Punti chiave da ricordare sull’intelligenza artificiale in ambito aziendale
- L’intelligenza artificiale in ambito aziendale deve essere considerata uno strumento di supporto e non un decisore autonomo. Qualsiasi decisione che coinvolga dati, clienti o questioni normative deve rimanere sotto la supervisione umana.
- La principale fonte di rischio legata all’IA deriva dai dati inseriti dagli utenti. Le aziende devono evitare di condividere informazioni riservate, sensibili o dati personali con strumenti di IA esterni.
- Una governance efficace dell’IA si basa su politiche interne, strumenti approvati, licenze professionali, l’anonimizzazione dei dati e accordi di trattamento conformi al GDPR.
- Le aziende che utilizzano l’intelligenza artificiale devono valutare i propri obblighi normativi, in particolare la realizzazione di una valutazione d’impatto sulla protezione dei dati (AIPD) qualora i trattamenti comportino un rischio elevato per gli interessati.
- La formazione continua dei collaboratori e l’istituzione di un quadro di governance specifico sono fondamentali per ridurre i rischi di fuga di dati, distorsioni, allucinazioni e non conformità legati all’intelligenza artificiale.
L’intelligenza artificiale: un’assistente in azienda
L’intelligenza artificiale non è un decisore, ma un’assistente. Il suo ruolo è quello di potenziare le competenze umane senza sostituirsi ad esse. Le aziende mantengono la responsabilità finale dei risultati, del trattamento dei dati e delle decisioni strategiche. È necessaria una regola d’oro: qualsiasi utilizzo dell’IA deve essere inquadrato da misure di salvaguardia che preservino la supremazia del giudizio umano.
Per implementare l’IA in modo sicuro, raccomandiamo di adottare un approccio strutturato, formalizzato in una politica interna chiara. Ecco gli elementi chiave da definire:
- Lo scopo definito dell’IA all’interno dell’azienda;
- Strumenti di IA consentiti e vietati;
- I compiti e i casi d’uso approvati per il supporto tramite IA;
- Le categorie di dati autorizzate al trattamento tramite IA.
È fondamentale definire l’utilizzo dell’IA all’interno della vostra azienda attraverso l’adozione di politiche interne, piuttosto che lasciarlo alla discrezione dei dipendenti. L’adozione di misure di controllo rigorose e ben ponderate consentirà di evitare rischi legali o di sicurezza.
Gestire i dati raccolti durante l’utilizzo dell’IA in ambito aziendale
La maggior parte dei rischi associati all’IA deriva dalle informazioni fornite dagli utenti. È fondamentale attenersi a un principio fondamentale: un collaboratore non deve mai inserire in uno strumento di IA dati che non sarebbe disposto a rendere pubblici. Ciò riguarda in particolare:
- Le informazioni riservate
- I dati commerciali o riservati
- I dati personali non indispensabili
- I dati sensibili o soggetti a regolamentazione.
Le informazioni trasmesse a un’intelligenza artificiale devono limitarsi allo stretto necessario e, per quanto possibile, essere rese anonime o epurate. Nomi, identificativi e documenti completi devono essere sostituiti da estratti resi anonimi o da descrizioni astratte.
È inoltre necessario prestare particolare attenzione quando si utilizzano strumenti di registrazione o trascrizione delle riunioni basati sull’intelligenza artificiale. Questi strumenti spesso registrano voci, identità, messaggi di chat e documenti condivisi, che costituiscono tutti dati personali. La trasparenza è fondamentale: i partecipanti devono essere informati in anticipo, occorre fornire un promemoria all’inizio della riunione e ogni partecipante deve poter opporsi o ritirarsi liberamente.
Le misure di sicurezza fondamentali per un utilizzo sicuro dell’IA in azienda
L’integrazione sicura dell’IA nelle aziende si basa sull’attuazione rigorosa di misure tecniche e organizzative. Le nostre valutazioni interne hanno individuato i seguenti comportamenti ad alto rischio, che richiedono un intervento immediato di mitigazione in fase di implementazione dell’IA:
- Licenze professionali obbligatorie: i dipendenti non devono utilizzare account o licenze personali di IA per attività lavorative. Gli account personali sfuggono al controllo dell’azienda in materia di sicurezza dei dati, registri di accesso e tracciabilità, e comportano spesso una conservazione indefinita dei dati. Le licenze aziendali consentono un controllo amministrativo centralizzato, parametri di conservazione e cancellazione controllati, nonché una tracciabilità completa.
- Strumenti approvati e accesso controllato: le aziende devono tenere aggiornato un elenco degli strumenti di IA autorizzati e dei casi d’uso consentiti.
