L’IA genera grandi opportunità per le imprese, ma allo stesso tempo anche dei rischi. Nell’intervista, Anne-Sophie Morand, avvocatessa e Data Governance Counsel di Swisscom, spiega perché in questi casi sia proprio la governance dell’IA a venire in aiuto alle imprese e ad accrescere la fiducia della loro clientela.
Nel suo quotidiano privato, utilizza i servizi GenAI e, se sì, perché?
Sì, nel mio privato utilizzo i servizi GenAI come ChatGPT, DeepL e DALL-E. ChatGPT lo apprezzo come strumento di brainstorming e per generare nuove idee. Utilizzo regolarmente DeepL per rapide traduzioni in diverse lingue o per controllare i testi che ho scritto io stessa in lingua straniera. E con DALL-E di recente ho generato un’immagine che si adatta perfettamente al mio sito web www.ki-recht.ch. Nel complesso, questi servizi GenAI contribuiscono a rendere più efficiente la mia quotidianità nel privato e a potenziare i processi creativi.
A cosa dobbiamo prestare attenzione quando utilizziamo nel privato questi servizi GenAI?
Quando si utilizzano i servizi GenAI per scopi privati, è importante essere consapevoli delle potenzialità, ma anche dei limiti di questi strumenti. Anche se questi servizi possono fornire risultati impressionanti, non ci si deve fidare ciecamente dei contenuti che generano automaticamente. È consigliabile controllare sempre i risultati, poiché non sempre sono privi di errori e talvolta forniscono informazioni errate o inadeguate.
Scopra con Swisscom il mondo Copilot per M365
Offriamo alle imprese un supporto completo per tutti gli aspetti di Copilot per Microsoft 365. Vi accompagniamo durante l’introduzione e lavoriamo con voi per sviluppare scenari di implementazione.
Quando, per scopi privati, utilizzo questi servizi, mi assicuro di proteggere la mia sfera privata e quella di altre persone, evitando un’inutile esposizione di dati. Pertanto, evito consapevolmente di alimentare questi sistemi con informazioni personali e dati sensibili come nomi, indirizzi ecc.
I servizi GenAI che si utilizzano nel privato possono essere impiegati anche nella quotidianità lavorativa?
Dipende dal singolo caso. Da Swisscom, l’utilizzo in azienda di strumenti privati basati sull’IA è disciplinato da una direttiva per l’utilizzo di risorse ICT. Pertanto, prima di utilizzare un determinato servizio , i collaboratori devono sempre assicurarsi che l’azienda disponga della relativa licenza e del diritto di utilizzo dell’output necessari. Ciò vale sia per i software o i servizi per i quali i collaboratori hanno pagato di tasca propria, sia per i software o i servizi gratuiti. Non si può quindi semplicemente utilizzare un tool che si usa nel privato per il lavoro, ma si dovrebbe prima verificare se è consentito un impiego aziendale dello stesso e quale tipo di dati è consentito immettere nel tool. In ogni caso, dovrebbero essere privilegiati gli strumenti interni già disponibili, come ad esempio SwisscomGPT.
Oltre all’utilizzo per scopi privati dei servizi GenAI, dobbiamo discutere soprattutto dei rischi che insorgono quando i collaboratori e le aziende utilizzano l’IA arricchendola di dati sensibili. Quali sono i pericoli che si nascondono dietro ai sistemi di intelligenza artificiale?
In primo luogo, l’impiego di sistemi di intelligenza artificiale può comportare un rischio di compliance. La protezione dei dati rappresenta una sfida da prendere sul serio, poiché i sistemi di intelligenza artificiale elaborano spesso grandi quantità di dati che possono contenere informazioni personali. I dati immessi nei sistemi di intelligenza artificiale vengono inoltre utilizzati anche per sviluppare ulteriormente il sistema. Confluiscono quindi nel sistema di intelligenza artificiale e diventano parte di esso. In che misura, ad esempio, i clienti interessati possono ancora esercitare il loro diritto alla cancellazione dei dati?
Altri ambiti giuridici da tenere in considerazione sono, tra gli altri, la sicurezza delle informazioni, i diritti dei beni immateriali (ad es. diritto d’autore), i diritti della personalità, i diritti contro la discriminazione, i diritti dei consumatori o anche i diritti in materia di concorrenza. A seconda del caso concreto, l’impiego di sistemi di intelligenza artificiale può violare diverse norme giuridiche e portare a querele e multe. Inoltre, un’azienda che utilizza sistemi di intelligenza artificiale basati su cloud, nonostante da contratto non sia autorizzata a trasferire i dati del proprio cliente ad un cloud, può ritrovarsi a commettere una classica violazione contrattuale nei confronti dei propri clienti.
