Per governare efficacemente l'IA e mitigare i rischi per le diverse popolazioni, le organizzazioni devono istituire diversi comitati di governance dell'IA per stabilire policy, definire i livelli e la postura di rischio dell'organizzazione, valutare i casi d'uso e garantire il coinvolgimento umano per i processi ad alto rischio.

Sebbene la maggior parte delle organizzazioni sia d'accordo sul fatto che un comitato di governance dell'IA sia fondamentale per un uso responsabile dell'intelligenza artificiale, può essere difficile capire da dove iniziare. A titolo di esempio, in questo blog illustreremo il modo in cui OneTrust ha istituito il proprio comitato di governance dell'IA e forniremo alcuni suggerimenti per come crearne uno per la tua organizzazione.

Domande importanti per la creazione di un comitato

Ci troviamo in un momento fondamentale dell'evoluzione dell'intelligenza artificiale in cui il suo futuro dipende in larga misura dalla fiducia del pubblico nei sistemi di IA e nelle aziende che li utilizzano. OneTrust si impegna a utilizzare in modo responsabile applicazioni di intelligenza artificiale incentrate sull'essere umano che si attengono ai valori fondamentali e ai principi etici dell'azienda e mettono le persone al primo posto. 

L'integrazione graduale dei sistemi di IA in tutti gli ecosistemi aziendali e la loro diffusa adozione cambieranno radicalmente il modo in cui l'azienda opera. OneTrust ha deciso sin dalle fase iniziali di istituire un comitato di governance interno dedicato all'intelligenza artificiale per supervisionare il processo di creazione del programma di governance dell'IA. L'obiettivo di questo comitato è garantire che l'utilizzo attuale e futuro dei sistemi di IA sia conforme ai principi di responsabilità di OneTrust, agli standard normativi e alle pratiche consigliate del settore. 

Coinvolgimento

Il primo passo nella creazione di un comitato è determinare chi ne farà parte. 

Ecco alcune domande importanti che dovresti porti in questa fase:  

• chi è coinvolto?
  
  
• come scegliere le persone da includere?

Il comitato di governance dell'IA di OneTrust comprende rappresentanti delle principali aree funzionali dell'organizzazione, tra cui Ufficio legale, Etica e conformità, Privacy, Architettura e sicurezza delle informazioni, Ricerca e sviluppo, Ingegneria e gestione dei prodotti. I membri del comitato hanno conoscenze e competenze diverse perché riteniamo che la condivisione delle conoscenze interfunzionali sia fondamentale per un efficace programma di governance dell'intelligenza artificiale. 

Affrontare le difficoltà che la governance dell'IA può porre richiede il coinvolgimento di persone con una grande varietà di esperienze. Rispondere alle nuove sfide poste dall'innovazione richiede spesso soluzioni creative, che possono essere raggiunte quando persone provenienti da diverse aree di competenza si riuniscono e apportano una prospettiva unica. 

La presenza di un comitato eterogeneo ti aiuterà a trovare le soluzioni creative e le risposte ponderate che un programma di governance dell'IA richiede. 

Governance 

Una volta formato, il comitato deve iniziare a gestire il programma. Questa categoria ricopre molti aspetti, ma alcune delle domande principali da porti in questa fare sono: 

• in che modo l'rganizzazione definisce i sistemi di IA? 
  
  
• come si stabiliscono i livelli di rischio? 
  
  
• come si può garantire la supervisione umana dei sistemi ad alto rischio? 
  
  
• qual è la posizione dell'organizzazione nei confronti dei sistemi di IA generativa come ChatGPT? 

Sapere cos'è effettivamente l'intelligenza artificiale è un elemento fondamentale dei programmi di governance dell'IA. Il mondo della tecnologia, dell'economia, gli accademici e i giuristi propongono definizioni diverse. Anche l'IA può essere utilizzata per definire se stessa. Ad esempio, se chiedi a ChatGPT di dare una definizione di ''intelligenza artificiale'', questa è la sua risposta: ''È la simulazione dell'intelligenza umana in macchine programmate per eseguire compiti che tipicamente richiedono l'intelligenza umana, come la percezione visiva, il riconoscimento vocale, il processo decisionale e l'elaborazione del linguaggio naturale''. È una definizione ben articolata ed mette in luce l'essenza di ciò che l'intelligenza artificiale rappresenta.

