Skip to main content

Stabilire la governance per l'IA

Obiettivi di apprendimento

Al completamento di questa unità, sarai in grado di:

  • Elencare alcuni dei rischi associati all'IA.
  • Spiegare cos'è la governance dell'intelligenza artificiale.
  • Fare un inventario degli utilizzi attuali dell'IA nell'organizzazione.
  • Valutare i rischi che possono derivare dall'IA per l'organizzazione.
  • Stilare un elenco di esempi di strategie per la mitigazione dei rischi legati all'IA.

I rischi dell'IA

È quasi impossibile parlare di IA senza riconoscere i rischi insiti in questa tecnologia. Tutti abbiamo sentito parlare delle minacce alla sicurezza, delle preoccupazioni per le imprecisioni e il bias, della possibilità di violazioni dei dati, dei timori per i danni alla reputazione e altro ancora.

A questo si aggiunge il fatto che la tecnologia continua la sua espansione a un ritmo molto serrato. Non c'è da stupirsi che, secondo il rapporto Trends in AI for CRM (Tendenze dell'IA per il CRM) di Salesforce, il 68% delle persone ritenga che i progressi dell'IA rendano più importante il grado di affidabilità di un'azienda.

Tuttavia, in molti casi la rivoluzione dell'IA sta superando la capacità delle organizzazioni di adattarsi ai cambiamenti. E questa è una delle preoccupazioni di Alex, il nostro campione dell'IA dirigente di Coral Cloud Resorts. Come può Coral Cloud essere certa di essere in procinto di adottare l'IA in una maniera affidabile?

La necessità della governance

​​Come probabilmente avrai intuito, la fiducia nell'IA è fondamentalmente legata alla sua governance. Vediamo di cosa si tratta.

La governance dell'IA è un insieme di politiche, processi e best practice che aiutano le organizzazioni a fare in modo che i sistemi di IA siano sviluppati, utilizzati e gestiti in maniera responsabile e scalabile per massimizzare i vantaggi e ridurre i rischi.

In questa unità, seguiamo Alex mentre collabora con il team direttivo per l'IA di Coral Cloud per stabilire la governance dell'IA. La tua organizzazione potrebbe già avere uno o più gruppi dedicati alla supervisione della governance. Se invece non hai intenzione di centralizzare la governance dell'IA con un apposito gruppo di lavoro, assicurati che gli organi direttivi interni esistenti abbiano le competenze necessarie sull'IA per migliorare le prassi in uso e colmare eventuali lacune.

Sviluppare principi per l'IA responsabile

Prima che Coral Cloud inizi a creare il proprio programma di governance, Alex invita il team direttivo a fare un passo indietro e a pensare a come restare focalizzati sull'impegno che hanno assunto: sviluppare l'IA in modo responsabile. Qual è la loro stella polare?

Molte organizzazioni che adottano l'IA trovano utile stabilire dei principi per il suo uso responsabile. La definizione di un insieme di principi riguardanti l'IA permette alle aziende di chiarire la propria posizione su questa tecnologia e di considerare l'impatto che esercita sui dipendenti, sui clienti e sulla società in generale. Questa stella polare crea una comune intesa tra i dipendenti e fa sì che i principi aziendali sull'IA possano essere applicati a tutti i livelli.

Una serie di icone a forma di linee blu che rappresentano i cinque principi di Salesforce per un'IA affidabile: responsabilità, affidabilità, trasparenza, empowerment e inclusività.

Per trovare ispirazione puoi dare un'occhiata al post sui principi di Salesforce per un'IA affidabile, ma tieni presente che i principi della tua organizzazione in materia di IA dovrebbero essere allineati alla mission e ai valori della tua azienda. Anche se una lieve sovrapposizione con altre organizzazioni è normale, non ci si può esimere dallo sviluppare un proprio insieme di principi, ricercare e ottenere il consenso degli stakeholder e impegnarsi pubblicamente al rispetto di questi valori.

Nota

I principi sono importanti, ma come si fa a trasformarli in una prassi per l'IA responsabile? La maggior parte delle organizzazioni inizia con l'adozione frammentaria di prassi di governance per l'IA, per poi formalizzarle in modo graduale successivamente. Per saperne di più, vedi Salesforce’s AI Ethics Maturity Model (Modello di maturità dell'etica dell'IA di Salesforce).

Esaminare il quadro normativo

Il team direttivo di Coral Cloud è pronto a occuparsi della governance, ma tutti hanno ancora dei dubbi da chiarire: Quali sono le normative sull'IA? Cosa impone effettivamente la legge?

