Navigare tra i nuovi rischi e le sfide normative della GenIA

La rapida ascesa dell’IA generativa, compresi i modelli linguistici di grandi dimensioni (LLM) come ChatGPT/GPT-4 di OpenAI, sta creando nuovi rischi e nuove sfide normative per le aziende. Sebbene sia ancora presto, queste non possono permettersi di ritardare lo sviluppo di politiche e pratiche relative all’uso di queste tecnologie.

Quali sono i nuovi rischi che queste tecnologie comportano, soprattutto se si considera che i loro utenti possono affidarvisi per servizi sanitari, legali o altri servizi professionali, oltre che per decisioni di business? E come possono sia gli sviluppatori che realizzano questi strumenti sia le aziende che li utilizzano valutare e mitigare i rischi? In questo articolo forniamo alcune indicazioni.

Fuga di informazioni proprietarie

All’inizio di quest’anno, Samsung ha scoperto che i suoi dipendenti avevano accidentalmente condiviso dati riservati con ChatGPT: ciò significa che le informazioni proprietarie dell’azienda potevano essere utilizzate per addestrare ulteriormente il modello di OpenAI e potenzialmente essere rivelate ad altri utenti. Allo stesso modo, con un’ingegnosa tecnica di prompt engineering, gli utenti hanno convinto il chatbot alimentato dall’IA di Microsoft a condividere informazioni che dovevano essere tenute segrete. Nonostante le attuali misure di salvaguardia, è chiaro che gli LLM possono potenzialmente rappresentare un rischio sostanziale per quanto riguarda le informazioni riservate o sensibili che passano attraverso questi sistemi.

Per affrontare questo rischio sono necessari sforzi congiunti da parte degli utenti e degli sviluppatori di strumenti di IA generativa. Ad esempio, è necessario prendere in considerazione linee guida per i prompt che i dipendenti utilizzano come input per gli strumenti di IA generativa che risiedono al di fuori dei confini dell’azienda, e potrebbero essere necessari strumenti che avvisino i dipendenti quando stanno per inviare un prompt che potrebbe includere informazioni aziendali sensibili a un sistema di IA generativa di terzi.

Inoltre, quando un’azienda mette a punto con i propri dati i modelli di base esistenti, ossia i modelli di IA di base attualmente disponibili per lo più presso le grandi aziende tecnologiche, che possono essere adattati a diverse applicazioni a valle, deve puntare sulla governance dei dati e dare priorità alla visibilità della qualità e della chiarezza in merito alla provenienza dei dati utilizzati, soprattutto se l’azienda collabora con fornitori esterni per effettuare tale messa a punto.

Le aziende potrebbero anche prendere in considerazione la creazione di una cosiddetta “sandbox” per consentire ai dipendenti di esplorare le capacità degli strumenti di IA generativa senza condividere i loro suggerimenti o i dati con gli sviluppatori. L’Università di Harvard, ad esempio, ha creato un ambiente di questo tipo in cui gli utenti possono passare facilmente da un LLM all’altro attraverso un’unica interfaccia, senza che i prompt o i dati immessi vengano condivisi con i fornitori di LLM. Questi approcci non sono privi di problemi: ad esempio, la mancata condivisione di tali informazioni con gli sviluppatori potrebbe limitare la capacità dell’IA generativa di essere messa a punto per le esigenze specifiche dell’azienda.

Gli sviluppatori di queste tecnologie devono anche intraprendere un’attenta due diligence per quanto riguarda sia i dati sia i fornitori di dati utilizzati per addestrare questi modelli di IA. In alcuni casi, ciò può significare addestrare i modelli solo su fonti di dati ben definite e controllare sempre con attenzione la provenienza dei dati che sono alla base di un determinato strumento o che passano attraverso uno strumento durante il suo utilizzo.

Ad esempio, Getty ha recentemente condiviso i piani per lo sviluppo di strumenti di intelligenza artificiale generativa che saranno addestrati su contenuti con licenza completa, consentendo all’azienda di garantire che i creatori di contenuti che possiedono i diritti sulle immagini utilizzate per addestrare questi modelli siano in grado di ottenere le royalty dalle immagini generate artificialmente. Forse l’aspetto più importante è che l’approccio di Getty promette a coloro che utilizzano il sistema di essere protetti da cause legali per violazione del diritto d’autore sui risultati del sistema di GenIA a causa della provenienza dei dati di addestramento.