- Localizzazione dei dati nell’Unione europea (UE): per le organizzazioni che operano nell’UE, il trattamento e l’archiviazione dei dati all’interno dell’UE costituiscono un fattore chiave per la conformità al GDPR, riducendo in particolare i rischi legati ai trasferimenti internazionali e alla sorveglianza associati all’hosting al di fuori dell’UE. Se uno strumento di IA tratta dati al di fuori dell’UE/SEE, l’azienda deve assicurarsi che siano state messe in atto garanzie adeguate, quali le clausole contrattuali tipo e misure tecniche o organizzative complementari.
- Sistema di IA interno: per i dati più sensibili, proprietari o riservati, è necessario evitare l’uso di strumenti esterni. L’utilizzo di un sistema di IA interno, ospitato su un’infrastruttura gestita dall’azienda, rappresenta il livello ottimale di protezione per la riservatezza e le informazioni strategiche.
- Anonimizzazione ed eliminazione sistematica: prima di inserire qualsiasi dato in uno strumento di IA esterno, i collaboratori devono eliminare tutti gli elementi identificativi, quali i nomi dei clienti o i riferimenti precisi ai progetti, sostituendoli con indicazioni fittizie (ad es.: «Cliente X»).
- Accordi sul trattamento dei dati (DPA): quando un fornitore di IA agisce in qualità di responsabile del trattamento dei dati, è generalmente richiesto un accordo sul trattamento dei dati (DPA). L’accordo chiarisce le istruzioni di trattamento, le misure di sicurezza, i periodi di conservazione, i subappaltatori e i trasferimenti internazionali di dati.
Una governance efficace dell’IA si basa su una combinazione di misure tecniche, contrattuali e organizzative. Queste misure di salvaguardia garantiscono la conformità e affrontano i rischi per la sicurezza, in particolare quelli individuati dalle agenzie di intelligence. Se implementate in modo coerente, consentono alle aziende di beneficiare dell’efficienza e dell’innovazione dell’IA, garantendo al contempo il rispetto delle normative e la salvaguardia della fiducia dei clienti.
L’allarme lanciato dalla DGSI sui pericoli dell’intelligenza artificiale non controllata nelle aziende
La Direzione Generale della Sicurezza Interna (DGSI) ha recentemente messo in luce i principali rischi legati all’uso incontrollato dell’intelligenza artificiale nelle aziende. Secondo l’agenzia, numerose versioni pubbliche, gratuite o standard degli strumenti di IA generativa riutilizzano spesso i dati forniti dagli utenti per addestrare i propri modelli, una pratica che potrebbe esporre informazioni sensibili specifiche delle organizzazioni.
La DGSI sottolinea inoltre le questioni relative alla protezione dei dati sollevate da alcuni strumenti di IA generativa, le cui politiche sulla privacy impongono l’archiviazione dei dati degli utenti su server situati al di fuori dell’UE, spesso senza un consenso esplicito e informato. Per l’agenzia, tali pratiche aumentano i rischi di ingerenza economica, di fuga di dati e di perdita di controllo sulle informazioni strategiche, in particolare quando tali strumenti vengono utilizzati per trattare documenti riservati o valutare partner commerciali.
La DGSI individua diversi rischi concreti derivanti da un utilizzo non regolamentato dell’IA in ambito professionale, tra cui:
- Il riutilizzo dei dati forniti dagli utenti per l’addestramento dei modelli
- L’archiviazione di informazioni sensibili su server situati all’estero senza garanzie sufficienti
- I pregiudizi e le illusioni che influenzano le valutazioni assistite dall’intelligenza artificiale
- Gli atti di ingerenza straniera e di frode che sfruttano i deepfake generati dall’intelligenza artificiale, riproducendo la voce o l’immagine di dirigenti aziendali.
D’altra parte, la DGSI rileva che, nonostante la diffusione capillare degli strumenti di IA, una parte significativa delle imprese europee non dispone ancora né di una politica formale che ne disciplini l’uso, né di chiare linee guida interne. Questa mancanza di governance aggrava notevolmente i rischi di uso improprio, fuga di dati e manipolazione. L’autorità invita pertanto le imprese a definire un quadro strutturato per l’IA, sottolineando la necessità di norme interne precise e di una formazione completa per i collaboratori al fine di limitare tali pericoli.
