ForHUmanity Italy incontra Katia Bonacina

Buongiorno a tutti, eccoci a questo nuovo appuntamento di For Humanity, chapter italiano

For Humanity Italy che ha un progetto che coinvolge praticamente alcuni esperti sui

temi più importanti attuali che sono quelli dell'intelligenza artificiale, dell'etica,

data protection e un po' questi aspetti diciamo di rilievo. Il progetto si chiama

conversazioni su AI etiche standard, trovate informazioni sul sito istituzionale che è

forhumanity.center.it e oggi abbiamo con noi ospite Katia Bonecina che ringrazio per la

sua partecipazione alla quale chiedo, cedo la parola e chiedo preventivamente di fare

quella che si chiama la self introduction, così sappiamo anche qualcosina in più su Katia. Grazie

Katia per essere qui con noi, a te la parola. Buongiorno Nicola, grazie per avermi invitato.

Io sono recentemente laureata in linguistic computing e ormai da praticamente un anno

faccio parte di For Humanity, quindi do il mio contributo a questo grande progetto. Adesso mi

occupo di event management nell'ambito delle lingue, quindi diciamo è un po' distaccato,

però comunque vedo come il mercato è cambiato grazie all'intelligenza artificiale o per colpa

dell'intelligenza artificiale diciamo. Benissimo, allora io inizierei a porti

delle domande, così avviamo una conversazione su questi temi e quindi procederei da questo

aspetto, diciamo l'AIACT parla di gestione del rischio come processo continuo e non come

adempimento una tantum, secondo te per un'azienda che cosa significa tutto questo? Direi che per

un'azienda questo deve significare un cambiare un pochino la mentalità, secondo me, perché fino

ad oggi diciamo che molte aziende hanno visto la compliance o comunque l'audit come un singolo

momento di verifica, quindi si preparano i documenti, ci si sottopone alla valutazione,

si ottiene la certificazione e si passa oltre diciamo. L'AIACT invece obbliga a cambiare

questo schema rendendo la compliance appunto un processo continuo e integrato nella struttura

dell'azienda. Se vogliamo guardare effettivamente l'intelligenza artificiale in generale, il mercato

dell'intelligenza artificiale non è statico, il rischio stesso dell'intelligenza artificiale non

è statico perché i dati cambiano, i modelli evolvono, possiamo vedere l'esempio di CGPT

che è quello più diciamo lampante, siamo già al modello 5 da quando è stato rilasciato e quindi

dentro un'azienda non cambiano soltanto i dati, i modelli, ma anche i contesti di uso, quindi

dell'intelligenza artificiale vengono trasformati, quindi un sistema che oggi può essere conforme

domani potrebbe non esserlo più. Quindi dal punto di vista dell'azienda questo significa che la

governance dell'intelligenza artificiale deve accompagnare il sistema lungo tutto il suo ciclo

di vita, non basta quindi dimostrare che un modello funzioni correttamente al momento del rilascio ma

bisogna monitorarlo anche successivamente, quindi verificare periodicamente le prestazioni e

rivalutare il rischio ogni volta che cambia la logica o comunque la finalità del sistema,

quindi l'AI Act chiede all'organizzazione di diventare in modo strutturale capaci di

governare l'intelligenza artificiale. Diciamo che questo approccio comunque non nasce nel vuoto

perché è una prosecuzione diretta della logica del GDPR che ha introdotto l'idea di una responsabilità

continua, di una valutazione preventiva e di un aggiornamento costante comunque del rischio.

Andando a vedere gli schemi ad esempio di 4Humanity si vede che questa ciclicità della compliance è

tradotta in requisiti verificabili, quindi una scadenza di 12 mesi per l'audit e dei meccanismi

di controllo che scattano quando il rischio supera determinate soglie predefinite.

Bene, grazie per queste precisazioni. Io mi collegherei a questi aspetti

che hai evidenziato, quindi se dovessimo sintetizzare quali sono i primi passi,

diciamo chiamemoli realistici, che un'organizzazione può fare per avvicinarsi ad una governance dell'AI

credibile cioè senza partire ovviamente da zero secondo te? Diciamo che il primo passo non è

lo definirei cognitivo nel senso capire dove l'intelligenza artificiale è già presente

nell'organizzazione e come viene usata soprattutto, perché potrebbe succedere che un'azienda scopre

solo diciamo in sede di audit di utilizzare sistemi di intelligenza artificiale in modo diffuso e

spesso magari non coordinato, quindi il percorso dovrebbe iniziare secondo me con una mappatura

di questi sistemi, quindi quali sistemi di intelligenza artificiale esistono, chi li

utilizza, con quali dati e come vengono utilizzati questi sistemi di intelligenza artificiale. Quindi

non è solo un inventario tecnico cioè non è una mappatura solo a livello tecnico ma è anche una

mappatura di responsabilità perché diciamo che si va a controllare chi è, usando le parole delle

IACT e anche del GDPR, chi è accountable per il sistema, chi ne controlla gli aggiornamenti e

chi ovviamente risponde poi agli impatti o alle possibili problematiche. Il secondo passo dopo

questa diciamo mappatura sarà quindi dare una scala di priorità ai livelli di rischio, quindi

non tutti i sistemi hanno lo stesso impatto ovviamente, alcuni incidono sui diritti

fondamentali altri su processi interni quindi bisogna classificare questi sistemi in base

appunto al rischio. Il terzo passo ovviamente si parla di un'integrazione negli schemi che già

sono presenti nell'azienda in modo da non stravolgere diciamo la struttura dell'azienda,

quindi la governance dell'intelligenza artificiale non nasce dal nulla ma si dovrebbe innestare in

strutture già operative, quindi in fondo diciamo che la logica non è avere un sistema perfetto ma

