Assicurare la compliance all’Ai Act è un compito complesso per le aziende, che si trovano ad affrontare difficoltà significative nel mantenere la trasparenza e garantire l’equità nei loro sistemi di intelligenza artificiale. Per garantire la conformità bisogna, infatti, applicare norme tecniche dettagliate, ma anche bilanciare l’innovazione con le responsabilità legali. Un approccio integrato alla gestione del rischio che, partendo dall’assessment, includa anche la revisione dei processi, rappresenta la strategia giusta per far fronte a tale complessità.
Con le sole proprie forze aziendali, però, il pericolo di incappare in errori, bias o dimenticanze non è escluso. L’assistenza fornita da un partner esperto che offra un servizio di consulenza mirato, è essenziale per avere a disposizione competenze aggiornate, procedure innovative e strumenti adeguati, assicurando una gestione del rischio più efficace e una compliance sostenibile all’Ai Act.
Indice degli argomenti
Ai Act compliance, perché puntare a un approccio integrato
Basandoci sul sentiment del mercato, la principale difficoltà che emerge tra le aziende in relazione al percorso di conformità all’Ai Act è legata a diversi fattori: umani e culturali, tecnologici e di sicurezza. È indubbio che la velocità con cui le soluzioni basate su Ai si sono introdotte nella quotidianità delle persone, finendo anche nel loro lavoro, spesso in modo incontrollato, abbia portato a una situazione di confusione sul piano della governance di questi strumenti. Non è più pensabile far finta di nulla al riguardo: l’Ai è di fatto ovunque e serve un atteggiamento lucido e attento per governarla in modo adeguato. Proprio per l’aspetto pervasivo di questa innovazione, un approccio integrato alla gestione del rischio è una soluzione efficiente oltre che pratica. Se si prendesse l’Ai come una struttura a sé stante si commetterebbe un errore: l’Ai in azienda è implementata in numerosi processi, funzioni, settori, ha tanti collegamenti e una governance efficace dei rischi correlati non può trascendere questi aspetti. È importante quindi integrare la gestione del rischio legata all’Ai nel framework di risk management già esistente in azienda, per avere una visione completa della situazione.
Partendo da questa consapevolezza, emergono alcuni punti fondamentali di cui occuparsi per una governance efficace. In primis, è estremamente importante fornire alle persone gli strumenti giusti per acquisire consapevolezza nell’avvicinarsi all’intelligenza artificiale. Lavoratori e manager devono conoscere le potenzialità e i rischi dell’Ai per farne un uso virtuoso e non eccedere, causando anche involontariamente potenziali pericoli per l’azienda, come danni reputazionali ed economici.
Vi è poi un aspetto prettamente di design dei processi, in quanto va preventivano che diversi workflow andranno riprogettati alla luce dell’utilizzo dell’intelligenza artificiale, in qualsiasi settore di impiego. Questi cambiamenti possono comportare piccole rivoluzioni nella quotidianità delle aziende e serve la giusta cautela nel gestirli, con l’aiuto di figure esperte. L’obiettivo dovrebbe essere aumentare l’efficienza, limitando gli errori.
Non va trascurato l’ambito legato alla cybersecurity. L’Ai è un asset aziendale che comporta minacce e rischi talvolta ancora difficili da intercettare. Questo perché la tecnologia è in rapida e costante evoluzione e, di conseguenza, anche i rischi cyber che la riguardano.
L’AI Act ha fatto scattare il campanello d’allarme sulla necessità di un framework normativo per una governance efficace, sotto tutti questi punti di vista e non solo, dell’uso dell’Ai in azienda. La normativa assumerà piena efficacia nel 2026, ma già al momento presenta alcuni principi chiari e ben applicabili, con alcune dimensioni della gestione del rischio legate all’Ai che non sono puramente normative ma hanno declinazioni operative.
