Società

Intelligenza artificiale, gli strumenti per mitigare i rischi dell’impiego di sistemi AI in azienda

Come mitigare i rischi con l’adozione di una policy integrata con gli strumenti di conformità e regolamentazione interna, quali il Codice Etico, il Modello Organizzativo e le misure previste dal GDPR

Il Parlamento europeo ha recentemente adottato il Regolamento AI Act, un passaggio significativo per disciplinare l’uso dell’intelligenza artificiale (AI) nell’Unione Europea.

Questo atto mira a mitigare i rischi e gli impatti negativi derivanti dall’impiego non regolamentato dell’AI, stabilendo norme armonizzate per garantire un ambiente sicuro e rispettoso dei diritti fondamentali.

Le imprese sono ora chiamate ad affrontare sfide evolutive, introducendo nuovi modelli lavorativi e garantendo una formazione approfondita ai dipendenti sull’utilizzo degli AI tools. La complessa implementazione di questo processo organizzativo risulta cruciale per garantire un utilizzo etico ed efficace degli strumenti di intelligenza artificiale, mitigando i rischi e favorendo un approccio innovativo e responsabile nell’ambito dell’attività lavorativa.

Un’altra necessità conseguente sarà quella di accordare sinergicamente le policy in materia di AI con gli altri strumenti di conformità e regolamentazione interna, quali il Codice Etico e il Modello Organizzativo ex D.lgs. 231/2001, e con le misure organizzative previste dal GDPR. 

Il nuovo quadro legislativo europeo in materia di AI pone al centro la tutela dei diritti e delle libertà fondamentali delle persone, fornendo una regolamentazione fondata sui principi della responsabilizzazione e dell’autovalutazione.

In questo contesto si inserisce l’esigenza per le imprese di dotarsi di una compliance integrata e di nuove policy per far fronte all’ampio spettro delle problematiche che possono discendere dall’impiego di AI nell’attività aziendale. D’altra parte, tenuto conto della costante evoluzione degli strumenti di AI, tracciare i confini di tale spettro di rischi è senz’altro un’impresa ardua, che non può che muovere da una preliminare indagine finalizzata a verificare, mediante, ad esempio, interviste o survey interni:

 Il grado di consapevolezza dei dipendenti in ordine all’impiego dell’AI

• Se e quali sono gli strumenti di AI che vengono utilizzati all’interno dell’azienda

Le modalità di utilizzo (eventualmente richiedendo l’autorizzazione e caricando dati aziendali, su device personali e/o aziendali)

Alla luce dei risultati di tale indagine si potrà, quindi, procedere ad elaborare un preliminare progetto di impiego dell’AI nella realtà d’impresa di riferimento, individuando gli obiettivi, le risorse, i processi per i quali si intende promuoverne l’utilizzo ed infine gli strumenti disponibili sul mercato o che avranno possibilità di essere sviluppati internamente. 

Una volta delineato un preliminare progetto di impiego dell’AI, potranno essere identificati i rischi operativi, di business e legali derivanti dall’impiego degli strumenti AI, mediante la conduzione, con il supporto di consulenti specializzati, di un risk assessment per ogni strumento di AI di cui si intende promuovere l’impiego.

Alla luce dei risultati del risk assessment potranno essere individuate le misure di mitigazione dei rischi che verranno formalizzate nell’ambito della/delle policy di gestione dell’AI con rinvio a eventuali misure specifiche elaborate in relazione a determinati strumenti di intelligenza artificiale.

Ferma restando l’esigenza che la struttura delle policy sia calibrata in base alla specifica realtà d’impresa di riferimento, vi sono alcuni contenuti fondamentali che, a parere di chi scrive, dovrebbero essere sempre previsti, ossia:

• identificazione delle tipologie di dati che potranno essere trattati attraverso i sistemi di AI;

• principi di comportamento e divieti da rispettare nell’impiego dell’AI (ad esempio la verifica e monitoraggio dati input, verifica esistenza di diritti di terzi sui dati input, verifiche dati output, con riguardo all’eventuale lesione di diritti di terzi/diritti fondamentali ecc...)

• Adeguate informative tra utilizzatori e figure aziendali coinvolte nei processi aziendali sottesi all’impiego dell’AI;

• richiami alle procedure interne in materia ICT e sicurezza informatica (gestione e l’utilizzo delle password, , change management, controllo degli incidenti informatici)

Monitoraggio di utilizzo dell’AI su device aziendali.

Contestualmente sarà necessario procedere all’individuazione di adeguati assetti organizzativi e di governance in relazione ai vari processi sottesi all’impiego dell’AI (processo autorizzativo, assessment interni, monitoraggio, formazione/informazione).

Le policy in materia di impiego di AI dovranno ovviamente coordinarsi con gli altri strumenti di compliance e di regolamentazione interna quali il Codice Etico, il Modello Organizzativo ex D.lgs. 231/2001, le procedure in materia ICT e cybersecurity eventualmente adottate.

A tale necessario coordinamento si affianca, poi, l’aggiornamento delle misure organizzative ai sensi del GDPR e la gestione dei relativi adempimenti a fronte del prospettato impiego di strumenti di IA (es. DPIA ).

Una volta gestiti i profili formali dell’adeguamento dei sistemi di compliance interna, sarà necessario dedicarsi agli aspetti più sostanziali e, in particolare, all’adozione di adeguate iniziative di formazione interna sulle misure di gestione e controllo adottate in relazione all’impiego dell’AI. 

Le azioni organizzative di cui sopra si inseriscono in un percorso virtuoso che, per quanto complesso, è imprescindibile al fine di garantire un utilizzo consapevole e proficuo degli strumenti di AI nell’ambito dell’attività d’impresa, arginandone, al contempo, i numerosi rischi.

_______
*A cura degli Avv.ti Maurizio Bortolotto, Founder Gebbia Bortolotto Penalisti Associati e Carola Boggio Marzet, Salary Partner Gebbia Bortolotto Penalisti Associati

Per saperne di piùRiproduzione riservata ©