Come è accaduto per molte norme UE che impattano sulla gestione dell'IT aziendale, anche l'AI Act sta attraversando una fase iniziale di sostanziale sottovalutazione da parte delle imprese. È il segnale che manda Gartner, sottolineando in particolare come a preoccuparsi dell'AI Act oggi siano - giustamente - le imprese che stanno lavorando direttamente con le tecnologie di Intelligenza Artificiale. Chi non sta lavorando in questo campo invece non pensa affatto, o quasi, all'AI Act. E fa un grosso sbaglio, secondo gli analisti.

"Molte organizzazioni pensano che, poiché non stanno realizzando in-house strumenti e servizi di AI, non hanno problemi. Quello che non capiscono è che quasi tutte le organizzazioni sono toccate dall'AI Act, perché sono responsabili non solo delle funzioni di IA che realizzano ma anche di quelle che hanno già acquistato", ha spiegato Nader Henein, VP Analyst di Gartner.

Siccome è impossibile gestire la compliance di quello che nemmeno si sa di avere, il primo passo che Gartner consiglia alle imprese è avviare un programma di governance interna dell'AI, con una analisi precisa delle funzioni e delle componenti di AI che si hanno in azienda, in ottica di risk assessment.

Il problema è che molte di queste funzioni e componenti sono nascoste all'interno dei tool e delle piattaforme che un'azienda usa quotidianamente. Queste AI vanno invece esplicitate e il loro uso va analizzato, per capire in quale delle varie categorie di rischio delineate dall'AI Act si possono collocare. Da qui derivano poi precisi vincoli al loro utilizzo in futuro, man mano che l'AI Act entra in vigore.

Quattro profili di implementazione

Secondo Gartner, gli strumenti e le funzioni di AI che un'azienda può trovarsi ad usare ricadono in quattro diversi profili di implementazione. Questi vanno analizzati in maniera mirata, perché le possibili strategie di mitigazione del rischio variano a seconda del tipo di implementazione.

La categoria forse più "indisciplinata" di implementazione è quella definita di "AI in-the-wild": sono gli strumenti liberamente disponibili al pubblico, come ChatGPT. Per capire quali sono usati in azienda occorre in primis coinvolgere i dipendenti, che devono comunicare di cosa eventualmente si stanno servendo e perché. I team IT possono poi scoprirne eventuali altri osservando il traffico Internet da e verso l'azienda.

La maggior parte delle funzioni di AI usate in azienda appartiene di solito alla categoria definita di "embedded AI". Sono le funzioni che le software house hanno man mano implementato nelle loro applicazioni e piattaforme, on-premise e in SaaS. "Per buona parte dell'ultimo decennio i service provider hanno integrato le loro offerte con funzionalità di AI, molte delle quali sono completamente invisibili alle imprese, come i modelli di machine learning che alimentano i motori di rilevamento dello spam o del malware", spiega Henein.

Rilevare e catalogare tutte queste funzioni non è banale. Bisogna ampliare le iniziative di risk management relative alla terze parti e coinvolgere esplicitamente i propri fornitori software, chiedendo loro quali funzioni di AI hanno inserito nei propri prodotti ed a che scopo.

Un'azienda ha invece piena visibilità sulle componenti che Gartner definisce di "AI in-house". Sono quelle sviluppate direttamente e per le quali l'azienda ha il pieno controllo dei modelli, del loro addestramento e dei dati coinvolti. Catalogare queste componenti di AI non dovrebbe essere un problema.

Le cose si fanno invece più complesse per le funzioni della cosiddetta "hybrid AI": funzioni sviluppate ancora in-house e che elaborano sì dati interni, ma usando uno o più modelli pre-addestrati disponibili sul mercato. Per valutare i profili di rischio di queste AI ibride occorre coinvolgere i service provider e le software house che forniscono questi modelli, il che rientra ancora nel campo del risk management relativo alle terze parti.