Gestione del rischio e compliance all’Ai Act: i punti fondamentali
Bisogna tenere bene a mente che, tuttavia, i paradigmi attuali potrebbero essere sconvolti facilmente anche nel breve termine, considerando la rapidità dei cambiamenti nel mondo dell’intelligenza artificiale. Il percorso verso un’efficace gestione del rischio è un continuo tentativo di adattamento che richiede di attingere dall’esperienza maturata in materia dall’azienda in altri contesti, per potersi muovere in un percorso già battuto. L’Ai Act, che ricordiamo è la prima normativa al mondo sulla gestione dell’intelligenza artificiale, prevede nei propri principi questi aspetti. Arriveranno nel prossimo futuro da parte delle autorità ulteriori delucidazioni e definizioni specifiche degli aspetti pratici degli enunciati, ma il regolamento è un punto di riferimento già allo stato attuale per implementare idonee misure di governance degli strumenti di Ai in azienda.
Proprio come anticipato, un punto importante da affrontare è quello dei ruoli e delle responsabilità in azienda. È opportuno, infatti, capire chi sono le persone che hanno la responsabilità relativamente all’uso degli strumenti di Ai in azienda. Le aziende sono ben abituate a definire determinate funzioni e ruoli in altri contesti, ma anche in relazione all’intelligenza artificiale bisogna munirsi di una struttura organizzativa, con un responsabile e una funzione che abbiano competenze specifiche in materia. Non si può, infatti, improvvisare: serve un esperto che conosca in modo approfondito la materia. In Italia, a questo pro, si inizia a parlare di figure c-level dedicate a ciò, come il Caio – Chief AI officer.
Anche il monitoraggio è un tema particolarmente rilevante, in questo contesto: è utile comprendere il livello di attendibilità degli output, i bias che vengono riscontrati dagli utenti, gli indicatori di performance per capire se in effetti l’uso dell’Ai comporta una maggiore efficienza, in modo da evitare spese superflue. È necessario inoltre predisporre un adeguato sistema di controlli, per potenziare tale monitoraggio. Inoltre, quando l’AI entra nei processi quotidiani è importante avere piani di contingency dedicati. Bisogna subito intercettare eventuali anomalie ed essere in grado di risolvere possibili problemi di sicurezza o malfunzionamenti, per garantire l’operatività ed evitare conseguenze dannose di natura reputazionale, economica o nei rapporti con gli stakeholder.
I consigli di Augeos per la compliance all’Ai Act
La complessità è elevata, perché la materia coinvolge come abbiamo raccontato molti aspetti diversi. Assicurare la compliance all’Ai Act richiede quindi un percorso articolato, che può essere svolto in maniera conforme con l’aiuto di una realtà esterna che si occupi dei vari passaggi necessari e, soprattutto, garantisca il puntuale aggiornamento normativo e tecnologico.
L’inizio di questo percorso per Augeos è un assessment per capire nella realtà aziendale quanto l’uso dell’AI è penetrato e intercettare se nell’azienda esistono evidenti divari rispetto alla normativa. Si procede quindi a individuare le figure di responsabilità di questo ambito e valutare come si devono rapportare ad altre funzioni aziendali. In questa fase è inoltre importante realizzare una serie di policy interne, per regolamentare l’uso dei modelli di Ai in azienda e per agevolare la formazione dei dipendenti e dei manager: l’acquisizione di consapevolezza non dev’essere infatti solo trasversale, ma anche verticale. Augeos per coinvolgere tutti ha trovato utile nelle aziende l’introduzione di percorsi formativi graduati volti a spiegare in modo pragmatico come utilizzare gli strumenti di Ai e i rischi a essi collegati. L’assessment comprenderà inoltre gli aspetti legati alla cybersecurity e prevederà anche attività di audit, che andranno svolte anche successivamente nel corso del tempo, per valutare le attività e capire la robustezza dei modelli impiegati.
Lo step successivo è il passaggio dalla pianificazione all’azione. Augeos, oltre alla consulenza, dispone del know how tecnologico per svolgere i processi necessari, dall’assessment alla valutazione di conformità, usando la propria piattaforma Grc: nell’offerta tecnologica, infatti, viene inserito il modulo relativo all’intelligenza artificiale, per agevolare la mappatura dei rischi legati a questa innovazione con un approccio integrato.
Articolo realizzato in partnership con Augeos