La formazione e la sensibilizzazione dei collaboratori su un uso responsabile dell’IA
La sensibilizzazione dei dipendenti è fondamentale per prevenire la divulgazione accidentale di dati tramite l’IA. Per rafforzare le difese della vostra azienda e limitare i rischi legati a questi strumenti, raccomandiamo di organizzare regolarmente attività di formazione e sensibilizzazione, in particolare attraverso:
- Una formazione annuale obbligatoria sull’IA e sul GDPR
- Workshop pratici sulle migliori pratiche per l’inserimento dei dati negli strumenti di intelligenza artificiale
- Indicazioni chiare sugli strumenti autorizzati e sui casi d’uso consentiti
- Iniziative di sensibilizzazione sui rischi di parzialità, errori e allucinazioni dell’IA
- Una formazione specifica sull’ottenimento del consenso prima dell’utilizzo di strumenti di intelligenza artificiale per la redazione di appunti o la registrazione di riunioni.
Si consiglia di organizzare sessioni ricorrenti di formazione e sensibilizzazione. Programmi continuativi, quali moduli di aggiornamento, sessioni di inserimento per i nuovi collaboratori, promemoria concisi e guide interne, consentiranno ai vostri team di mantenere pratiche sicure, anche di fronte alla costante evoluzione degli strumenti di IA.
La conformità al GDPR e l’uso dell’IA nelle aziende
Per le imprese con sede nell’Unione europea, il rispetto del GDPR è obbligatorio. Un pilastro fondamentale di tale conformità è la Valutazione d’impatto sulla protezione dei dati (PIA). Questa valutazione dei rischi consente di identificare, valutare e mitigare le minacce che gravano sui diritti e sulle libertà delle persone, derivanti dal trattamento dei loro dati. Offre alle aziende la possibilità di analizzare i tipi di trattamento dei dati prima dell’introduzione di una nuova tecnologia, come l’IA, in ambito professionale.
Ai sensi dell’articolo 35 del GDPR, una valutazione d’impatto sulla protezione dei dati (AIPD) è obbligatoria quando il trattamento è suscettibile di comportare un rischio elevato per le persone fisiche. Omettendo di effettuare una valutazione d’impatto sulla protezione dei dati (AIPD) quando questa è richiesta, le imprese si espongono a violazioni dell’articolo 35 del RGPD, in particolare per quanto riguarda la valutazione dei rischi, i trasferimenti internazionali o il rispetto dei diritti delle persone.
Una politica interna in materia di protezione dei dati (AIPD) relativa all’intelligenza artificiale deve in particolare esaminare la riduzione al minimo dei dati, i periodi di conservazione, i trasferimenti internazionali, la dipendenza dai fornitori e il mantenimento di una supervisione umana.
Un AIPD completo deve includere i seguenti elementi:
Descrizione del trattamento
- Quali dati vengono trattati?
- Qual è lo scopo del trattamento dei dati?
- Chi tratta i dati?
- In che modo vengono raccolti e utilizzati i dati?
- I dati vengono conservati all’interno dell’Unione europea o al di fuori di essa?
- Con quale frequenza e in quali circostanze vengono cancellati i dati?
- Quali strumenti vengono utilizzati per il trattamento?
- Quali fornitori sono coinvolti nel trattamento?
Finalità e base giuridica
- Perché è necessario il trattamento?
- Quale base giuridica del GDPR si applica?
Valutazione della necessità e della proporzionalità
- Il trattamento è adeguato al suo scopo?
- Vengono raccolti più dati del necessario?
- Esistono alternative meno invasive?
Analisi dei rischi
- Quali sono i rischi per i diritti e le libertà delle persone interessate?
- Qual è la probabilità e la gravità dei danni?
- Esiste il rischio che alcune libertà individuali vengano violate?
- Gli strumenti di intelligenza artificiale comportano trasferimenti internazionali di dati?
- Quali sono i rischi di fuga di dati, appropriazione indebita, parzialità o perdita di controllo?
Misure di protezione e di riduzione dei rischi
- Quali controlli tecnici saranno messi in atto per ridurre i rischi?
- Quali controlli organizzativi verranno applicati?
- Quali misure specifiche saranno adottate per limitare i rischi?
- L’azienda prevede di stipulare accordi sul trattamento dei dati (Data Processing Agreements) con i propri fornitori di servizi, includendo clausole contrattuali tipo (CCT / SCC)?
Valutazione dei rischi residui
- Tra i rischi individuati, quali sono accettabili?
- È necessario adottare ulteriori misure per far fronte ad alcuni rischi?
- È possibile attuare ulteriori misure di mitigazione?
Monitoraggio e governance
- Con quale frequenza verrà rivista l’AIPD?
- Chi è il responsabile della protezione dei dati (DPO) dell’azienda?
- Chi sarà incaricato dell’attuazione delle misure di mitigazione e entro quale termine?