Al momento, le normative sull'IA sono un collage di linee guida e criteri emergenti che variano a seconda dell'area geografica e del settore. Attualmente i governi e gli organismi di regolamentazione devono tenere il passo con i rapidi progressi della tecnologia, il che rende difficile prevedere con esattezza quale sarà l'assetto normativo anche a pochi anni di distanza.

Nonostante l'incertezza, è possibile adottare alcune misure proattive. Segui le best pratiche descritte in questa unità e gli aggiornamenti sulle tendenze normative riguardanti l'IA. Esaminando gli aggiornamenti degli organismi di regolamentazione e dei gruppi di settore, puoi venire a conoscenza tempestivamente delle potenziali modifiche legislative e ottenere supporto e risorse quando vengono introdotti nuovi requisiti.

Fare l'inventario degli utilizzi dell'IA nell'organizzazione

Per far progredire le iniziative di governance di Coral Cloud, Alex consiglia di catalogare il modo in cui l'organizzazione usa l'IA attualmente.

È difficile valutare correttamente i rischi finché non se ne conosce l'origine. Di conseguenza, è utile fare un inventario di tutti gli strumenti di IA per capire il loro grado di integrazione nei processi aziendali.

  • Identificare le tecnologie di IA: elenca tutte le tecnologie di IA attualmente in uso, dai semplici strumenti di automazione ai complessi modelli di machine learning. Non tralasciare l'IA integrata nei servizi e nei software di terze parti.
  • Documentare i casi d'uso: per ogni tecnologia di IA, documenta i casi d'uso specifici. Comprendere cosa fa ogni soluzione di IA e perché viene utilizzata aiuta a valutarne l'impatto e l'importanza.
  • Mappare i flussi di dati: traccia il flusso di dati da e verso ogni applicazione di IA, comprese le origini dei dati di input, ciò che l'IA modifica o analizza e dove invia i dati di output.
  • Stabilire la responsabilità: assegna la responsabilità di ogni strumento di IA a persone o team specifici. Sapere chi è responsabile di ogni strumento dà certezza su chi ne risponde e semplifica le verifiche e le valutazioni future.
  • Eseguire regolarmente gli aggiornamenti: fai dell'inventario dell'IA un documento vivo da aggiornare costantemente perché rifletta le nuove implementazioni dell'IA o le modifiche a quelle esistenti. In questo modo l'inventario rimane pertinente e utile per la continuità della conformità.

Il team direttivo di Coral Cloud ha la certezza che l'inventario sveli tutti i modi ufficiali in cui l'organizzazione utilizza attualmente l'IA. Ma che dire degli usi non autorizzati? Noti anche come IA ombra, gli strumenti di IA non approvati presentano un rischio significativo per l'azienda. Dai un'occhiata all'articolo di CIO Magazine su come prevenire i disastri dell'IA ombra.

Nota

Se l'azienda usa già un discreto numero di strumenti di IA, la stesura dell'inventario può richiedere un po' di tempo. Ma questo processo non deve impedire all'organizzazione di esplorare casi d'uso e condurre esperimenti di IA. È importante tuttavia condurre una valutazione dei rischi per qualsiasi progetto pilota di IA e continuare a lavorare in parallelo all'indagine sulla presenza dell'IA in azienda.

Valutare i rischi legati all'IA

Ora che Coral Cloud dispone di un inventario dell'IA, il team può iniziare a valutare i rischi per l'organizzazione derivanti da questa tecnologia. È una fase fondamentale per stabilire la governance, ma può anche essere utile per prepararsi a rispettare i requisiti normativi. Alcune politiche, come la normativa sull'IA dell'UE, adottano un approccio basato sul rischio per governare la tecnologia. Quindi, se hai predisposto in anticipo un processo di valutazione del rischio, dopo sarà più facile assicurare la conformità ai regolamenti.

Ecco come Alex e il team direttivo dedicato valutano i rischi dell'IA per l'organizzazione.

Identificare e categorizzare i fattori di rischio

Rivedi l'inventario relativo all'uso dell'IA. Per ogni caso d'uso, organizza un brainstorming sui potenziali rischi. Coinvolgi stakeholder di diversi reparti dell'organizzazione, perché potrebbero individuare rischi che non avevi preso in considerazione. Una volta ottenuto un elenco, classifica i rischi in gruppi logici, ad esempio tecnici, etici, operativi, di reputazione, normativi e così via. Usa categorie coerenti con l'attività dell'azienda.

Valutare l'impatto e la probabilità

Per ogni rischio, valuta quale sarebbe l'impatto potenziale sull'azienda se dovesse verificarsi, quindi determina la probabilità che si concretizzi. Questi fattori possono essere classificati come bassi, medi o alti. I dati storici, i benchmark di settore e le opinioni degli esperti sono preziosi per eseguire queste valutazioni.