Dopo aver consultato i quadri normativi esistenti, noi di OneTrust abbiamo deciso di utilizzare la definizione delineata nella legge sull'intelligenza artificiale dell'Unione europea. Riteniamo che i nuovi standard implementati nell'UE siano i più avanzati in termini di governance dell'IA e che siano un modello da seguire anche a livello internazionale.

La definizione dei sistemi di IA nella legge europea sull'intelligenza artificiale si riferisce a un'applicazione basata su software sviluppata utilizzando una o più tecniche o approcci, come l'apprendimento automatico, gli approcci statistici, logici e/o basati sulla conoscenza e i metodi di stima, ricerca e ottimizzazione bayesiani. 

Questa definizione si sofferma anche sul fatto che un sistema di IA può generare output come contenuti, previsioni, raccomandazioni o decisioni che influenzano l'ambiente con cui gli esseri umani interagiscono.

In che modo OneTrust definisce i livelli di rischio in relazione all'IA?

In modo analogo, il nostro programma interno di governance dell'IA ha adottato anche il sistema di classificazione del rischio delineato nella legge europea sull'intelligenza artificiale. Pertanto, seguendo le linee guida di questa legge, suddividiamo i sistemi di IA in quattro categorie di rischio.

1. Rischio inaccettabile: sistemi ritenuti troppo rischiosi per il consumo, come il social scoring degli individui basato sul monitoraggio delle persone nel corso del tempo, che potrebbe portare un trattamento ingiusto degli individui. Questi sistemi sono vietati dalla legge sull'intelligenza artificiale. 
   
   
2. Ad alto rischio: sistemi che possono causare danni alla salute e alla sicurezza delle persone o incidere negativamente sui loro diritti fondamentali, come il reclutamento o la selezione dei candidati all'impiego (compresa la pubblicità, lo screening o il filtraggio delle candidature, la valutazione dei candidati durante i colloqui o i test), le decisioni sulla promozione e la cessazione del rapporto di lavoro, le richieste di assegnazione di mansioni e il monitoraggio e la valutazione delle prestazioni e della condotta dei dipendenti. 
   
   
3. A rischio basso o minimo: sistemi che non comportano rischi alla salute, alla sicurezza o al rispetto dei diritti fondamentali delle persone, come filtri antispam e sistemi di gestione degli inventari. 
   
   
4. Per finalità generali: sistemi che utilizzano l'intelligenza artificiale generativa (GenAI) per creare contenuti originali. Esempi di tali sistemi sono le tecnologie che riassumono contenuti di lunga durata, generano autonomamente codice software e immagini digitali dal linguaggio naturale.

In che modo OneTrust garantisce la revisione umana dei processi ad alto rischio? 

La policy di OneTrust sull'utilizzo dell'intelligenza artificiale (che verrà implementata a breve) non consente l'uso di sistemi di IA vietati e definisce i processi di valutazione di tutte le altre categorie di rischio. Utilizzamo la soluzione Third-Party Risk Management di OneTrust e abbiamo sviluppato estensioni per i modelli di valutazione del rischio esistenti in modo che possano adattarsi ai rischi dell'intelligenza artificiale. Grazie a questo processo, siamo in grado di valutare i rischi legati all'IA, che in alcuni casi sono collegati ad altri standard, come la privacy, la sicurezza delle informazioni e le aree di rischio etico. 

Sebbene il processo relativo alla gestione del rischio di terzi sia altamente automatizzato, viene sempre coinvolto un essere umano nella revisione delle valutazioni e nelle comunicazioni in caso di problemi. Abbiamo sviluppato e stiamo testando internamente versioni modificate delle valutazioni d'impatto sulla privacy (PIA) che includono domande sui rischi dell'IA nella valutazione dei sistemi di intelligenza artificiale e dei nostri fornitori di servizi di IA. 

Questi modelli precostituiti sono uno strumento efficace per identificare alcune delle nuove sfide di conformità associate all'IA, come la spiegabilità dell'algoritmo di elaborazione o l'adeguatezza dell'informativa sui dati personali elaborati dai sistemi di IA. 

I sistemi IA che utilizzano dati a rischio più elevato, come i sistemi dei dipartimenti delle risorse umane che solitamente elaborano più informazioni personali, devono essere controllati attraverso un processo di valutazione. In questo modo ci assicuriamo di avere il giusto livello di conoscenza del funzionamento di questi sistemi, di quali dati vengono utilizzati e se il fornitore del sistema ha seguito i requisiti normativi e le pratiche consigliate del settore nello sviluppo del sistema. 