è rendere visibile e governabile ciò che prima magari era implicito e comunque frammentato,

ovviamente se c'è una responsabilità frammentata questo è un grande rischio, si arriva magari a

puntare il dito quando ci sono dei problemi. Un punto importante secondo me sarebbe includere

in questi passaggi un esperto in materia, quindi qualcuno che è stato formato magari sia sulla

compliance che sull'intelligenza artificiale in modo da poter far dialogare e comunicare i vari

team già presenti nell'azienda che magari invece sono specializzati solo su una delle due cose.

Bene, osservazioni assolutamente condivisibili, passerei ad un'altra questione che è una

questione che non è legata soltanto all'EIACT, all'EI ma è una questione di carattere generale

cioè spesso la compliance è vista come un costo, secondo te in che modo la governance dell'EI può

diventare un asset strategico e non soltanto un obbligo normativo? L'ecezione della compliance

come costo è comprensibile però bisogna fare un cambio di prospettiva, oggi l'intelligenza

artificiale è un market di competizione, è una competizione comunque globale, c'è l'Europa che

punta su un modello di intelligenza artificiale responsabile, trasparente, i vari aggettivi che

abbiamo già sentito sicuramente, mentre gli Stati Uniti puntano sulla velocità e sulla scalabilità

dei sistemi, in questo contesto quindi la governance dell'EI diventa un fattore di posizionamento,

un'azienda che è in grado di dimostrare che la sua intelligenza artificiale è governabile in

modo trasparente soprattutto, non sta soltanto evitando delle sanzioni o comunque rispettando

la legge, sta costruendo anche fiducia in quelli che sono i cosiddetti user, quindi chi utilizza

e si incontra con questo sistema di intelligenza artificiale, quindi l'audit dell'intelligenza

artificiale può benissimo essere usato come un asset strategico, permette quindi alle organizzazioni

di muoversi più velocemente sul mercato perché se i rischi sono mappati le responsabilità saranno

anche chiari e le decisioni saranno anche tracciabili, quindi rendono qualsiasi progetto

di ricambiamento più semplice da mettere in atto, quindi la governance se attuata bene non rallenta

l'innovazione che è la grande paura di tutti, è una delle obiezioni più diffuse

alle AI Act e alle varie regolazioni, ma invece la rende scalabile, quindi un sistema che può essere

sottoposto a un audit può essere anche adattato a nuovi mercati e presentato a nuovi stakeholder

senza dover ogni volta ricominciare da zero. Certo, questo andrebbe poi spiegato alle

organizzazioni in maniera più dettagliata per fargli capire che effettivamente non è

così, ma io ti domando ma in questo scenario che ruolo possono avere audit indipendenti e certificazioni

e se mi posso permettere aggiungerei anche qual è la tua valutazione degli schemi di

4Humanity, cioè come 4Humanity può integrarsi in questo sistema?

Non so se sono stato chiaro, forse troppo ampio, quindi parliamo di audit indipendenti

e certificazioni e se puoi fare un link con 4Humanity, questa è la sintesi della mia domanda.

Se guardiamo la storia dell'economia vediamo che ogni mercato maturo ha sviluppato dei

meccanismi di audit e certificazione, possiamo vederlo benissimo, nella finanza da cui comunque

4Humanity prende esempio, l'intelligenza artificiale adesso sta entrando nella stessa fase, quindi

dal punto di vista degli schemi di 4Humanity l'audit non è solo un controllo tecnico,

ma è una valutazione socio-tecnica, questo è molto sottolineato dagli schemi di 4Humanity,

perché non si comprende sia il modello, sia i dati che vengono utilizzati, sia anche

l'organizzazione stessa con i processi decisionali all'interno dell'organizzazione,

quindi le certificazioni di 4Humanity che comunque sono decisamente ben strutturate e

io l'ho definita in precedenza nella mia tesi come una compliance step by step, una specie di

checklist che una volta che si passa nello schema di 4Humanity si vedono ogni punto e questo è

fatto, questo non è fatto, cosa va migliorato, cosa non va migliorato, quindi non servono solo

a dimostrare conformità alle autorità, ma anche a costruire un ecosistema della fiducia sia interno

sia verso comunque l'esterno, perché rappresentano una garanzia per gli utenti.

Gli schemi quindi di 4Humanity diciamo che diventano una garanzia di reputazione,

perché una volta che il sistema viene determinato compliant, a questo punto anche gli utenti si

affideranno agli auditors e agli schemi di 4Humanity e daranno fiducia appunto a questo sistema.

Benissimo, allora penso che siamo arrivati al termine della nostra chiacchierata,

io ti ringrazio, quindi concludiamo ribadendo l'appuntamento ad altri incontri nell'ambito

del progetto conversazioni su AI etiche standard di 4Humanity Italy, chapter italiano di 4Humanity,

ringrazio Katia Bonecina per questo suo intervento di oggi e vi do appuntamento

ai prossimi incontri con gli altri esperti. Grazie ancora e buon lavoro, grazie Katia.

Grazie Nicola.