Gartner® prevede che ''entro il 2026, oltre l'80% delle imprese utilizzerà interfacce di programmazione applicativa (API) o modelli di intelligenza artificiale generativa (GenAI) e/o implementerà applicazioni abilitate alla GenAI in ambienti di produzione, rispetto a meno del 5% nel 2023''.¹  

Allo stesso tempo, secondo la metodologia Hype Cycle di Gartner, ''l'interesse calerà man mano che gli esperimenti e le implementazioni non daranno risultati. I produttori di tecnologia o rivoluzionano il panorama o falliscono. Gli investimenti proseguono solo se i fornitori che sopravvivono migliorano i loro prodotti in modo da soddisfare i primi utilizzatori''.²

La ricerca di Forrester identifica i problemi di privacy e sicurezza come il principale ostacolo all'adozione dell'intelligenza artificiale generativa. Un'intelligenza artificiale affidabile va ben oltre la semplice privacy, ma abbraccia anche sicurezza e considerazioni etiche. Ma per implementare l'IA nel modo giusto, devi prima comprendere a fondo che cos'è la privacy dei dati.

Le tre insidie più comuni per la privacy nell'adozione dell'IA

L'implementazione dell'intelligenza artificiale può essere complicata perché questa tecnologia amplifica le lacune già esistenti in materia di privacy: un singolo punto di accesso mal configurato può diventare esponenzialmente più problematico se esposto a un sistema di IA. Nell'affrontare il ruolo della privacy per i sistemi di IA, ci sono tre insidie da tenere presenti.

1. Limitazione delle finalità: l'intelligenza artificiale incentiva gli usi secondari dei dati, ovvero l'utilizzo dei dati per una finalità diversa da quella pattuita con il cliente.  
   
   
2. Proporzionalità: l'intelligenza artificiale richiede set di dati robusti per garantire accuratezza, correttezza e qualità che possono essere in conflitto con le pratiche di minimizzazione dei dati.
   
   
3. Continuità aziendale: i dati arrivano, ma non escono. Se non inserisci i dati giusti, un giorno il sistema non sarà più disponibile.

In questo post analizzeremo in dettaglio ognuna di queste insidie ed esamineremo alcune pratiche comuni per gestire i rischi ad esse associati.  

Limitazione delle finalità

Uno scenario comune che illustra l'importanza di un uso responsabile dei dati è la raccolta delle date di nascita per la verifica dell'identità. In contesti come l'autenticazione a due fattori o per le attività bancarie, la verifica dell'identità di una persona è fondamentale. Questo processo spesso comporta la raccolta di informazioni sensibili, come la data di nascita di una persona.

Tuttavia, il possesso di questi dati per la verifica dell'identità non autorizza automaticamente il loro utilizzo per altre finalità. Ad esempio, se un team di marketing vuole utilizzare le date di nascita per inviare promozioni di compleanno, deve prima ottenere il consenso esplicito degli interessati. Senza tale consenso, l'uso delle date di nascita per scopi di marketing costituisce una violazione dei principi della privacy.

Sfide e problemi dell'intelligenza artificiale generativa e del consenso

L'avvento dei modelli linguistici di grandi dimensioni (Large Language Model, LLM) e dell'IA generativa complica ancora di più questo problema.  

Fornire informazioni chiare e dettagliate in anticipo è essenziale per ottenere un consenso informato, il che significa che le persone devono capire in un linguaggio semplice come verranno utilizzati i loro dati.  

Una sfida fondamentale per le organizzazioni è quella di trovare un equilibrio tra il fornire un contesto sufficiente e il non sovraccaricare gli individui con lunghi termini e condizioni che potrebbero semplicemente saltare, cosa che spesso avviene. Una comunicazione efficace utilizzando il linguaggio del pubblico è essenziale per garantire che il consenso sia veramente informato e non solo una formalità.

Proporzionalità e bilanciamento della robustezza e della minimizzazione dei dati

Prendi ad esempio l'utilizzo di uno strumento di scansione di curriculum progettato per semplificare i processi di assunzione. In passato, le organizzazioni potevano escludere dai curriculum informazioni sensibili come sesso ed etnia per minimizzare i rischi di privacy e ridurre il rischio complessivo in caso di violazione. Tuttavia, l'esclusione di questi dati può anche impedire l'identificazione e la riduzione dei pregiudizi nel processo di assunzione.

I pregiudizi possono persistere anche quando i dati sensibili vengono omessi, poiché altri fattori indiretti possono contribuire a risultati distorti. Per garantire un'analisi accurata e una rappresentazione equa in un set di dati, è necessario documentare e registrare i dati sensibili. Ciò consente un monitoraggio dinamico del sistema per verificare l'equità e individuare potenziali pregiudizi.