«La protezione dei dati rappresenta una sfida da prendere sul serio, poiché i sistemi di intelligenza artificiale elaborano spesso grandi quantità di dati che possono contenere informazioni personali.»
Anne-Sophie Morand
In secondo luogo, l’impiego di sistemi di intelligenza artificiale può comportare rischi per la sicurezza. Ad esempio, gli attacchi possono generare output involontari, rivelare informazioni riservate o compromettere la disponibilità del sistema IA.
In terzo luogo, occorre tenere conto dei rischi etici. Spesso i sistemi di intelligenza artificiale possono prendere decisioni che riguardano il cliente stesso. Ad esempio, decidono quale pubblicità mostrare all’utente oppure se concedergli o meno un credito. È risaputo che i sistemi di IA possono, per così dire, fare degli scivoloni, con conseguenti variazioni nella qualità e nell’affidabilità dei risultati. Ciò comporta un ulteriore rischio di perdita di fiducia da parte di clienti, collaboratori e partner e, in ultima analisi, un danno alla reputazione dell’azienda.
Ci sono settori maggiormente esposti a tali rischi?
Le aziende che utilizzano numerosi sistemi di IA, che elaborano grandi quantità di dati e utilizzano dati particolarmente sensibili, sono automaticamente esposte a un rischio più elevato in termini di compliance, reputazione e sicurezza. Basti pensare, ad esempio, al settore sanitario. Tuttavia, un’elevata esposizione al rischio non dipende necessariamente dal settore, poiché ogni azienda può ritrovarsi ad utilizzare i cosiddetti sistemi di IA ad alto rischio. Si tratta di sistemi di intelligenza artificiale che rappresentano un rischio particolarmente elevato per la salute e la sicurezza o per i diritti fondamentali delle persone. Ad esempio, un’azienda nell’HR potrebbe utilizzare un sistema di intelligenza artificiale per pubblicare annunci di lavoro mirati o per analizzare e filtrare le candidature. Secondo il regolamento UE sull’IA, un sistema del genere rientrerebbe nella categoria di rischio «sistema di IA ad alto rischio», per il quale si applicheranno i severi requisiti stabiliti dallo stesso regolamento.
La Data Governance può contribuire a ridurre al minimo questi rischi. È sufficiente una governance dei dati efficace quando si utilizzano i sistemi di intelligenza artificiale?
Una buona governance dei dati in un’azienda copre già gran parte dei rischi, ma in genere non tutti. La varietà di rischi legata ai sistemi di intelligenza artificiale richiede, oltre a una governance dei dati efficace, anche una governance dell’IA con misure complete e specifiche.
Come ha già accennato, oltre alla protezione dei dati, i sistemi di intelligenza artificiale sollevano questioni in ambito etico, così come in relazione ai diritti d’autore, ai diritti fondamentali e alla cibersicurezza. Come si presenta la Governance dell’IA di Swisscom? Quali sono le aziende che più hanno bisogno di una governance dell’IA completa?
La governance dell’intelligenza artificiale definisce un sistema completo di regole, misure organizzative, processi, controlli e strumenti a supporto di un’azienda, che garantiscono uno sviluppo e un utilizzo affidabile, responsabile, etico ed efficiente di sistemi di intelligenza artificiale e di General Purpose AI Models (GPAI Models). In Swisscom, dalla fine dello scorso anno, sotto la guida esperta dell’unità organizzativa Data Governance, abbiamo lavorato all’interno di un team eterogeneo, composto da diverse unità operative, a un AI Governance Framework. Dall’inizio di aprile disponiamo di una soluzione ad interim in materia di governance dell’IA ed entro settembre lavoreremo all’implementazione di una soluzione completa basata sul rischio.
A mio avviso, ogni azienda che utilizzi o sviluppi sistemi di intelligenza artificiale o che sviluppi modelli GPAI dovrebbe disporre in futuro di una governance dell’intelligenza artificiale a livello aziendale, non solo per prevenire potenziali danni d’immagine, ma anche per rispettare le normative esistenti e future. La tecnologia basata sull’IA si evolve rapidamente, motivo per cui è ancora più importante stare al passo con i tempi e garantire che queste nuove tecnologie vengano utilizzate e sviluppate in modo responsabile.
Dal 2021 l’UE sta lavorando a un regolamento sull’IA (il cosiddetto «AI Act») che presto entrerà in vigore. In che misura questo regolamento impatterà le aziende svizzere?