Qual è la politica e la posizione di OneTrust sugli strumenti di IA generativa come ChatGPT? 

In generale, sosteniamo l'utilizzo dei sistemi di IA, compresa quella generativa, a condizione che siano accuratamente verificati e che vengano messi in atto adeguati controlli per gestire i rischi noti. 

Utilizzando il nostro processo di valutazione del rischio da parte di terzi, siamo in grado di analizzare eventuali rischi e di approvare l'uso di strumenti di IA che siano in linea con la nostra politica interna a riguardo, compresi i nostri principi relativi all'utilizzo responsabile dell'intelligenza artificiale. Piuttosto che vietare l'uso dell'IA generativa, implementiamo gli stessi protocolli di revisione che utilizziamo per qualsiasi altra categoria di intelligenza artificiale. 

Le valutazioni del rischio per i sistemi di IA coprono l'intera gamma dei rischi associati, compresa l'architettura della privacy e della sicurezza delle informazioni. Sulla base dei risultati di queste valutazioni, saremo in grado di decidere se consentire o meno l'utilizzo di una specifica applicazione dell'intelligenza artificiale. 

Riconosciamo che potremmo non essere in grado di eliminare completamente i rischi in tutti i casi, ma ci stiamo concentrando su come mitigare i rischi noti e sulla condivisione di pratiche consigliate per gli individui che utilizzano tali sistemi 

Ad esempio, nella futura policy sull'utilizzo dell'intelligenza artificiale di OneTrust, avvisiamo gli utenti di essere consapevoli che i contenuti prodotti da GenAI non sono del tutto affidabili e potrebbero non essere accurati, e che i sistemi di intelligenza artificiale per finalità generali potrebbero produrre erroneamente risultati inappropriati. Inoltre, li avvertiamo che devono usare cautela e discrezione prima di condividere, pubblicare o altrimenti utilizzare i risultati prodotti dai sistemi GenAI. 

Infine, consigliamo agli utenti di non utilizzare in nessun caso i dati generati dai sistemi di intelligenza artificiale come sostituto di una consulenza legale, finanziaria o professionale. Stiamo cercando di educare gli utenti dei sistemi di IA attraverso corsi formazione sui rischi legati all'intelligenza artificiale, che fanno parte dei controlli complessivi per la mitigazione dei rischi che distribuiremo ai nostri dipendenti entro la fine di quest'anno. 

Cadenza e struttura

Il lavoro del comitato di governance dell'IA è costante, ma è anche utile avere riunioni a cadenza fissa. Durante la configurazione dei tuoi processi, prendi in considerazione queste domande fondamentali:

• con quale frequenza si riunirà il comitato di governance dell'IA?
  
  
• come saranno strutturate le riunioni? 

Con quale frequenza si riunisce il comitato di governance dell'IA?

Attualmente, il comitato di governance dell'IA di OneTrust si riunisce una volta ogni tre mesi. Se si stabilisce che l'azienda ha bisogno di riunioni più frequenti, questa cadenza può essere modificata. Detto questo, una riunione completa non è l’unico modo in cui il comitato per la goverance dell'IA di OneTrust conduce le proprie attività. 

Quando il comitato deve prendere una decisione su un'iniziativa o una policy, il voto deve essere facilitato da mezzi elettronici, dove ogni membro del comitato ha la possibilità di votare. In questa fase, la maggior parte del lavoro di governance dell'IA viene svolto in gruppi più piccoli, come i team di sicurezza delle informazioni, di conformità o di privacy. Le riunioni ad hoc in gruppi più piccoli svolgono un ruolo importante nel garantire i progressi nella gestione del nostro programma di IA.

Come sono strutturate le riunioni?

Le riunioni del comitato sono concepite per concentrarsi sulla discussione e sulla presa di decisioni in merito alle principali aree di responsabilità, tra cui la revisione e l'approvazione di progetti e iniziative legati all'IA, lo sviluppo di policy e procedure di governance dell'IA e il monitoraggio della conformità dell'uso dell'IA con i principi e i valori dell'IA responsabile di OneTrust.

Introduzione alla governance dell'IA

Anche se la creazione di un programma di governance dell'IA può sembrare un'impresa ardua, fai semplicemente un passo alla volta e assicurati di avere le persone giuste intorno a te. Per scoprire come OneTrust può supportarti nel tuo percorso di governance dell'IA, richiedi subito una demo.