Guida all'AI Act e alla governance dell'IA con Luisella Giani, Advisory Lead di Avanade

Il recente via libera dell'AI Act rappresenta un momento cruciale per garantire un utilizzo etico e responsabile dell'intelligenza artificiale. È rilevante tanto per le aziende che intendono integrare l'IA nei processi aziendali, quanto per le organizzazioni che, pur non prevedendo investimenti in questa nuova tecnologia, devono gestire l’uso di soluzioni di AI esterne all’azienda da parte del personale e prevenire, quindi, eventuali rischi di violazione della privacy e abuso di dati.

L’AI Act, la normativa e le insidie della democratizzazione della AI

L’attuale fase di democratizzazione della AI rende questa tecnologia sempre più accessibile, ma distoglie l’attenzione da ciò che è lecito fare e cosa no, portando a una sottovalutazione dei rischi. Tra questi, i più rilevanti e insidiosi riguardano l’utilizzo non etico dell’AI, la violazione della privacy e dei diritti umani e l’impatto sulla sicurezza e sulla fiducia dei consumatori.

L’AI Act si inserisce in questo contesto e rappresenta il primo testo di legge al mondo sull’intelligenza artificiale. Ha ricevuto l’approvazione dei Paesi dell’UE lo scorso 2 febbraio, è stato votato definitivamente dal Parlamento Europeo il 13 marzo e diventerà legge a maggio, con applicazione graduale. Tra i suoi punti salienti, l’AI Act propone regole per classificare e valutare i sistemi di IA ad alto rischio, insieme a misure volte a garantire trasparenza, tracciabilità e responsabilità.

La rapida evoluzione dell’AI e della relativa normativa rende, però, difficile per le imprese e gli individui rimanere aggiornati e conformi. Analizziamo le linee guida dell’AI Act e le possibili azioni da intraprende, con l’aiuto di Luisella Giani, ICEG Advisory Lead di Avanade.

Catena di responsabilità e differenti livelli di rischio

La catena di responsabilità definisce i diversi attori coinvolti nel ciclo di vita di un sistema di intelligenza artificiale e stabilisce le responsabilità e gli obblighi in termini di progettazione, sviluppo, implementazione e monitoraggio dell'IA.

“La regolamentazione tiene conto della responsabilità dei soggetti coinvolti lungo tutta la catena del valore: non solo di chi fornisce la tecnologia, ma anche di chi la implementa, la distribuisce, la utilizza”, commenta Luisella. “ Se un'azienda utilizza un chatbot che, secondo le direttive dell’EU AI Act è un’applicazione a basso rischio, è comunque tenuta a dichiarare che l'utente sta interagendo con un agente virtuale. Solitamente i chatbot sono il risultato di un insieme di tecniche di IA, algoritmi tradizionali e generativi (ad esempio basati su OpenAI) questi ultimi molto accurati nel classificare correttamente la richiesta e per rispondere in linguaggio naturale. Recentemente è emerso un caso in cui un chatbot, rilasciato da una compagnia aerea, ha fornito ad un passeggero delle informazioni scorrette riguardo a una policy. La compagnia è stata ritenuta legalmente responsabile per le informazioni errate condivise dal chatbot ed è stata multata. Se analizziamo il caso da un punto di vista tecnologico l’errore è stato considerare un Large Language Model (come OpenAI) alla stregua di un database e soprattutto non utilizzare tecniche di RAG (Retrieval Augmented Generation) per prevenire fenomeni di "allucinazioni". Un approccio più sofisticato, come l'impiego di tecniche di RAG, avrebbe potuto migliorare la precisione del chatbot, riducendo il rischio di fornire informazioni errate.
L’AI Act considera, inoltre, essenziale la classificazione dei sistemi di AI in base al livello di rischio che il loro uso comporta.
“Prescindendo da pratiche IA considerate proibite ed evitate dalla stragrande maggioranza delle imprese - come l’identificazione biometrica in tempo reale in spazi pubblici o che utilizzi dati sensibili, o il rilevamento dello stato emotivo per applicazioni lavorative o educative*- vi sono sistemi IA classificati ad alto rischio perché potenzialmente discriminatori. È il caso di soluzioni per la valutazione della solvibilità creditizia, che però possono essere consentiti, se si dimostra che vengono utilizzati per individuare frodi finanziarie”.
“Per quanto riguarda i casi d’uso considerati ad alto rischio – ad esempio algoritmi utilizzati per la selezione di curricula in fase di selezione del personale o per la definizione dei prezzi per assicurazioni salute o vita o algoritmi utilizzati per selezionare studenti che possono avere o meno accesso a corsi di studio - il regolamento dell’AI Act richiede di analizzare l’impatto su quelli che sono considerati i diritti umani fondamentali, spiegare come è stato eseguito il training del modello, sia ex ante, sia ex post e di produrre una verifica di conformità che include tra l’altro, una governance dei dati, analisi della loro qualità, documentazione tecnica, la supervisione di un umano”, conclude Luisella.

Esplora i casi d’uso presentati da Avanade e Microsoft nella serie di webinar sull’IA generativa:

Future of work: l’intelligenza artificiale per la gestione delle persone e lo sviluppo professionale GUARDA IL WEBCAST

Reimagine Netnograpfy with AI. Rivoluziona l’analisi di opinioni e conversazioni online e migliora prodotti e servizi GUARDA IL WEBCAST

Valutare la maturità dell’AI e indicare la strada futura

Per garantire la conformità alle linee guida dell'AI Act, oltre che per integrare con successo questa nuova tecnologia in azienda, è essenziale affidarsi a professionisti che abbiamo una comprensione dettagliata della normativa, know-how tecnologico, visione strategica e una competenza specifica delle esigenze e peculiarità di ciascun settore. Solo in questo modo sarà possibile progettare e implementare soluzioni di intelligenza artificiale su misura, in linea con gli obiettivi aziendali e le normative vigenti.

Luisella dettaglia così il valore distintivo della metodologia consulenziale di Avanade: “Dopo un primo assessment, teso a valutare la situazione attuale dell’azienda e il livello di maturità nell’adozione della AI, Avanade avvia una seconda fase di supporto volta a fornire linee guida che, caso per caso, identificano quali aspetti in una data applicazione sono corretti, cosa va rivisto, qual è il livello di rischio specifico e quale documentazione va prodotta per dimostrare la trasparenza e la consapevolezza dell’azienda nella gestione dei dati.” Trasversalmente a questa analisi, “Avanade consiglia di programmare il futuro, per evitare di arrivare a lanciare sul mercato un algoritmo che poi si rivela non conforme alla normativa. Si tratta quindi di una valutazione abbastanza complessa, che non si limita agli aspetti normativi, ma spazia su quelli tecnologici e organizzativi”.

Va in effetti svolto un grosso lavoro di riorganizzazione del modello di governance. “In questo tipo di trasformazione deve essere coinvolta e responsabilizzata non soltanto l’organizzazione IT, ma anche le differenti funzioni aziendali chiamate a usare sistemi di AI. Serve attuare strategie di gestione del cambiamento, con attività di training indirizzate a far evolvere la mentalità del board aziendale e dei dipendenti, a formare competenze, a creare una nuova organizzazione. Proprio per questo, una parte del nostro team di Advisory si occupa specificamente di Organization & Change Management”, Luisella continua spiegando che: “Noi di Avanade possiamo aiutare le aziende a definire qual è per loro il miglior modello di governance, spesso non facile da identificare, in quanto ciascuna impresa ha una propria struttura organizzativa preesistente. A prescindere dalla soluzione adottata, è poi fondamentale accertarsi che il nuovo modello di governance risulti allineato con gli obiettivi aziendali”.

Il ruolo di consulenza e guida di Avanade ha l’obiettivo di trasformare le aziende in organizzazioni AI-first, dando loro una chiara visione di dove investire, di entrare il prima possibile in questo mercato e conquistare un vantaggio competitivo. Con tale obiettivo, l’azienda ha lanciato l’iniziativa AI L.A.B. by Avanade con Microsoft, un programma personalizzato che si propone di esplorare le opportunità dell’AI e di sviluppare con le organizzazioni partecipanti progetti innovativi.

Vocazione specifica sull’intelligenza artificiale generativa

La competenza consulenziale specializzata di Avanade, come accennato, risponde all’esigenza delle imprese di affrontare il percorso di adozione della AI applicando un approccio interfunzionale, e attingendo a competenze approfondite sulla IA e sulla IA generativa. “Grazie al rapporto con Microsoft, abbiamo lavorato all’IA generativa ancor prima che diventasse di pubblico dominio. Questo ci ha consentito di accumulare profonde conoscenze, sia sui casi d’uso implementabili, sia sulle linee guida per il futuro, aiutando le imprese a formare e riqualificare i propri team sul fronte tecnologico, organizzativo e normativo. Stiamo già lavorando in Italia e a livello globale su moltissimi progetti, con ottimi risultati. Un esempio è l’agenzia di ricerca e selezione del personale PageGroup, con sede nel Regno Unito che, adottando una piattaforma utilizzata da Avanade, basata sulla tecnologia di Azure OpenAI, sta eseguendo uno specifico training sui dati aziendali disponibili, relativi a tipologie di candidati, descrizioni requisiti e branding aziendale. L’azienda è riuscita a ridurre i tempi di redazione delle job description da venti a cinque minuti, aumentando del 5% il tasso di risposta dei candidati raggiungibili”.