Le tecnologie collegate al Machine Learning e all'Intelligenza Artificiale stanno evolvendo molto rapidamente e, come hanno dimostrato i recenti dibatti sulle AI generative, è forte la spinta verso un loro utilizzo esteso nelle aziende. Si tratta però di un utilizzo che comporta sia vantaggi sia rischi, quantomeno potenziali. Quindi la crescita dell'AI è diventata una questione di interesse anche per chi, nelle imprese, si occupa proprio di gestione del rischio.

In questa categoria rientrano in particolare anche i responsabili della privacy. Perché l'AI si basa sui dati aziendali, che sono soggetti a norme precise per la tutela della privacy. E più in generale perché diversi aspetti legati alla governance dell'AI si avvicinano molto ai temi della governance delle informazioni.

Ecco quindi che la IAPP (International Association of Privacy Professionals) ha condotto una analisi approfondita sulle difficoltà che le imprese trovano nel mettere in atto una vera e propria governance dell'AI. L'analisi è stata condotta su un campione mondiale di Chief Privacy Officer, data scientist, progettisti AI, avvocati, product manager.

Il primo elemento di spicco dell'indagine IAPP è che la diffusione di AI e ML complica la gestione del rischio, introducendovi nuovi parametri - come ad esempio il bias potenziale e la "spiegabilità" degli algoritmi - molto difficili da valutare. Di conseguenza, le imprese vedono tre principali problemi all'orizzonte: il già citato bias, una governance debole dell'AI, la mancanza di chiarezza delle norme collegabili all'AI e ai suoi effetti.

Il bias è il rischio più temuto perché è altamente probabile e ha un impatto potenzialmente molto ampio e comunque difficile da stimare a priori. Un rischio aggravato dal fatto che sempre più spesso l'AI viene usata per automatizzare le decisioni aziendali. E una decisione "automatica" sbagliata potrebbe portare conseguenze gravi, pratiche e d'immagine. Pensiamo, ad esempio, a un algoritmo di concessione del credito bancario che sfavorisse regolarmente individui o gruppi sociali specifici.

Serve una bussola, a tutti

La cattiva governance dell'AI è il secondo problema citato in ordine di importanza e deriva soprattutto dal fatto che l'AI in azienda è un campo del tutto nuovo. Per introdurre Intelligenza Artificiale e Machine Learning in azienda in maniera sicura, controllabile e responsabile servirebbero esperienze, linee guida, normative, framework di approccio e controlli che semplicemente non ci sono. O non sono ai livelli necessari.

In questo scenario certamente non aiuta la poca chiarezza normativa, che infatti è il terzo principale problema citato. Diventa difficile garantire la giusta compliance quando le norme in ballo sono troppe e contrastanti fra loro in merito agli strumenti e agli indicatori di compliance da applicare. Inoltre, spiega IAPP, non esistono benchmark concreti su cosa sia una AI "reponsabile". E chi fa le norme non sembra poi comprendere appieno cosa sia l'Intelligenza Artificiale e quale sia lo stato dell'arte per le relative tecnologie.

Oltre a questi tre problemi chiave, il campione indagato da IAPP ne ha indicati anche altri, a costituire una Top Ten degli ostacoli all'AI "sicura" e governabile in azienda. Non stupisce che immediatamente fuori dal metaforico podio ci sia la questione degli skill tecnici: la mancanza di competenze in campo AI rende in generale difficile affrontare i nuovi problemi che l'AI stessa pone.

C'è poi la questione degli algoritmi che operano come "scatole chiuse": oggi non basta più che il risultato dell'azione di un algoritmo sia quello giusto, bisogna anche che le decisioni prese siano spiegabili e che questa "spiegabilità" sia standardizzata. Anche perché - ed è un altro problema - più le aziende usano le AI più sono sotto esame da parte del pubblico e delle Authority, il che aumenta i rischi reputazionali e di compliance.

Diversi rischi segnalati dal campione IAPP riguardano poi aspetti più tecnici. Come il fatto che non esistono requisiti ufficiali chiari da soddisfare per garantire un uso "corretto" (in senso lato) dell'AI, il che lascia le aziende sempre in uno stato di incertezza. Stato acuito - altro problema - dal fatto che una soluzione di AI oggi coinvolge prodotti, servizi e dati di terze parti sulle quali una azienda non ha granché possibilità di fare valutazioni di compliance.

La gestione dei dati è un punto critico anche per quanto riguarda l'addestramento degli algoritmi: è una fase necessaria, ma un'azienda non ha sempre la certezza che i dati coinvolti siano gestiti in maniera assolutamente corretta in termini di privacy. Infine, man mano che i sistemi di AI diventano una risorsa critica dell'impresa, cresce la necessità di difenderli da cyber attacchi esterni. E quindi di inserirli, con le loro specificità, in una strategia trasversale di cyber security