L’imminente regolamento sull’IA si applicherà a tutte le imprese con sede nell’UE. L’ordinanza avrà però un effetto anche su tutte le aziende svizzere che offrono o gestiscono sistemi di intelligenza artificiale, anche se la loro sede non è nell’UE. In primo luogo, l’ordinanza sull’IA infatti si applicherà alle aziende svizzere che offrono sul mercato europeo sistemi di intelligenza artificiale. In secondo luogo, invece si applicherà ai fornitori e ai gestori di sistemi di intelligenza artificiale, se i risultati prodotti dai loro sistemi di IA vengono utilizzati all’interno dell’UE. Riassumendo, ciò significa che anche le imprese con sede in Svizzera possono essere soggette al regolamento e questo anche se non hanno né la loro sede né una filiale sul territorio dell’UE.
Pertanto, a mio avviso, in Svizzera potrebbe verificarsi il cosiddetto effetto Bruxelles anche relativamente all’ordinanza sull’IA. Questo perché molti fornitori di sistemi basati sull’intelligenza artificiale svizzeri svilupperanno i propri prodotti non solo per la Svizzera, ma per entrambi i mercati. E a per fare ciò, ovviamente, dovranno attenersi alle severe norme europee. Possiamo quindi presumere che l’ordinanza sull’IA avrà un grosso impatto sulla Svizzera.
Che ruolo gioca il regolamento UE sull’IA in aziende che desiderano sviluppare una buona governance dell’IA?
Le imprese operanti a livello internazionale dovranno probabilmente conformarsi alle norme internazionali e ai requisiti normativi dell’UE, in particolare se esportano sistemi di intelligenza artificiale. L’effetto Bruxelles appena menzionato, non potrà che rendere ancora più tangibile tale impatto. Ne consegue che l’ordinanza sull’IA sia un fattore importante nella creazione di una governance dell’IA completa e di carattere internazionale.
Crede che la governance dell’IA rappresenti un freno all’innovazione e all’efficienza dell’IA generativa?
No, al contrario. Una governance dell’IA efficace con regole chiare e comprensibili aiuta un’azienda a sviluppare e utilizzare sistemi basati sull’intelligenza artificiale affidabili. La governance dell’AI non riguarda quindi solo l’osservanza di disposizioni giuridiche specifiche in materia di IA, ma anche il rispetto di standard etici e aspettative della società. Questa non solo protegge la stabilità a lungo termine dell’azienda, ma ne rafforza anche la reputazione. Una governance dell’AI efficace rappresenta inoltre un mezzo a dimostrazione dell’impegno di un’azienda affinché l’IA venga utilizzata e sviluppata in modo responsabile, contribuendo così a rafforzare la fiducia di clienti e partner. Il vantaggio in termini di competitività che ne deriva è strettamente legato al rafforzamento della fiducia. Grazie a una governance dell’AI ben congegnata, le aziende possono posizionarsi meglio sul mercato e beneficiare a lungo termine dei vantaggi derivanti dall’impiego e dallo sviluppo di sistemi IA e modelli GPAI. La definizione di regole chiare consente loro di differenziarsi all’interno di un mercato dinamico e ottenere un vantaggio competitivo duraturo nel tempo.
Scopra con Swisscom il mondo Copilot per M365
Offriamo alle imprese un supporto completo per tutti gli aspetti di Copilot per Microsoft 365. Vi accompagniamo durante l’introduzione e lavoriamo con voi per sviluppare scenari di implementazione.
Chi è Anne-Sophie Morand
Dott. iur., Avvocato, LL.M., Data Governance Counsel, Swisscom
Anne-Sophie Morand è avvocato e lavora in qualità di Data Governance Counsel presso Swisscom. È considerata esperta legale in tematiche digitali come la protezione dei dati e l’intelligenza artificiale. Tiene lezioni su questi temi all’Università di Lucerna e alla Scuola universitaria professionale di Lucerna, è autrice di diverse pubblicazioni specialistiche e moderatrice di eventi. Morand ha studiato giurisprudenza all’Università di Lucerna e all’Università di Neuchâtel. Dopo la laurea ha svolto attività di ricerca presso l’Università di Lucerna e ha redatto una tesi di dottorato nell’ambito dei diritti della personalità e della sponsorizzazione sportiva, che ha ricevuto il premio svizzero in materia di diritto dello sport. Morand ha poi conseguito un LLM in diritto informatico presso l’Università di Edimburgo. Tra le sue esperienze professionali, anche quella per il Parlamento svizzero, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) e per lo studio legale Walder Wyss, specializzato in diritto economico.