Linee guida per la policy di utilizzo dell’IA generativa

backgroud-texture-bg-4

Informazioni generali

La rapida adozione dell’IA generativa offre grandi promesse di innovazione, che creano nuove opportunità per molte organizzazioni e singole persone. Tuttavia, è accompagnata anche da rischi, alcuni dei quali vengono già compresi oggi, mentre altri stanno emergendo o devono ancora essere scoperti. Di conseguenza, per le organizzazioni che sviluppano nuove capacità e contenuti utilizzando l’IA generativa è consigliabile implementare una policy di utilizzo adeguata.

Una policy di utilizzo deliberata e ben concepita può aiutare un’organizzazione a promuovere l’innovazione utilizzando tecnologie di IA generativa, e allo stesso tempo a gestire i rischi, lasciando spazio a eventuali cambiamenti derivati dall’evoluzione del panorama informatico. Sophos ha sviluppato una policy di utilizzo lavorativo per l’IA generativa, per permettere ai nostri dipendenti di esplorare in completa sicurezza nuove innovazioni che potrebbero rappresentare un vantaggio per i nostri Clienti e Partner. Da allora, ci è stato chiesto varie volte di condividere la nostra policy e abbiamo deciso di farlo, perché potrebbe aiutare i nostri Clienti, Partner e il settore in generale.

La discussione, gli esempi e il contenuto disponibile per la copia in questo documento possono essere utilizzati per sviluppare un approccio (formale o informale) all’uso dell’IA generativa nelle attività di un’azienda. Ci auguriamo che la struttura di questa policy possa aiutare a orientare l’uso dell’IA generativa nelle prime fasi di esplorazione e scoperta. Poiché ogni organizzazione adotta approcci diversi alla strategia e all’esecuzione, ne consegue che l’uso dell’IA generativa deve essere adattato in base all’organizzazione che la utilizza.

Questo documento non è un modello ed è destinato solo a scopo informativo. Questo contenuto non intende costituire consulenza legale e consigliamo di rivolgersi a un consulente legale o professionale prima di adottare o implementare qualsiasi policy basata sulle linee guida e sugli argomenti suggeriti di seguito.

Definizioni e considerazioni

Definizione di “policy”

Il termine “policy” viene qui utilizzato nel suo senso più generale per indicare le regole o linee guida che un’organizzazione stabilisce per regolare i comportamenti. In questo caso, l’utilizzo dell’IA generativa all’interno dell’organizzazione. Una policy in questo contesto può essere formalmente adottata attraverso un processo di approvazione aziendale, oppure istituita in modo più informale. L’approccio di un’organizzazione all’IA generativa come viene affrontato qui può essere chiamato policy o definito in altro modo. Sebbene sia importante per un’organizzazione considerare come comunica le proprie aspettative, in questo documento ci concentriamo sull’approccio generale all’IA generativa, non su come potrebbe essere denominata una policy, né su come viene implementata o applicata.

L’ambito di applicazione

Una considerazione iniziale è quali sono le persone interessate dalla policy sull’utilizzo dell’IA generativa. Potrebbe, ad esempio, applicarsi a tutti i dipendenti e/o alle terze parti che interagiscono con l’organizzazione, come appaltatori, vendor e partner tecnologici e commerciali. In alternativa, la tua policy potrebbe riguardare un sottoinsieme di una o tutte le suddette entità.

Un’altra domanda da considerare è l’ambito di applicazione della tecnologia alla quale sarà applicabile la policy. Il termine “IA generativa" può, ad esempio, riferirsi a una categoria di tecnologie addestrate su set di dati in grado di generare testi, immagini, video, suoni o altri contenuti lavorativi (output) in risposta a richieste (input). Alcuni esempi includono ChatGPT/Bard (da testo a testo/immagine), GitHub CoPilot (da testo a codice), Midjourney/Stability AI (da testo a immagine), ModelScope (da testo a video) e codice in linguaggio di programmazione. L’IA generativa può anche comparire come funzionalità all’interno di un’altra applicazione.

Considerazioni sull’IA generativa

L’IA generativa ha il potenziale di offrire vantaggi significativi, aumentando l’efficienza e la produttività. Tuttavia, allo stesso tempo le implementazioni attuali possono comportare rischi, tra cui output inaccurati o inaffidabili (“allucinazioni”), output di parte o inappropriati, vulnerabilità di sicurezza, preoccupazioni in materia di proprietà intellettuale (PI) e privacy, incertezze legali e termini e condizioni di licenza dei vendor che potrebbero essere inaccettabili per una data organizzazione. Inoltre, sono presenti incertezze legali riguardo al dubbio se gli output dell’IA generativa possano essere idonei per la protezione della proprietà intellettuale e la proprietà di qualsiasi contenuto creato dall’IA generativa. Quando si integra un’implementazione di IA generativa nei processi o nelle applicazioni della propria organizzazione, è pertanto fondamentale identificare chiaramente i materiali creati utilizzando gli strumenti di IA generativa, al fine di evitare potenziali complicazioni con qualsiasi tipo di proprietà intellettuale dell’azienda.