- Chi è responsabile della supervisione e del monitoraggio dell’AIPD?
- Sul sito del RGPD è disponibile un modello di AIPD per aiutarvi a redigere il vostro: https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf
Quadro operativo per l’integrazione dell’IA nelle aziende
Man mano che l’IA si integra nelle operazioni aziendali, la sua implementazione deve essere accompagnata da linee guida chiare, responsabilità, meccanismi di controllo e una governance rigorosa. I principi riportati di seguito offrono un quadro pragmatico che le aziende possono adottare per gestire i rischi legati all’IA:
- Definire la finalità degli utilizzi dell’IA: l’IA deve essere impiegata per supportare compiti professionali specifici (redazione, sintesi, ricerca, assistenza clienti, ecc.). È necessario identificare con precisione gli utilizzi dell’IA all’interno dell’azienda, nonché le categorie di dati interessate. Ogni utilizzo deve essere associato a una finalità e a un ambito di applicazione chiaramente definiti.
- Definire una politica sull’IA chiara e accessibile: le aziende devono fornire ai dipendenti una politica sull’uso dell’IA chiara, strutturata e accessibile, che specifichi gli strumenti di IA autorizzati e quelli vietati, le attività e i casi d’uso idonei al supporto dell’IA, l’obbligo di utilizzare licenze professionali, i tipi di dati utilizzabili o esclusi e la necessità di un controllo umano su ogni risultato generato dall’IA.
- Attuare controlli giuridici e tecnici: i dipendenti devono utilizzare solo strumenti di IA formalmente approvati dall’azienda ed esclusivamente tramite account aziendali. I contratti, gli accordi sul trattamento dei dati (DPA), le configurazioni di sicurezza e i parametri di conservazione devono essere definiti con cura e attuati. Gli account personali devono essere vietati, poiché compromettono la sicurezza, il controllo e la conformità.
- Ridurre al minimo e proteggere i dati: con gli strumenti di IA devono essere condivise solo le informazioni strettamente necessarie. I dati riservati, sensibili o riservati ai clienti devono essere esclusi, resi anonimi o trattati tramite sistemi interni controllati.
- Garantire trasparenza e supervisione: le informative sulla privacy, le comunicazioni ai clienti e la documentazione interna devono essere aggiornate per riflettere l’utilizzo dell’IA. Gli interessati devono essere informati in modo trasparente e preventivo dell’utilizzo di strumenti di IA per la trascrizione o la registrazione delle riunioni. L’IA non deve mai funzionare senza supervisione umana né costituire l’unico fondamento di una decisione.
- Garantire formazione e sensibilizzazione: corsi di formazione regolari, iniziative di sensibilizzazione e revisioni periodiche degli strumenti e delle pratiche di IA sono indispensabili per stare al passo con l’evoluzione tecnologica e normativa. Si raccomanda vivamente la creazione di un comitato direttivo dedicato alla valutazione e all’approvazione dei nuovi strumenti di IA.
- Tenersi al passo con gli sviluppi normativi: le aziende devono seguire i quadri normativi emergenti, in particolare il Regolamento europeo sull’IA (AI Act), che introdurrà ulteriori obblighi di conformità in base al livello di rischio delle applicazioni di IA. Un monitoraggio proattivo consente di anticipare i requisiti, adeguare le pratiche di governance ed evitare le interruzioni legate ai nuovi obblighi.
Domande frequenti sull’intelligenza artificiale in ambito aziendale
I dipendenti possono utilizzare strumenti di intelligenza artificiale disponibili al pubblico, come ChatGPT, sul posto di lavoro?
Solo in un contesto ben definito. Gli strumenti devono essere autorizzati dall’azienda, utilizzati tramite licenze professionali e soggetti a rigide regole di registrazione dei dati.
L’intelligenza artificiale nelle aziende è compatibile con il GDPR?
Sì, l’IA può essere utilizzata in conformità con il GDPR, a condizione che vengano messe in atto garanzie adeguate, fondate su una base giuridica chiara, su una trasparenza sufficiente e, in molti casi, sulla previa esecuzione di una valutazione d’impatto sulla protezione dei dati (AIPD).
Quali dati non devono mai essere condivisi con un’intelligenza artificiale?
I dati riservati, strategici, proprietari, soggetti a regolamentazione o i dati personali non indispensabili non devono mai essere inseriti negli strumenti di IA.
L’intelligenza artificiale e i requisiti normativi continueranno a evolversi di pari passo. Le aziende che integrano fin da ora i principi di governance, responsabilità e trasparenza nelle loro pratiche relative all’IA saranno le più preparate ad adattarsi con sicurezza e nel rispetto delle normative.
