AI ACT in arrivo: l’esperienza e la risposta di BPER

Il Parlamento europeo in data 14 giugno 2023 ha dato il via libera all’Artificial Intelligence Act, che regolerà l'Intelligenza Artificiale nel rispetto dei diritti e dei valori dell'Unione Europea.

Si tratta della prima regolamentazione sull'Intelligenza Artificiale, la cui approvazione definitiva, da parte dell’Unione Europea, dovrebbe arrivare a fine anno e, secondo fonti vicine alle istituzioni europee, questo regolamento sull’intelligenza artificiale dovrebbe entrare in vigore tra il 2024 e il 2025.

L'obiettivo principale è quello di tutelare i diritti dei consumatori, prevenire la discriminazione algoritmica e promuovere una maggiore responsabilità da parte delle istituzioni finanziarie nell'adozione di sistemi basati sull’AI. Questo regolamento rappresenta una pietra miliare nell'evoluzione di molti settori, specialmente quello finanziario, che si trova di fronte a sfide e opportunità senza precedenti.

Abbiamo parlato di AI Act e di concetti di etica dell’AI con Alessandro Tufano, AI Governance Expert & Data Scientist Project Leader di BPER Banca.

Cover intervista_ Alessandro Tufano

  1. Come viene interpretato il concetto di explainability nel concreto all’interno della vostra organizzazione: potrebbe essere un fattore chiave per facilitare la diffusione dell’AI nei processi decisionali aziendali?

Il tema dell’explainability va particolarmente di moda, ma dobbiamo dirci subito che parliamo di una tematica sul quale non abbiamo ancora osservato alcuna convergenza dal punto di vista della ricerca, motivo per cui è difficile aspettarsi metodi e modelli pronti per l’industrializzazione in contesti aziendali. Esistono certamente delle metodologie, ma anche le più strutturate forniscono risposte parziali (ad es. una spiegabilità locale di un output del modello che si contrappone ad una spiegabilità globale sui meccanismi di funzionamento del modello) con strumenti che non vengono necessariamente manutenuti nel tempo, e questo rende estremamente rischioso progettarne l’adozione in contesti aziendali strutturati.

In materia di explainability il primo confronto utile da fare è con coloro che utilizzeranno o dovranno interpretare gli output del Sistema di AI. In alcuni casi viene richiesta la massima spiegabilità, ed in questi casi non è detto che l’implementazione di tecniche di apprendimento sia la risposta più corretta. In altri casi i requisiti di spiegabilità sono meno stringenti e ci si può limitare ad individuare gli attributi dati che incidono maggiormente sulle scelte del Sistema di AI per intuirne il funzionamento. Nella nostra esperienza, ciò che è irrinunciabile, è il confronto con gli utilizzatori affinché le loro esigenze possano essere intercettate by design.

 

  1. Una delle questioni fondamentali quando si parla di etica del dato è la privacy. Come cambierà l’attenzione a questo aspetto a seguito dell’AI Act?

Il Regolamento 2016/679 del Parlamento Europeo e del Consiglio (diventato noto con l’acronimo GDPR – General Data Protection Rules) pone delle regole precise e stringenti in materia di trattamento dei dati personali. Questo significa che tutti i Sistemi di AI che operano con dati personali devono già, a prescindere dall’AI ACT, rispettare le prescrizioni di tale Regolamento. Fra le altre cose il GDPR pone precisi limiti in merito ai trattamenti di profilazione e di decisione automatizzata. Già queste due sole definizioni sono sufficienti a coprire e regolare uno spettro estremamente ampio di use case di AI. Pensiamo ad un tradizionalissimo Sistema di AI per il calcolo del churn rate del cliente (ormai tutte le aziende ne hanno uno!) questo opera, di fatto, un trattamento di profilazione. Nel caso in cui, ci venisse proposto di rateizzare un acquisto da un sistema di pagamento online, questo utilizzerà con ogni probabilità un Sistema di AI di classificazione binaria che valuta il nostro score di merito creditizio e sulla base di ciò decide se possiamo rateizzare o meno l’acquisto effettuando una decisione automatizzata.

Premesso che per entrambi i Sistemi di AI esistono già oggi dei vincoli precisi imposti dal GDPR, va ricordato che il secondo dei Sistemi presentati (credit scoring finalizzato alla concessione di credito) ricadrà fra i così detti “Sistemi di AI ad Alto Rischio”, richiedendo una serie di adempimenti aggiuntivi per ottemperare agli obblighi dell’AI ACT.

 

  1. Nell’AI Act viene posta molta attenzione al tema dell’accountability: come viene indirizzata la responsabilità su quanto prodotto dall’algoritmo e quali tipologie di presidio applicate sui risultati?