A causa dello sviluppo rapido e continuo dell’IA generativa e dei mutevoli rischi che presenta, le organizzazioni potrebbero trarre vantaggio da una policy di utilizzo per l’adozione responsabile dell’IA generativa, come indicato di seguito.

Aggiornamenti e revisioni

La rapida innovazione nell’ambito dell’IA generativa suggerisce che una policy dovrebbe essere rivista regolarmente e adattata secondo necessità. I nuovi standard, così come il panorama legale e normativo, cambiano con tale rapidità che un’eventuale negligenza potrebbe portare all’irrilevanza.

Adozione, implementazione e uso dell’IA generativa

Molti vendor hanno sviluppato implementazioni di IA generativa con metodi di accesso differenti (ad es. interfaccia di chat, API) attraverso vari tipi di account (ad es. account personali, account gratuiti, account a pagamento) e in base a condizioni d’uso diverse. Una questione più tecnica per le organizzazioni è come permettere ai dipendenti e ai partner commerciali di accedere e scambiare informazioni con l’IA generativa.

Proprio come avviene per altre applicazioni utilizzate per scopi aziendali, alcune organizzazioni possono limitare l’uso dell’IA generativa ai soli account aziendali. Se può comportare dei vantaggi per l’organizzazione, quest’ultima potrebbe richiedere l’uso di account che prevedano termini e condizioni accettabili per l’azienda. A questo proposito, è utile considerare le opzioni di IA generativa in modo simile alle interazioni con vendor di SaaS e altri fornitori di servizi cloud che operano in parte attraverso la raccolta di dati.

Implementazione/adozione di una nuova piattaforma di IA generativa

Un’altra considerazione è il processo di approvazione necessario per l’adozione di una piattaforma di IA generativa. L’acquisizione di una nuova piattaforma di IA generativa per l’uso (sia come applicazione autonoma che come funzionalità all’interno di un altro sistema) da parte di un’organizzazione potrebbe ad esempio implicare la necessità di seguire il processo di approvvigionamento standard dell’organizzazione, integrando richieste e termini specifici per l’IA generativa.

I passaggi che potrebbero essere intrapresi prima di un’implementazione possono includere:

  1. Approvazione, se applicabile, da parte delle appropriate parti interessate funzionali in unità organizzative interne come i reparti di Gestione del prodotto, Engineering, Privacy dei dati, Legale, Sicurezza e Gestione del rischio. Naturalmente, in presenza di un numero minore di parti interessate, alcune di queste funzioni potrebbero essere consolidate.
  2. Una valutazione tecnologica delle opzioni commerciali, che comprenda ambiti quali:
    • Origine e qualità del set di dati di addestramento.
    • Se gli input e gli output debbano essere inclusi nel set di dati di addestramento, e se c’è la possibilità di rifiutare l’uso dei dati di input/output per addestrare il modello di IA generativa.
    • I rischi derivati dall’uso del modello di IA generativa e i meccanismi interni per mitigarli/gestirli.
    • Capacità di soddisfare i termini e le condizioni del sistema di IA generativa.
    • Implicazioni commerciali e diritti di licenza associati.
  3. Una valutazione aziendale dell’implementazione pianificata, che tenga in considerazione fattori come i seguenti:
    • Costo di implementazione.
    • Ritorno sull’investimento previsto.
    • Sviluppo di meccanismi di tracciamento per aiutare a calcolare il ritorno sull’investimento effettivo.
    • Utilizzo pianificato dell’implementazione, che viene esplorato in maniera dettagliata nella sezione successiva.

Utilizzo dell’IA generativa approvata

  1. Ogni nuovo caso di utilizzo dell’IA generativa potrebbe essere soggetto a un processo di approvazione. Una possibilità potrebbe ad esempio essere nominare una persona responsabile dell’approvazione per ogni parte interessata funzionale, in modo che l’apprendimento sia concentrato e accelerato.
  2. Utilizzo delle funzionalità di sicurezza. Se applicabile, ciascun utente potrebbe essere tenuto ad abilitare tutte le funzionalità di sicurezza disponibili, monitorare le nuove funzionalità di sicurezza e attivare le nuove funzionalità non appena diventano disponibili.

Divieto per impostazione predefinita, approvazione come eccezione

In alcuni casi potrebbe essere utile richiedere la verifica e l’approvazione degli usi dell’IA generativa che non rientrano nel set standard di tipi di utilizzo approvati. L’uso dell’IA generativa potrebbe, ad esempio, essere vietato a meno che non venga approvato come eccezione. Se si adotta questo approccio, potrebbe essere importante aggiornare regolarmente l’elenco dei casi di utilizzo approvati, per via della velocità di innovazione.

