteristiche essenziali di un’applicazione basata sull’AI generativa, perché queste possono influenzare le regole di governance che un’organizzazione dovrebbe o potrebbe volersi dare.

Il valore generato e la funzione dell’applicazione

L’AI generativa offre molteplici opportunità per creare valore: supporto ai processi decisionali; miglioramento della customer experience; più agevole condivisione e accesso alla conoscenza; efficientamento e automazione dei processi aziendali. I diversi impieghi portano altrettanti rischi che impattano sulla governance e sulle relative procedure. Utilizzare l’AI generativa per riassumere un documento o una conversazione, per esempio, comporta rischi molto diversi rispetto al fornire consigli d’investimento personalizzati.

Le modalità di training dei modelli

Esistono diverse tecniche per istruire e allenare i modelli di AI generativa, che generano diversi tipi di rischio:

  • l’apprendimento supervisionato e guidato, in cui lo sviluppatore etichetta i dati e istruisce il modello su come leggerli e interpretarli. Con questa tecnica, l’umano esercita il maggior controllo possibile sul training dell’AI;
  • l’apprendimento senza supervisione umana, in cui il modello impara per inferenza da dati che non sono stati pre-etichettati. Questo caso è esattamente opposto al precedente, ossia il livello di controllo umano ex-ante è molto basso;
  • l’apprendimento per rinforzo, in cui il modello di AI viene premiato quando raggiunge un obiettivo o un’ottimizzazione predefiniti. In questo scenario, è importante capire per cosa il modello è ottimizzato o rinformato, allo scopo di mitigare i rischi connessi a tale ottimizzazione.

La conoscenza delle fonti

I modelli di AI generativa possono lavorare su dati di origine diversa: pubblici, acquisiti a pagamento, proprietari dell’azienda, settoriali. È importante conoscere l’origine dei dati, se sono stati etichettati, chi e come lo ha fatto. Per i dati di dominio pubblico, occorrerebbe sapere se e come i dati sono stati verificati prima di essere inclusi nel dataset di apprendimento dell’algoritmo.

L’architettura

Sicurezza delle applicazioni, protezione dei dati lavorati ed eticità sono influenzate dall’architettura utilizzata. Vediamo i diversi casi.

  • Le applicazioni di dominio pubblico (c.d. in public cloud) possono essere utilizzate da chiunque. I relativi input servono per alimentare e far evolvere il modello sottostante. Le aziende che fanno uso di queste soluzioni, come ChatGPT, Bard e DALL-E, possono migliorare la produttività individuale, ma si accollano anche rischi che eccedono la sfera di controllo aziendale. Un’organizzazione può decidere di consentire l’uso di queste soluzioni solo in determinate circostanze, oppure di vietarne l’uso per fini lavorativi.
  • Le applicazioni che girano su cloud aziendali privati (c.d. enterprise cloud) sono generalmente più sicure, perché possono essere utilizzate solo dalle persone autorizzate, e perché l’azienda può richiedere standard di sicurezza aggiuntivi all’hosting del cloud.
  • Infine, le applicazioni che girano su server proprietari gestiti direttamente dalle aziende (c.d. on-premises) sono normalmente quelle più sicure, ma hanno per contro costi di hardware e di gestione piuttosto elevati e sono più difficilmente scalabili.

Sarebbe più semplice, in fase di primo approccio al governo dell’AI generativa, adottare un’unica policy che disciplini tutto: dall’uso di ChatGPT dei dipendenti allo sviluppo e all’ottimizzazione di modelli proprietari di machine learning (ML). Le policy, tuttavia, sono più efficaci se definite considerando le quattro caratteristiche sopra descritte e dovrebbero indirizzare il programma dell’organizzazione per valutare, costruire e governare l’IA generativa.

La regolamentazione della Generative AI

Il panorama legislativo in materia di sviluppo e utilizzo dell’AI è in fase di evoluzione in diversi Stati nel mondo. L’Unione Europea è stata la prima a muoversi in questa direzione. Il 13 marzo il Parlamento Europeo ha approvato in via definitiva l’AI Act, il Regolamento sull’intelligenza artificiale che ha integrato requisiti e obblighi specifici anche per lo sviluppo delle General Purpose AI, di cui l’AI generativa fa parte. Si ricorda, al riguardo, che l’approvazione del Regolamento e la sua pubblicazione nella Gazzetta Europea è attesa per fine maggio 2024, con immediata entrata in vigore negli Stati membri dell’UE.