Il tema dell’accountability è centrale per un governo efficace dei Sistemi di AI. Nella nostra esperienza, gioca un ruolo fondamentale la formazione nei confronti degli uffici di business che utilizzano gli output dei Sistemi di AI. E’ il referente di business che si configura come AI owner, che impara a conoscere gli output del Sistema di AI, ad utilizzarli nel quotidiano, a monitorare le performance di business del Sistema di AI e a rilevarne anomalie. Poi naturalmente esiste un preciso meccanismo di gestione e di manutenzione dei Sistemi di AI da un punto di vista tecnico, ma questo è secondario. La priorità è la responsabilizzazione degli utenti poiché i Sistemi di AI sono strumentali al loro lavoro ed è importante realizzare una corretta integrazione di questi Sistemi nei processi di business esistenti.

 

  1. Il tema del governo degli algoritmi si sta affermando sempre di più come requisito per una adozione efficace e conforme dell’AI. Nel ruolo di Data Office, potete raccontarci il vostro approccio?

Nella nostra esperienza governare i Sistemi di AI richiede competenze multidisciplinari che non possono esaurirsi in un approccio a compartimenti stagni, classico delle strutture organizzative funzionali. È per questo motivo che nei nostri processi di sviluppo dei Sistemi di AI coinvolgiamo sin dalla fase di progettazione, tutte le strutture che saranno poi coinvolte nelle fasi successive.

Per essere efficaci occorre non solo saper governare l’algoritmo in sé, ma anche e soprattutto i processi di sviluppo e di monitoraggio dei Sistemi di AI. Tutto ha origine dal censire i Sistemi di AI, monitorarne lo stadio del ciclo di vita ed individuarne i meccanismi di monitoraggio più adeguati. Ogni elemento va poi calato nelle realtà aziendali specifiche e occorre integrarsi in modo efficace nei processi pre-esistenti per favorire una adozione scalare dell’AI.

 

  1. Quali pensi siano i maggiori ostacoli nel raggiungimento di un'AI etica?

Il primo limite è culturale. Prendiamo ad esempio il testo emendato dell’AI ACT che il Parlamento Europeo ha adottato in prima lettura a Giugno 2023. Questo testo esclude il riconoscimento biometrico in tempo reale negli spazi aperti dell’Unione Europea (con alcune limitazioni, ma per ora tralasciamole). Ho sentito molta perplessità da parte di persone che reputo eticamente formate ed estremamente competenti poiché questa misura limita fortemente le forze di polizia che, in assenza di tale limite, potrebbero utilizzarla per identificare criminali e malintenzionati istantaneamente con un incremento esponenziale dell’efficacia dell’azione di polizia. In questo caso, bisognerebbe domandarsi se sia più etico acciuffare un malintenzionato rapidamente o sottoporre ad un occhio elettronico le tante altre persone oneste.

Il legislatore Europeo ha adottato la sua scelta con il testo dell’AI ACT. Ma il problema si ripropone in tante altre occasioni, ed ecco che la vera domanda da porsi diventa: “che cosa è etico?”. Ed è questa la risposta a cui l’AI owner (e cioè l’utilizzatore di business) è chiamato a rispondere. Il resto è metodica e tecnica di implementazione, e su questo la tecnologia offre già da tempo tutti gli strumenti necessari.

 

  1. Generative AI ed etica: quali sono i punti attenzione su questo tema?

L’AI Generativa è uno strumento, può essere usata eticamente oppure no. È l’uso che si fa di uno strumento che deve essere regolamentato, l’AI ACT si è mosso in questa direzione. Poi esistono una lunga serie di temi controversi relativi alle modalità con cui gli strumenti generativi sono addestrati e alla liceità nell’utilizzo di questi dati. La tematica è molto complessa e temo che finché non verranno date regole precise sul tema sarà molto difficile intraprendere una direzione certa. L'approccio da tenere è quello di avviare sperimentazioni mirate mantenendo gli occhi puntati alle normative attuali e a quelle future. 

 

  1. Quali sono i next step per essere 100% AI Act compliant?

In questa fase è certamente importante continuare a monitorare l’evoluzione normativa e partire dal censimento e dalla classificazione di tutti i Sistemi di AI che una organizzazione ha già messo in esercizio o sta sviluppando. Questo aiuterà ad adeguarsi all’ottica basata sul rischio che introduce l’AI ACT. Inoltre, credo sia fondamentale iniziare a dotarsi di team multidisciplinari in cui le competenze umanistiche, legali e scientifiche coesistono e si alimentano a vicenda. Credo che sia questa la chiave per raggiungere non solo la conformità alla normativa, ma anche una efficace adozione dei Sistemi di AI all’interno dell’organizzazione.

Vuoi saperne di più sugli impatti dell’AI Act?CONTATTACI