Ad esempio, i seguenti tipi di utilizzo potrebbero essere vietati a meno che non vengano specificamente approvati:

  1. Utilizzo che richieda, in parte o per intero, le seguenti categorie di input:
    • Qualsiasi informazione riservata o di natura sensibile per l’azienda.
    • Qualsiasi dato personale o qualsiasi informazione che possa identificare l’organizzazione.
    • Qualsiasi indirizzo IP dell’organizzazione.
    • Codice sorgente proprietario.
    • Qualsiasi informazione che riguardi i clienti, i fornitori e i partner dell’organizzazione o altri dati protetti, incluse informazioni sull’identità (Personally Identifiable Information, PII).
    • Qualsiasi informazione sui dipendenti.
    • Credenziali di accesso al sistema (per i sistemi dell’organizzazione o quelli di terze parti).
  2. Un utilizzo in cui l’output potrebbe influenzare i diritti o gli obblighi di una persona.
  3. Incorporazione dell’output nella tecnologia dell’organizzazione o in altri tipi di proprietà intellettuale.
  4. Utilizzo che violi le policy dell’organizzazione, gli obblighi contrattuali o i termini e le condizioni di utilizzo della tecnologia.
  5. Qualsiasi utilizzo illegale o utilizzo che dimostri un intento non etico (ad es. disinformazione, manipolazione, discriminazione, diffamazione, invasione della privacy).

Codice scritto dall’IA generativa

L’implementazione dell’IA generativa per riscrivere codice esistente in linguaggi moderni e sicuri per la memoria è un’operazione complessa e ambiziosa. Implica diverse considerazioni tecniche, etiche e pratiche. Ecco alcuni esempi di questioni da considerare:

  1. Qualità e affidabilità: preservare la funzionalità del codice originale, rispettando le attuali pratiche di sicurezza della memoria.
  2. Sicurezza e analisi delle vulnerabilità: una revisione approfondita del codice generato, per convalidare pratiche sicure.
  3. Performance: valutazione e ottimizzazione del codice generato, affinché soddisfi o superi la performance del codice originale.
  4. Diritti di proprietà intellettuale: stabilire i diritti di proprietà intellettuale per il codice generato dall’IA, una questione complicata che potrebbe non essere affrontata in maniera completa dai quadri giuridici attuali.
  5. Privacy dei dati e conformità: adottare misure adeguate di protezione dei dati in conformità con le normative pertinenti, per evitare di esporre involontariamente dati di natura sensibile o personale utilizzati per addestrare i modelli di IA generativa.

Utilizzo di ChatGPT e strumenti simili per la produttività personale

In alcune organizzazioni, l’uso di piattaforme di IA generativa potrebbe essere consentito per incrementare la produttività amministrativa personale, come indicato di seguito. Qualsiasi utilizzo di questo tipo dovrebbe essere soggetto a quanto segue:

  1. Astensione da qualsiasi utilizzo vietato dall’organizzazione.
  2. Osservanza dei termini, delle condizioni e delle policy applicabili.
  3. Dove disponibile, rifiuto di contribuire al set di dati di addestramento prima dell’uso.
  4. Verifica dell’accuratezza, dell’affidabilità e dell’idoneità dell’output prima dell’implementazione.

Esempi di utilizzo commerciale consentito per ChatGPT (e strumenti simili di IA generativa gratuiti) attraverso account personali:

  1. Verifica delle fonti o ricerca, in maniera analoga all’uso della Ricerca Google, di Wikipedia e di altre risorse disponibili su Internet.
  2. Creazione di prime bozze di e-mail di routine e documenti interni.
  3. Correzione di documenti.
  4. Generazione di idee di base (ad es. creare un elenco di attività sociali per un incontro fuori sede, descrivere come funziona un particolare blocco di codice, fornire istruzioni dettagliate su come scrivere una funzione in particolare)

Un’organizzazione potrebbe decidere di sviluppare corsi di formazione e/o certificazioni per chi desidera utilizzare l’IA generativa. I corsi di formazione attuali sulla sicurezza potrebbero essere aggiornati per includere i rischi associati all’uso dell’IA generativa.

Potrebbe essere utile considerare anche le conseguenze della mancata ottemperanza alla policy da parte di un utente. Con molta probabilità, queste linee guida verranno concordate in maniera analoga ad altre policy aziendali formali o informali.

Considerazioni finali

L’IA generativa influirà su molti aspetti di un’organizzazione, con rischi noti e sconosciuti che dovranno essere mitigati in modo efficace. Ci troviamo nelle fasi iniziali del processo di comprensione dell’impatto di questa tecnologia, e le organizzazioni più lungimiranti eviteranno di limitare le possibilità di innovazione dell’IA generativa. La capacità di ridurre i rischi pur promuovendo l’esplorazione, la curiosità e la sperimentazione sarà il segno distintivo delle aziende di successo in questa nuova era.

Adottare un approccio esperto per stabilire policy di utilizzo personalizzate in base ai più probabili casi d’uso di un’organizzazione è un buon primo passo da compiere, man mano che il mondo si adatta all’IA generativa e alle sue numerose possibilità. Oltre a questo, si potrebbero integrare le policy e le linee guida in una strategia di governance e gestione del rischio più ampia, che può includere l’istituzione di un comitato direttivo, l’esecuzione di controlli e valutazioni del rischio a cadenza regolare, e la definizione di processi continui di perfezionamento delle policy per bilanciare l’utilizzo responsabile dell’IA generativa con adeguate attività di mitigazione del rischio.