L’uso dell’Intelligenza Artificiale nel panorama tecnologico italiano (e mondiale) sta portando tutte le imprese e le pubbliche amministrazioni a rivedere i propri piani di sviluppo. L’adozione degli strumenti messi a disposizione dall’IA permettono di affrontare scogli ad oggi non superabili attraverso un sistema capace di interpretare i dati in input e proporre riscontri, soluzioni, risposte.

Questa trasformazione sta conducendo alla progressiva sostituzione di sistemi deterministici - laddove il codice di programmazione interrompe la propria esecuzione, in modo più o meno elegante, in caso di flussi che non rientrano negli scenari per cui sono stati programmati - con sistemi di tipo probabilistico - l’Intelligenza Artificiale si basa comunque su probabilità che un flusso sia simile agli scenari sui quali è stata addestrata.

Cosa accade se l’output non coincide con lo scopo del sistema?

Per i sistemi deterministici si segue la linea classica di risoluzione delle non conformità: si acquisiscono gli errori (solitamente segnalati dagli utenti e/o dai log di sistema) e si attivano task di manutenzione correttiva o evolutiva. È importante notare che, in questo caso, l’interruzione del sistema permette di intervenire sulla non conformità prima che il flusso prosegua su scenari indeterminati.

Nel caso di sistemi che utilizzano l’IA, intercettare la non conformità diventa più arduo. I sistemi basati sull’AI, se non sono ben configurati per gestire le non conformità sia dal punto di vista della percentuale minima di affidabilità (che comunque può variare di caso in caso) che dal punto di vista delle azioni successive, possono condurre gli utenti o i processi aziendali verso percorsi non voluti, generando quelle che si chiamano comunemente “allucinazioni”. In tale caso, attualmente si tende ad utilizzare un approccio simile a quello classico utilizzato per i sistemi deterministici, nel quale si confida nelle segnalazioni degli utenti del sistema oppure si rimandano le operazioni determinanti dal punto di vista procedurale ad interventi supervisionati da operatori umani.

Gestire le derive indesiderate dei sistemi basati sull’Intelligenza Artificiale risulta fondamentale in fase di progettazione. Permette di stimare in modo consapevole le risorse da stanziare per ritardi, rilavorazioni, attività di supervisione umana. Permette, inoltre, di acquisire consapevolezza su cosa potrebbe non funzionare ed adottare buone pratiche per minimizzare le escursioni dei flussi.

In fase di progettazione dei sistemi basati su IA, non acquisire consapevolezza dei possibili effetti negativi assomiglia un po' ad affidarsi alla buona sorte.

L’utilizzo dell’attuale approccio risolutivo, basato sui sistemi di tipo deterministico, non può essere idoneo alla progettazione e gestione di sistemi basati su IA (di tipo probabilistico) in quanto i due contesti hanno natura differente.

Risulta quindi evidente la necessità di integrare, in fase di progettazione, metodologie che si basino su analisi probabilistiche.

Nel contesto industriale, la gestione del rischio non è un concetto nuovo. Permette di gestire le derive di progetto attraverso un’analisi probabilistica basata sull’esperienza dell’organizzazione.

Viene applicata dalla maggior parte dei progetti sin dalla fase di preventivazione e consente al Project Manager, così come agli stakeholder interni all’organizzazione, di avere chiari quali possono essere gli scenari che potrebbero portare a derive del progetto (economiche e di tempistiche).

La gestione classica del rischio parte dall’identificazione dei rischi di progetto, mettendo a fattor comune l’esperienza del team di progetto e dell’intera organizzazione in progetti simili. In parole povere, il Project Manager identifica i rischi del proprio progetto selezionandoli da un apposito database aziendale (costruito dall’esperienza di altri gruppi all’interno dell’organizzazione), eventualmente aggiungendone nuovi.

Per ogni rischio identificato, vengono definite la probabilità di occorrenza del rischio e l’eventuale impatto (economico o di tempistiche) sul progetto nel caso in cui il rischio si materializzi. Questi 2 fattori permettono di effettuare una classificazione del singolo rischio su una scala a criticità crescente.

Infine, per ogni rischio viene effettuata un’ulteriore analisi atta ad identificare le azioni di mitigazione che possono essere intraprese sin dall’avvio del progetto e che permettono di ridurre la probabilità e/o l’impatto dei rischi che assumono peso maggiore sul progetto. Per alcuni rischi, può anche accadere che non ci siano azioni: in tal caso si parla di “accettazione del rischio”, portando comunque ad una accettazione consapevole dello stesso.

Nel contesto dell’adozione dei sistemi basati su AI, una delle decisioni fondamentali è identificare la percentuale di affidabilità che il sistema offre. Tale percentuale è solitamente basata su un set di dati di validazione e quindi definibile secondo pratiche consolidate. Il delta al 100% di tale percentuale è evidentemente il fattore di rischio che l’organizzazione o la pubblica amministrazione stanno accettando nel momento in cui viene effettivamente utilizzato il modello di AI scelto.

La gestione del rischio permette di affrontare in maniera sistemica gli eventuali impatti negativi che possono emergere dagli scenari residuali, permettendo di acquisire consapevolezza sugli eventuali impatti e l’adozione di adeguate misure di mitigazione del rischio laddove l’eventuale occorrenza potrebbe compromettere in maniera rilevante i risultati.

Come accade spesso, non sempre è necessario iniziare da un foglio bianco per avviare un processo di AI Risk Management.

Un punto di partenza importante è l’AI Risk Management Framework del NIST (National Institute of Standards and Technology degli Stati Uniti) reperibile al link. Tale documento permette di partire da una base di rischi identificata dal NIST in collaborazione con soggetti pubblici e privati.

Altro fonte importante è l’EU Artificial Intelligence Act, che all’interno del Capitolo III identifica le regole di classificazione per i sistemi di IA definiti ad Alto Rischio (ref. )

Come abbiamo visto nei paragrafi precedenti, gli strumenti ed una base di assessment per la gestione del rischio dell’IA sono già presenti. 

Data l’attuale velocità di adozione dei sistemi basati su Intelligenza Artificiale, non è possibile all’interno delle singole organizzazioni acquisire un’adeguata esperienza statistica al passo con l’evoluzione tecnologica in atto.

Sarebbe auspicabile un intervento centrale atto a raccogliere e mantenere aggiornato un database dei rischi associati all’IA, che permetta a tutti gli operatori del mercato di mettere a fattor comune le proprie esperienze. Tale database assume maggior rilievo nel contesto delle Amministrazioni Pubbliche, dove enti pubblici di dimensioni medio-ridotte non hanno gli strumenti idonei a valorizzare in autonomia l’input di un adeguato strumento di assessment.