Si applicherà a tutti i soggetti pubblici e privati, che immettono sul mercato o mettono in servizio o utilizzano sistemi di AI nell’UE, indipendentemente dal fatto che siano stabiliti nell’UE o in un Paese terzo.Le aziende dovranno necessariamente monitorare l’evoluzione del quadro normativo internazionale e tenerne debitamente conto in fase di definizione delle proprie strategie di sviluppo/adozione e delle proprie regole di governo dell’AI generativa.

Il buon governo della Generative AI in sette mosse

Il quadro fin qui disegnato rende la governance una questione centrale per le imprese che sviluppano o adottano applicazioni di AI generativa. Non bastano, o potrebbero essere inadeguate, le regole già definite per l’AI convenzionale, data la capacità dell’AI generativa d’imparare dagli input degli utenti e creare contenuti nuovi. Per assicurare un uso etico e responsabile, bisognerà costruire un framework di governance sufficientemente scalabile e flessibile, capace di funzionare in presenza di differenti scenari di utilizzo ed essere adatto alle diverse applicazioni. Questo permetterà di disegnare policy sufficientemente granulari ed evitare i rischi degli approcci standard.

Poiché etica, sicurezza, affidabilità, conformità e gestione del cambiamento sono alla base di ogni programma di governo dell’AI (inclusa quella generativa), i programmi di governance potranno ispirarsi ai princìpi già definiti da aziende leader come Microsoft, IBM e Google. Allo stesso modo, i modelli di gestione del rischio potranno riflettere gli standard pubblicati da organizzazioni riconosciute a livello internazionale, come il National Institute of Standards and Technology (NIST) o l’ISO/IEC 42001:2023.

Governare l’adozione e l’utilizzo dell’AI generativa richiede, schematicamente, i passi elencati di seguito.

  • I leader dovranno definire una chiara strategia di adozione, accompagnata da linee guida/codici di condotta che stabiliscano cosa si può/non si può fare con le applicazioni di AI generativa e quali comportamenti i dipendenti devono tenere. Bisogna, in pratica, esplicitare il risk appetite aziendale rispetto all’uso di questa tecnologia.
  • Sarà opportuno istituire un gruppo di lavoro dedicato, con competenze multidisciplinari (non solo di gestione dei dati, algoritmi e tecnologie, ma anche di risk management, compliance, data privacy & security), che definisca una visione e un approccio condivisi rispetto alla diffusione dell’AI generativa nell’organizzazione.
  • Dovranno essere definite regole organizzative e procedurali per governare e controllare la raccolta dei bisogni collegati al suo utilizzo e le priorità di sviluppo/adozione (partendo, per esempio, con casi d’uso pilota, aggiustando il tiro in base ai risultati ottenuti ed estendendo all’intera organizzazione in relazione alle priorità stabilite).
  • Sarà fondamentale tener conto, già in fase di valutazione dei bisogni, non solo dei benefici e del valore attesi, ma anche dei rischi connessi all’impiego, in modo da conoscerli e indirizzarne la gestione e mitigazione.
  • La consapevolezza del management sui temi di AI responsabile, così come la formazione agli utenti aziendali sul corretto utilizzo dell’AI generativa, saranno altri elementi fondamentali da curare con particolare attenzione per un corretto ingaggio di tutte le parti interessate.
  • Una volta avviata la diffusione dell’uso, sarà importante monitorare eventuali malfunzionamenti o errori di utilizzo e attivare i necessari flussi di comunicazione verso terzi (autorità competenti o terze parti in relazione al malfunzionamento o al tipo d’uso dell’AI generativa o ai requisiti e obblighi imposti dai regolamenti di volta in volta applicabili).
  • Occorrerà, infine, considerare anche gli eventuali rischi derivanti dall’utilizzo di soluzioni di AI generativa da parte di soggetti terzi che gestiscono processi per conto dell’impresa.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati