L’intelligenza artificiale generativa è ormai usata da molti dipendenti aziendali, spesso senza il permesso del management. È il fenomeno detto “Shadow AI” che può esporre le organizzazioni a rischi legali significativi, alla luce delle normative sulla privacy e sull’IA (AI Act). Di questo e tanto altro ho discusso con Ernesto Belisario, avvocato esperto di diritto delle nuove tecnologie, nel mio video podcast “Vincos Talks“.
In particolare qui riassumo le tre raccomandazioni di Ernesto in merito all’approccio che dovrebbero avere le aziende che vogliono adottare soluzioni di IA in maniera sicura.
Governance: chi decide e come?
Il primo passo, spesso trascurato, è definire una chiara governance. È essenziale stabilire chi in azienda ha la competenza e la responsabilità di decidere quali strumenti di IA possono essere utilizzati e con quali modalità. Questa non è una decisione che può essere lasciata solo al reparto IT, ma richiede un approccio multidisciplinare che coinvolga anche l’ufficio legale e i responsabili della sicurezza.
Le aziende devono dotarsi di una “AI Policy”, un regolamento interno che definisca chiaramente:
- Strumenti approvati: quali piattaforme sono permesse.
- Usi consentiti: per quali scopi professionali l’IA può essere impiegata.
- Limiti e divieti: quali dati non devono mai essere inseriti (es. dati di clienti, informazioni aziendali sensibili).
L’utilizzo di account personali e licenze gratuite, ad esempio, può comportare la cessione involontaria di dati sensibili per l’addestramento dei modelli, con conseguenti rischi di violazione della privacy e della confidenzialità.
Formazione obbligatoria: la consapevolezza è la prima difesa
Con l’entrata in vigore dell’AI Act europeo, la formazione sull’intelligenza artificiale (la cosiddetta AI Literacy) è diventata di fatto un obbligo. Ogni dipendente deve essere formato non solo sulle potenzialità, ma soprattutto sui rischi connessi all’uso di questi strumenti.
La formazione deve essere personalizzata in base ai ruoli aziendali. Un addetto alla selezione del personale che usa l’IA per analizzare i curriculum, ad esempio, deve essere consapevole dei potenziali bias discriminatori degli algoritmi. Un marketer deve sapere quando può usare dei testi e delle immagini generate con l’aiuto di software di IA.
Scelta dei fornitori e contratti
Il terzo pilastro è la gestione dei fornitori. La scelta di uno strumento di IA non può basarsi unicamente sul costo o sull’hype del momento. È fondamentale analizzare attentamente i termini di servizio per comprendere aspetti chiave come:
- Proprietà dei contenuti: chi è il titolare dell’output generato? Molte piattaforme, come OpenAI, attribuiscono la titolarità all’utente ma impongono obblighi di trasparenza, richiedendo di specificare che il contenuto è stato creato con l’IA.
- Riservatezza e trattamento dei dati: dove vengono conservati i dati (data residency) e come vengono utilizzati?
- Usi consigliati e sconsigliati: spesso le piattaforme specificano in quali ambiti i loro modelli non sono affidabili (es. in campo medico). Ignorare queste indicazioni significa assumersi la piena responsabilità di eventuali errori.
In conclusione, l’adozione dell’intelligenza artificiale non può essere un processo disordinato e lasciato all’iniziativa individuale. Per trasformare l’IA in un reale vantaggio competitivo e non in un boomerang, le aziende devono investire in regole chiare, formazione continua e un’attenta valutazione tecnologica e contrattuale.
Post simili:
Come funziona ChatGPT? Conversazione con Vittorio Di Tomaso
IA aperta o chiusa? Conversazione con Piero Savastano
Cosa prevede l’IA Act: conversazione con Vincenzo Tiani
Diritti d’uso delle opere fatte con l’intelligenza artificiale: conversazione con Simone Aliprandi
L’impatto dell’IA sull’economia: conversazione con Stefano Da Empoli