Risultati imprecisi o dannosi

L’IA generativa viene addestrata su un determinato set di dati e non c’è un modo semplice per risalire alla fonte di un output a un input specifico o per istruire il modello a “dimenticare” eventuali dati problematici, sensibili o illegali su cui potrebbe essere stato addestrato (anche se sono in corso nuove interessanti ricerche su come “sezionare” i modelli di IA per controllarne il comportamento). Di conseguenza, questi strumenti corrono il rischio di creare risultati imprecisi o altrimenti dannosi, con costi potenzialmente notevoli: quando il chatbot IA di Google ha commesso un errore di base nella sua prima dimostrazione, la valutazione dell’azienda è crollata di oltre 100 miliardi di dollari. Le allucinazioni, i contenuti fuorvianti e gli altri errori fattuali che entrano a far parte degli output dell’LLM vanno da errori divertenti a disinformazioni costose o addirittura pericolose.

In risposta, sviluppatori e utenti devono implementare processi di monitoraggio e feedback per garantire la qualità degli output generati da queste tecnologie e migliorarli continuamente. Inoltre, le aziende devono anche monitorare la qualità del lavoro finale prodotto quando i dipendenti utilizzano queste tecnologie. Se da un lato l’uso di LLM può migliorare significativamente la qualità del lavoro – come dimostra una recente ricerca condotta da un gruppo di persone di Harvard, MIT, Università della Pennsylvania e Boston Consulting Group – dall’altro la qualità può effettivamente peggiorare per alcuni compiti. E se, per esempio, ChatGPT portasse a un peggioramento delle prestazioni dei dipendenti o danneggiasse la qualità delle decisioni e dei servizi?

Per garantire una governance adeguata, che includa un monitoraggio rigoroso e processi di miglioramento continuo, le aziende dovranno anche decidere quale sia il livello di trasparenza interna migliore – o necessario – nell’utilizzo di queste tecnologie. Esiste uno spettro di approcci che i leader aziendali possono adottare: dall’evitare esplicitamente che i dipendenti siano vincolati (e persino incoraggiati) a utilizzare l’IA generativa, alla definizione di linee guida per l’utilizzo (che possono essere suggestive e non applicabili), fino alla creazione di processi più pesanti per rilevare e regolamentarne l’utilizzo.

Come nota a margine, un approccio non vincolante non è necessariamente una cattiva idea. In alcune applicazioni può avere senso concentrarsi sulla qualità del risultato piuttosto che sul modo in cui è stato prodotto. Non regoliamo l’uso di calcolatrici, regoli calcolatori, trattati e altri strumenti; controlliamo invece la qualità del lavoro svolto con quegli strumenti.

Allo stesso modo, se si dimostra che è possibile mettere in atto sistemi di fact-checking o di altro tipo per garantire che i risultati siano accurati, privi di allucinazioni ed evitino altre insidie dei contenuti generati dall’IA, allora potrebbe non essere così necessario per i dipendenti rivelare che uno strumento di IA è stato utilizzato nel corso del loro lavoro. Ci sono anche fattori contestuali in gioco: in alcune applicazioni, errori occasionali possono essere accettabili, mentre in altre il margine di errore può essere limitato o nullo. Il livello di rischio può determinare se l’IA generativa può essere utilizzata in casi aziendali specifici.

Un’altra considerazione che influenzerà l’approccio da adottare sono le limitazioni tecniche. Ad esempio, molti dirigenti del settore dell’istruzione hanno espresso il timore che sia molto difficile individuare gli imbrogli degli studenti che utilizzano ChatGPT per scrivere saggi o completare compiti. Sebbene stiano emergendo nuovi strumenti e programmi di formazione per aiutare le persone a individuare i contenuti generati dall’IA, ci sono molte applicazioni in cui l’applicazione delle restrizioni sull’uso dell’IA generativa rimane una sfida.

In campi come questi, può essere particolarmente importante adottare intenzionalmente un approccio più neutro (quando il rischio di output dannosi è minimo) o integrare le soluzioni tecniche con altre forme di segnalazione della fiducia e di controllo della qualità, come la certificazione o l’audit da parte di terze parti affidabili (in situazioni in cui è più importante evitare certi tipi di contenuti dannosi).

Nuove potenziali responsabilità

Il potenziale di contenuti dannosi o imprecisi determina a sua volta una serie di nuovi rischi di responsabilità quando si utilizzano strumenti di IA generativa in ambito aziendale. Poiché strumenti come GPT-4 dimostrano di essere in grado di superare esami professionali e di svolgere determinati compiti alla pari con gli esseri umani in campi come la legge e la medicina, è sempre più probabile che vengano incorporati in applicazioni reali. Se da un lato questo crea nuove opportunità, dall’altro crea anche nuovi rischi, in quanto le aziende possono essere ritenute responsabili per eventuali contenuti dannosi o decisioni non sicure che questi strumenti aiutano a prendere.

Ad esempio, ChatGPT si è dimostrato efficace nel produrre prime bozze di documenti legali di base come contratti, testamenti e denunce. Ma il rischio di errori può aumentare quando, ad esempio, un avvocato utilizza ChatGPT per redigere un testamento per un cliente, ma non si accorge che l’output di ChatGPT include disposizioni che sono vietate nello Stato del cliente, il che significa che il testamento non sarà esecutivo. Oppure, se un avvocato usa ChatGPT per redigere un reclamo per una controversia contrattuale e il programma fornisce dettagli non veritieri sul caso. In situazioni come queste, gli avvocati possono essere soggetti a sanzioni, compresa la radiazione, e il loro studio può essere soggetto ad azioni legali.

Allo stesso modo, gli LLM possono essere utilizzati per aiutare i medici a diagnosticare i pazienti o per aiutarli a conoscere i problemi medici. Anche i chatbot per la salute mentale rivolti ai pazienti stanno arrivando sul mercato. Ma cosa succede se il chatbot sbaglia e il paziente ne soffre? Normalmente, se i medici commettono errori, possono essere citati in giudizio per negligenza medica. Tuttavia, oggi è meno chiaro se la tecnologia o il fornitore di assistenza sanitaria possano essere ritenuti legalmente responsabili in un caso di negligenza guidata dall’IA (ad esempio a causa dell’uso di un chatbot) o se gli assicuratori per la negligenza medica pagherebbero in caso di una tale causa. Questo è particolarmente difficile con l’IA generativa, poiché i suoi risultati non sono facilmente riconducibili a dati o fornitori di dati specifici.

La responsabilità nel contesto medico è ulteriormente complicata dalla nozione di “standard di cura”. In medicina, la malasanità è definita come una deviazione da ciò che un medico ragionevolmente esperto, competente e istruito avrebbe fatto nelle stesse circostanze di cura. Oggi, questa definizione considererebbe l’eccessivo affidamento a un medico legale come una deviazione problematica dallo standard di cura. Ma potrebbe arrivare un momento in cui lo standard di cura cambierà per incorporare una certa quantità di utilizzo (responsabile) dell’IA generativa, creando potenzialmente un rischio legale associato alla scelta di non utilizzare questi strumenti insieme ai rischi derivanti dal loro utilizzo.

I professionisti e le aziende dovranno considerare una serie di questioni difficili che potrebbero sorgere a causa dell’affidamento sui risultati generati da queste tecnologie. Cosa succede se sorgono potenziali problemi di licenza quando i non professionisti utilizzano gli LLM per generare documenti professionali? Alcuni usi dell’IA generativa in ambito legale potrebbero essere considerati come pratica non autorizzata dell’avvocatura, con conseguenti sanzioni. Che ruolo hanno gli utenti e i produttori di IA generativa nel controllare i limiti di utilizzo di questi modelli? E gli utenti intermedi, come i servizi di assistenza legale, che mettono questi strumenti a disposizione dei clienti e/o li formano su come utilizzare al meglio il software?

Non essendoci risposte univoche, i professionisti e le organizzazioni farebbero bene a consultare gli esperti legali e a determinare con attenzione il modo migliore per mitigare il rischio di responsabilità nel loro specifico ambiente di lavoro. È inoltre probabile che le leggi si evolvano man mano che queste tecnologie si diffondono e che vengono identificati nuovi rischi e nuovi casi legali. In ogni caso, i fornitori e gli utenti di queste tecnologie devono prendere in considerazione tutte le nuove e complesse questioni di responsabilità civile ed evitarle completamente o adottare misure assicurative e/o di mitigazione del rischio adeguate.

Rischi normativi

La velocità dell’innovazione è tale che le applicazioni di IA generativa possono violare le normative digitali non appena queste entrano in vigore. Ad esempio, gli LLM e i modelli fondativi stanno già esponendo e mettendo alla prova i limiti delle normative, tra cui il Digital Services Act dell’UE, recentemente adottato per garantire la fiducia e la sicurezza online, e la proposta di legge dell’UE sull’IA.