Una sfida comune che le organizzazioni si trovano ad affrontare oggi è quella di non aver raccolto inizialmente le informazioni su sesso o etnia a causa di problemi di privacy o del potenziale disagio che potrebbe causare ai candidati. Di conseguenza, non dispongono dei dati necessari per condurre valutazioni di equità approfondite.

Tecnologie per la tutela della privacy

Per affrontare queste difficoltà, puoi utilizzare le tecnologie per la tutela della privacy (Privacy-Enhancing Technologies, PET). Tecnologie come la privacy differenziale, i dati sintetici, la crittografia omomorfa e il calcolo multipartitico aiutano a proteggere gli input sensibili, ma ti permettono comunque di condurre le analisi necessarie. Queste tecnologie consentono di mantenere la privacy individuale durante l'elaborazione dei dati e l'addestramento dei modelli.

Tuttavia, è importante sottolineare il fatto che non esista una soluzione unica per tutti. Scegliere quale PET utilizzare dipende dall'applicazione specifica e dall'infrastruttura esistente. In molti casi, per proteggere adeguatamente la privacy e mantenere l'utilità dei dati, potrebbe essere necessaria una combinazione di PET diverse.

Continuità aziendale e dati adeguati alle esigenze future

Affinché il consenso sia realmente legittimo, deve essere liberamente concesso e revocabile in qualsiasi momento. Questo principio pone una sfida significativa quando un consumatore richiede la cancellazione dei propri dati da un sistema importante di un'azienda. Se questi processi si basano su sistemi di IA addestrati su dati personali, la loro rimozione può compromettere la continuità aziendale.

I modelli di IA, proprio come il cervello umano, non possono semplicemente dimenticare le informazioni una volta apprese. L'unica soluzione è tornare a una versione precedente del modello che è stata addestrata prima dell'inclusione dei dati in questione e quindi addestrare di nuovo il modello escludendo tali informazioni. 

Ciò richiede una solida documentazione relativa al controllo delle versioni dei modelli, dei registri e del monitoraggio dettagliato delle categorie di dati e degli identificatori per garantire che i dati possano essere accuratamente rimossi.

Governance dei dati e riaddestramento dei modelli

Le complessità associate all'applicazione della governance dei dati e al riaddestramento dei modelli evidenziano l'importanza di un'accurata documentazione e di un preciso controllo delle versioni. Ciò include il mantenimento di registri dettagliati delle versioni dei modelli, dei set di dati e degli identificatori utilizzati per tracciare i singoli punti dati. In caso di revoca del consenso da parte di un soggetto interessato, questi registri consentono un ritiro e una riqualificazione mirati dei modelli.

Retrieval-Augmented Generation (RAG)

Alla luce di queste sfide di governance dei dati, l'uso della Retrieval-Augmented Generation (RAG) è un'ipotesi interessante. La RAG prevede il recupero di dati da una knowledge base esterna per fornire agli LLM le informazioni più accurate e aggiornate. Questo approccio offre i seguenti vantaggi.

1. Flessibilità: le origini dati esterne utilizzate dalla RAG possono essere aggiornate senza la necessità di addestrare nuovamente l'intero modello.
   
   
2. Accuratezza: recuperando informazioni da fonti affidabili, la RAG migliora l'accuratezza dei fatti e riduce significativamente le possibilità di allucinazioni generate dall'IA.
   
   
3. Accessibilità: la RAG riduce la barriera all'adozione di servizi di IA generativa personalizzabili, poiché non richiede tecniche avanzate di data science.
   
   
4. Specificità: la RAG è adatta a recuperare informazioni specifiche per fornire risposte accurate.
   
   
5. Costo: l'utilizzo delle conoscenze esterne come input è più conveniente rispetto alla messa a punto di un intero LLM.

Utilizzando la RAG, le aziende possono conservare il controllo sull'inserimento dei dati al momento opportuno, piuttosto che continuare a riaddestrare i modelli. Questo metodo aiuta a garantire la continuità aziendale e la conformità alle normative sulla privacy dei dati, anche quando i singoli punti dati vengono rimossi a causa del ritiro del consenso.

¹ Comunicato stampa di Gartner, ''Gartner afferma che entro il 2026, oltre l'80% delle imprese utilizzerà interfacce di programmazione applicativa (API) o modelli di intelligenza artificiale generativa (GenAI)'', 11 ottobre 2023. https://www.gartner.com/en/newsroom/press-releases/2023-10-11-gartner-says-more-than-80-percent-of-enterprises-will-have-used-generative-ai-apis-or-deployed-generative-ai-enabled-applications-by-2026

² Metodologie di ricerca Gartner, Hype Cycle, 4 giugno 2024, https://www.gartner.com/en/research/methodologies/gartner-hype-cycle

GARTNER è un marchio registrato e un marchio di servizio di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti e a livello internazionale ed è utilizzato nel presente documento con autorizzazione. Tutti i diritti riservati.