Skip to main content

Webinar su richiesta in arrivo…

Blog

Rischi da parte di terzi per quanto riguarda l'intelligenza artificiale: un approccio globale alla valutazione dei vendor

Al fine di integrare i sistemi di intelligenza artificiale nelle loro attività, le aziende si affidano sempre più spesso a vendor di terze parti. Scopri come adattare i tuoi processi di gestione dei rischi da parte di terzi per affrontare i rischi correlati all'intelligenza artificiale

Marco Barone
Consulente senior per la privacy dei dati, CIPP/E, CIPP/US, CIPM, FIP
6 febbraio 2024

Low-angle photo of two colleagues talking in their office through a glass wall.

Sebbene l'intelligenza artificiale stia diventando la colonna portante delle operazioni aziendali moderne per molte organizzazioni, poche di queste creano i sistemi stessi. Il più delle volte le organizzazioni si affidano a vendor di terze parti per integrare soluzioni di intelligenza artificiale nelle loro operazioni quotidiane. 

Questo passaggio a soluzioni esterne rende necessaria una trasformazione fondamentale nel modo in cui le aziende valutano e gestiscono i rischi associati all'utilizzo dell'intelligenza artificiale. 

In questo articolo scopriremo perché adottare un approccio globale alle valutazioni dei vendor è così importante e spiegheremo come la governance dell'intelligenza artificiale può svolgere un ruolo fondamentale nella mitigazione dei rischi e nella promozione di pratiche responsabili. 

 

Cambiamenti epocali nelle valutazioni dei vendor

La maggior parte delle aziende utilizza strategie di gestione dei rischi di terzi (Third-party Risk Management, TPRM) per gestire i vendor di terze parti. Tuttavia, questi flussi di lavoro tradizionali devono evolversi per tenere il passo con l'integrazione dinamica dell'intelligenza artificiale. 

Abbiamo notato che l'approccio isolato agli aspetti più tradizionali dei rischi da parte di terzi, come ad esempio la privacy, la sicurezza, l'etica, la continuità operativa, la resilienza, ecc. non giova più alle aziende. Questo vale anche per l'adozione dell'intelligenza artificiale da parte di terzi. Infatti, tutto ciò sottolinea la necessità per le organizzazioni di ridefinire il proprio approccio alla valutazione dei fornitori in modo che sia più globale e includa l'utilizzo dell'intelligenza artificiale. 

 

Valutazione dei sistemi e dei componenti di intelligenza artificiale: il contesto tecnico

Comprendere le complessità tecniche dei sistemi di intelligenza artificiale implementati dai vendor è alla base di una solida valutazione. L'analisi di questo tipo di tecnologia rivela potenziali rischi associati ai componenti di intelligenza artificiale in soluzioni di terze parti, inclusi i seguenti aspetti.

  • Attributi dei set di dati 
    I sistemi di intelligenza artificiale richiedono un'abbondanza di dati e una chiara comprensione degli attributi di questi set di dati. Le valutazioni devono aiutarti a comprendere la qualità dei dati, le loro fonti di formazione, proprietà, controllo delle versioni, tracciabilità, ecc.  

  • Attributi dei modelli 
    Una volta ottenuta la trasparenza sui set di dati che intendi utilizzare, devi raggiungere un livello analogo di chiarezza sul modello stesso. Il modello che stai utilizzando è un modello di base? Quale metodo di apprendimento utilizza? Quali pregiudizi possono essere presenti e qual è il rapporto di parità demografica? Qual è il livello di autonomia del modello e quanta supervisione umana è necessaria?

Questo contesto tecnico per gli attributi di set di dati e modelli costituisce il primo livello di una valutazione completa dei sistemi di intelligenza artificiale di terze parti. 

Anche se non sviluppi o distribuisci autonomamente il sistema, in qualità di distributore di un sistema di intelligenza artificiale di terze parti hai comunque obblighi e responsabilità sui dati e sui modelli che utilizzi. Pertanto, è importante che le risposte a queste domande siano ben ponderate. 

 

Quadro normativo della governance dell'intelligenza artificiale: conformità e requisiti

Le pratiche di governance dell'intelligenza artificiale sono una componente critica dell'utilizzo responsabile di questo tipo di tecnologia, non solo delle tue pratiche interne. È sempre più importante valutare anche il quadro di governance dell'intelligenza artificiale del tuo vendor: in questo modo otterrai maggiori informazioni sulla conformità e sugli aspetti legali ed etici delle sue pratiche. 

I quadri normativi internazionali come il regolamento sull'intelligenza artificiale dell'Unione europea stanno introducendo sempre più requisiti specifici sugli attori responsabili, a seconda del loro ruolo, come le valutazioni di conformità per i fornitori di sistemi di intelligenza artificiale ad alto rischio. 

Sebbene le aziende che utilizzano l'intelligenza artificiale di terze parti non rientrino in questa categoria di vendor, le organizzazioni devono comunque essere consapevoli delle loro responsabilità in quanto fornitori di questi sistemi e devono allinearsi ai quadri normativi in vigore per garantire la conformità e le pratiche di utilizzo responsabile da parte dei loro fornitori.

 

Approccio globale alle valutazioni

I vantaggi di una valutazione globale vanno oltre la semplice conformità. Evitare le insidie legali ed etiche associate ai sistemi di intelligenza artificiale utilizzati da terzi è fondamentale per costruire rapporti basati sulla fiducia e mantenere la trasparenza nell'ecosistema del vendor. 

Dover valutare i fornitori oltre alle proprie responsabilità di governance dell'intelligenza artificiale può sembrare un impegno enorme, ma non deve esserlo per forza. L'operatività delle valutazioni di governance dell'intelligenza artificiale comporta passaggi pratici e più piccoli, come l'integrazione della governance dell'IA nei flussi di lavoro di gestione del rischio di terzi già esistenti. 

Strumenti come le soluzioni AI Governance e Third-Party Risk Management di OneTrust supportano le aziende nell'ottimizzazione di questo processo, il che garantisce una visione più completa delle iniziative relative all'implementazione di componenti di intelligenza artificiale in tutta l'azienda.

 

Gestione dei rischi da parte di terzi per costruire rapporti di fiducia

Poiché il panorama dei rischi legati all'intelligenza artificiale di terze parti continua ad evolversi, le organizzazioni devono adottare un approccio globale alla valutazione dei fornitori. 

Incorporare i rischi legati all'intelligenza artificiale in queste valutazioni è una vera e propria esigenza dal punto di vista strategico. Inoltre, costituisce anche un passo dinamico verso pratiche di gestione di rischi da parte di terzi e un utilizzo dell'intelligenza artificiale più responsabili. 

La creazione di un quadro di riferimento completo non solo supporta la mitigazione dei rischi associati all'adozione dell'intelligenza artificiale da parte di terzi, ma promuove anche un ecosistema basato su trasparenza, fiducia e innovazione. 

Per garantire un futuro in cui l'intelligenza artificiale sia utilizzata in modo responsabile per una crescita aziendale sostenibile, le organizzazioni devono adattare i loro flussi di lavoro relativi alla gestione del rischio di terzi per affrontare le complessità di questa tecnologia.


Altre risorse che potrebbero interessarti

GRC e garanzia di sicurezza

Navigare la conformità al NIS2 con OneTrust

Partecipa al nostro webinar il 24 ottobre alle 11:00 per approfondire i principali requisiti della Direttiva NIS2 e il suo impatto sul territorio italiano.

Scopri di più