Definire le priorità dei rischi

Utilizza l'impatto e la probabilità per definire le priorità associate ai rischi. Un metodo comune consiste nell'utilizzare una matrice di rischio che mette in relazione la probabilità con l'impatto, aiutandoti così a concentrarti sui rischi ad alto impatto e ad alta probabilità.

Se non sai da dove iniziare, scarica il modello AI Risk Management Framework (Framework per la gestione dei rischi associati all'IA) di Google DeepMind dal sito dell'AI Resource Center del NIST (National Institute of Standards and Technology) oppure fai qualche ricerca per trovare altri esempi online. Tieni presente che ogni organizzazione deve sviluppare un framework pertinente al proprio contesto specifico, che può includere l'area geografica, il settore, i casi d'uso e i requisiti normativi.

Sviluppare strategie di mitigazione del rischio

Ora che ha completato la sua valutazione, il gruppo di lavoro per l'IA di Coral Cloud è pronto a implementare alcune strategie per contribuire a mitigare tutti questi rischi. Di seguito sono riportati alcuni esempi di misure di salvaguardia per i diversi tipi di rischio, ma tieni presente che non si tratta di un elenco esaustivo.

Tipo di rischio

Strategie comuni di mitigazione del rischio

Tecnico e di sicurezza
  • Politiche e protocolli di sicurezza
  • Sistemi di rilevamento delle anomalie e opzioni di fallback
  • Sicurezza di infrastruttura, tenancy e hosting dell'IA
  • Red teaming per la cybersicurezza

Dati e privacy
  • Controlli degli accessi
  • Tecniche di anonimizzazione e crittografia dei dati
  • Controlli regolari dei dati
  • Politiche di contrasto all'uso improprio
  • Standard di qualità dei dati
  • Processi di pulitura e convalida dei dati

Etico e di protezione
  • Principi per l'IA responsabile
  • Politiche di utilizzo accettabile
  • Red teaming etico
  • Strumenti per la valutazione e la mitigazione del bias
  • Benchmarking dei modelli
  • Trasparenza dei modelli, come spiegabilità e citazioni
  • Indicazione dei contenuti generati dall'intelligenza artificiale
  • Meccanismi per i feedback
  • Registri di controllo

Operativo
  • Valutazioni dei rischi
  • Piani di risposta agli incidenti
  • Gestione dei cambiamenti
  • Documentazione e formazione a livello aziendale
  • Metriche e monitoraggio
  • Revisioni etiche interne per nuovi prodotti e funzionalità basati sull'IA

Conformità e legale
  • Protocolli e formazione per la conformità
  • Consulenze legali e contratti

Alex e il resto del team direttivo per l'IA di Coral Cloud sanno che è impossibile evitare tutti i rischi legati a questa tecnologia. L'obiettivo che si pongono, invece, è sviluppare processi e strumenti che diano all'organizzazione la certezza di poter identificare e gestire i rischi in modo efficace. Se vuoi scoprire come implementare la governance dell'IA nell'organizzazione, consulta la guida all'implementazione e all'autovalutazione del Forum economico mondiale.

Migliorare le prassi in materia di governance

Il gruppo di lavoro per l'IA di Coral Cloud sa che la governance è un processo continuativo. Ecco cosa può fare l'organizzazione per migliorare la propria capacità di gestione del rischio e adattarsi meglio al mutevole panorama normativo.

  • Formazione e istruzione: implementare la formazione sulla conformità dell'IA e misurare il successo del programma formativo. Promuovere una cultura dell'IA etica e incoraggiare i team a considerare l'impatto più ampio del loro lavoro.
  • Monitoraggio e revisione: monitorare regolarmente l'efficacia delle strategie di gestione del rischio implementate e apportare le eventuali modifiche necessarie. Si tratta di un'operazione fondamentale quando emergono nuovi rischi e occorre perfezionare le strategie esistenti.
  • Documentazione e creazione di rapporti: conservare una documentazione dettagliata di tutte le attività di mitigazione dei rischi. Questa documentazione può essere fondamentale per la conformità normativa e utile per i controlli interni. Sviluppare metriche per le iniziative di governance e riferire i risultati agli stakeholder.

Ora è il momento di immergersi in uno degli elementi più interessanti della strategia per l'IA: l'identificazione e la definizione delle priorità dei casi d'uso per l'IA.

Risorse

Condividi il tuo feedback su Trailhead dalla Guida di Salesforce.

Conoscere la tua esperienza su Trailhead è importante per noi. Ora puoi accedere al modulo per l'invio di feedback in qualsiasi momento dal sito della Guida di Salesforce.

Scopri di più Continua a condividere il tuo feedback