È chiaro che le normative che regolano l’uso dell’IA sono ancora in evoluzione. Tuttavia, man mano che queste leggi si espandono per includere i nuovi strumenti di IA generativa, le aziende che si affidano alla generazione e alla condivisione su larga scala dei risultati dell’IA possono trovarsi di fronte a nuovi ostacoli normativi. Ad esempio, sul fronte della proprietà intellettuale, sono già in corso numerose cause relative a problemi di copyright da parte di artisti e creatori i cui contenuti sono stati utilizzati per addestrare questi modelli. Le aziende che utilizzano strumenti costruiti su dati di provenienza incerta potrebbero trovarsi a violare involontariamente il diritto d’autore e altre normative, man mano che queste strutture legali maturano.

Alla luce di questo panorama normativo complesso e in rapida evoluzione, le aziende devono vigilare sull’adozione di protocolli e salvaguardie atte a garantire che queste tecnologie siano utilizzate in modo efficace, responsabile e legale. Tutte le decisioni sull’uso di queste tecnologie – tra cui quando, da chi, come e per quale scopo possono essere utilizzate – devono essere prese in modo dinamico e con un livello di granularità significativo.

Ad esempio, molte recenti leggi dell’UE seguono un approccio basato sul rischio, imponendo vincoli crescenti alle condizioni di utilizzo dell’IA in funzione dei rischi potenziali che può comportare. Le aziende potrebbero dover considerare approcci simili basati sul rischio, non solo tenendo conto dei rischi considerati dalle autorità di regolamentazione, come la sicurezza o l’impatto sulla vita delle persone, ma anche dei potenziali rischi di qualità, operativi, di reputazione e di altri rischi aziendali. Inoltre, protocolli come l’affidamento a team di controllo prima del rilascio e la moderazione ex-post dei contenuti possono aiutare ulteriormente ad anticipare l’uso improprio di questi strumenti.

Naturalmente, con l’evolversi delle normative, è probabile che sorgano nuovi requisiti. In particolare, un’area in cui le nuove leggi sono ancora in fase di sviluppo è la divulgazione esterna dell’utilizzo dell’IA, in linea con i precedenti quadri normativi sulla privacy come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Se il vostro portale di assistenza clienti utilizza un chatbot alimentato dall’IA, siete obbligati a informare i vostri clienti? Se la consulenza che avete preparato è stata informata da un LLM, i vostri clienti devono saperlo?

L’approccio al consenso informato adottato in campo medico e legale può offrire una guida per le aziende che operano in settori in cui la divulgazione non è ancora un requisito legale. In parole povere, il requisito legale per i medici è quello di rivelare tutto ciò che potrebbe ragionevolmente influenzare la decisione del paziente di accettare una procedura medica raccomandata. Ad esempio, alcuni tribunali hanno ritenuto che i medici siano tenuti a comunicare ai loro pazienti se un intervento sarà eseguito da un chirurgo sostituto, in quanto ciò potrebbe ragionevolmente indurre i pazienti a cambiare idea sul proseguimento dell’intervento.

Per le aziende che intendono adottare un approccio simile, può essere opportuno seguire un principio analogo. Ad esempio, se sapete che la decisione di un consumatore medio di acquistare il vostro prodotto o servizio sarebbe influenzata dalla consapevolezza che esso utilizza un’intelligenza artificiale che potrebbe comportare pericoli per la sicurezza, costi economici significativi o altri rischi per gli utenti, dovreste considerare la possibilità di divulgare tale utilizzo.

Ad esempio, l’app per la salute mentale Koko ha scoperto che, mentre ChatGPT aiutava i suoi volontari a scrivere messaggi più velocemente, i messaggi erano meno efficaci quando le persone sapevano di parlare con un bot. Di conseguenza, l’azienda ha deciso di non utilizzare più ChatGPT. In altri casi, invece, la consapevolezza che l’IA generativa è coinvolta potrebbe non avere alcun impatto sulla volontà dei clienti di utilizzare un prodotto, per cui l’imperativo etico o legale di divulgarlo potrebbe essere minore. Le aziende dovranno assicurarsi di rimanere al passo con le nuove normative che emergeranno, ma possono prepararsi già oggi seguendo lo spirito di altre normative esistenti relative al consenso informato e ad altre tutele dei consumatori.

La pressione concorrenziale per salire sul carro dei vincitori

Nonostante i numerosi rischi, man mano che l’IA generativa diventa sempre più comune in un’ampia gamma di settori, la scelta di non utilizzarla potrebbe diventare sempre più insostenibile. Se l’utilizzo di un LLM può far risparmiare agli avvocati diverse ore di lavoro fatturabili, è probabile che i loro clienti li spingano a farlo, anche se i sistemi di monitoraggio dei risultati di questi strumenti sono ancora piuttosto limitati.

In effetti, alcuni esperti legali stanno già sostenendo che le scuole di legge dovrebbero insegnare agli studenti come utilizzare gli LLM, sostenendo che questi strumenti probabilmente diventeranno una componente inevitabile della professione legale. In molti settori, la pressione per ridurre i costi e rimanere competitivi potrebbe spingere i professionisti ad adottare questi strumenti prima che siano veramente pronti, con strutture insufficienti a mitigare i rischi sostanziali che potrebbero creare. Pertanto, le aziende dovranno sempre più valutare come bilanciare i compromessi tra la qualità potenzialmente discutibile delle decisioni o dei risultati degli strumenti di IA e i vantaggi competitivi associati alla velocità, all’efficienza e alla scala che essi consentono.

I compromessi legati all’utilizzo dell’IA, come quelli tra spiegabilità e accuratezza, o tra privacy e sicurezza, non sono nuovi. Uno dei trade-off chiave di strumenti potenti come l’IA generativa è quello tra qualità e velocità. Ad esempio, queste tecnologie hanno il potenziale per aiutare a rispondere in modo significativo alle enormi esigenze legali civili insoddisfatte del pubblico. Un numero significativo di americani a medio reddito non riceve alcuna assistenza significativa quando deve affrontare importanti questioni legali civili come l’affidamento dei figli, il recupero crediti, lo sfratto e il pignoramento. Offrire ai cittadini l’accesso ai LLM – ad esempio per aiutarli a redigere contratti o testamenti – potrebbe dare loro un vantaggio prima che ricorrano a un fornitore di assistenza legale a tempo limitato attraverso i programmi “avvocato per un giorno” offerti da alcuni tribunali. Ma ciò che si guadagna in termini di velocità e scala può andare perso in termini di qualità. Inoltre, può creare esternalità: per esempio, i giudici possono trovarsi di fronte a documenti legali apparentemente plausibili ma in realtà “allucinanti”.

Risolvere i trade-off non è mai facile. Gli utenti e gli sviluppatori di queste tecnologie devono decidere gli standard minimi di qualità che devono essere garantiti quando gli strumenti di IA generativa sono nelle mani di persone con meno formazione, senza sacrificare eccessivamente la velocità e l’efficienza. Le aziende potrebbero anche dover includere adeguati controlli di qualità e la gestione delle violazioni degli standard di qualità, possibilmente in modo graduale (cioè, potenzialmente meno severi per le prime proposte e progetti e più severi per i prodotti finali). Come minimo, i dirigenti devono determinare l’importanza relativa della velocità e della scala rispetto alla qualità per ogni utilizzo dell’IA generativa.

La vostra azienda è pronta per l’IA generativa?

Attualmente, l’IA generativa è ancora utilizzata soprattutto quando si visita un particolare sito web e si offre un prompt nel caso di un LLM basato su chat o si fornisce un’immagine di partenza o un prompt o entrambi nel caso dell’IA generativa basata su immagini. Tuttavia, dato che le principali aziende di IA generativa si stanno rapidamente spingendo verso un’integrazione più completa nei prodotti familiari esistenti, potremmo non essere lontani da un momento in cui l’IA generativa sarà onnipresente come, ad esempio, un testo predittivo nell’invio di un messaggio di testo da un telefono cellulare.

Anche se siamo ancora nelle fasi iniziali, è il momento di sviluppare una strategia organizzativa per affrontare l’IA generativa. I dirigenti devono comprendere sia le potenziali applicazioni di queste innovazioni sia i nuovi rischi che possono introdurre e adottare strumenti, processi e pratiche che possano dare alle loro organizzazioni un vantaggio nella gestione di questi rischi.

I. Glenn Cohen è vice preside, professore di Diritto e direttore del Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics della Harvard Law School. Theodoros Evgeniou è professore all’INSEAD e condirettore del programma di formazione executive dell’INSEAD Transforming your Business with AI. È stato membro della rete di esperti dell’OCSE sull’IA, consulente del BCG Henderson Institute, partner accademico del World Economic Forum per l’intelligenza artificiale e co-fondatore di Tremau, una società tecnologica per le normative digitali. Martin Husovec è professore associato di Diritto presso la London School of Economics and Political Science. È membro della European Copyright Society, un gruppo di importanti studiosi europei del diritto d’autore, e redattore di recensioni di libri presso l’International Journal of Law and Information Technology. È inoltre cofondatore dell’Istituto europeo della società dell’informazione.