Sovranità dell'intelligenza artificiale: controllo dell'intelligenza in un mondo frammentato (parte 4)

Nelle prime tre parti di questa serie abbiamo esaminato la sovranità dell'IT da zero: il contesto legale e geopolitico, il livello dell'infrastruttura fisica e il ruolo strategico del cloud computing. Ogni livello ha evidenziato la stessa sfida di fondo: come trarre vantaggio dagli ecosistemi digitali globali senza cedere il controllo.

In nessun luogo questa sfida è più visibile che nell'intelligenza artificiale.

L’intelligenza artificiale si è rapidamente evoluta da strumenti sperimentali a un motore fondamentale di automazione, analisi e differenziazione competitiva. Man mano che le aziende integrano l'intelligenza artificiale nei flussi di lavoro operativi e nei processi decisionali, è emersa una nuova domanda a livello di consiglio di amministrazione: quanto è sovrana la nostra intelligenza artificiale?

La sovranità dell’intelligenza artificiale non è più un concetto teorico o guidato dalle politiche. Sta diventando una preoccupazione pratica per le aziende che fanno affidamento su dati sensibili, operano in tutte le giurisdizioni e dipendono sempre più da piattaforme di intelligenza artificiale controllate al di fuori della loro portata legale.

Cosa significa realmente la sovranità dell'intelligenza artificiale

La sovranità dell'intelligenza artificiale è la capacità di un'organizzazione di sviluppare, implementare e gestire sistemi di intelligenza artificiale nell'ambito di giurisdizioni, controlli e quadri di governance di sua scelta.

In pratica, ruota attorno a tre elementi strettamente correlati:

• Località e provenienza dei dati: dove vengono archiviati ed elaborati i dati di formazione e inferenza e se l'origine e la composizione dei dati di formazione possono essere regolate, spiegate e difese ai sensi dei quadri giuridici e normativi applicabili
• Controllo del modello:chi ospita, gestisce e può modificare i modelli di intelligenza artificiale
• Indipendenza operativa: se le capacità dell’intelligenza artificiale rimangono disponibili, conformi e verificabili sotto pressione normativa o geopolitica

L’intelligenza artificiale sovrana non implica rifiutare l’innovazione globale o ricostruire tutte le capacità internamente. Significa invece garantire che gli aspetti più critici dell’intelligenza artificiale − dati, modelli e logica decisionale − non siano soggetti ad accessi esteri indesiderati, governance opaca o interruzioni esterne.

Perché l’intelligenza artificiale è diventata un punto critico di sovranità

L’intelligenza artificiale introduce rischi di sovranità che differiscono fondamentalmente dai sistemi IT tradizionali.

Residenza dei dati ed effetti sull'apprendimento

A differenza del software classico, i sistemi di intelligenza artificiale possono imparare dai dati. Quando le aziende inviano dati a piattaforme di intelligenza artificiale esterne − in particolare tramite API − il modo in cui tali dati vengono registrati, conservati o riutilizzati dipende dal fornitore, dal livello di servizio e dai controlli contrattuali.

Sebbene molti fornitori offrano ora misure di sicurezza di livello aziendale e opzioni di residenza dei dati, le aziende restano responsabili di verificare che la gestione dei dati sia in linea con i requisiti normativi e di governance interna. La limitata trasparenza nelle pipeline di elaborazione dell'intelligenza artificiale di terze parti può rendere difficoltosa la verifica e la verificabilità indipendenti, in particolare per i dati regolamentati.

Concentrazione della capacità di intelligenza artificiale

I modelli di intelligenza artificiale avanzati e l’infrastruttura necessaria per gestirli sono concentrati tra un piccolo numero di fornitori globali. Questi fornitori operano secondo regimi giuridici nazionali che possono consentire l’accesso extraterritoriale ai dati o imporre restrizioni all’esportazione o all’uso di tecnologie avanzate di intelligenza artificiale.

Man mano che l’intelligenza artificiale viene incorporata nei processi aziendali principali, questa concentrazione introduce dipendenza strategica. Se l'accesso a una piattaforma di intelligenza artificiale estera è limitato − a causa di modifiche normative, sanzioni o cambiamenti nelle politiche dei fornitori − i flussi di lavoro critici potrebbero essere interessati con poco preavviso.

La pressione normativa si sta intensificando

Le autorità di regolamentazione trattano sempre più l’intelligenza artificiale come un dominio che richiede una governance esplicita. I nuovi quadri normativi applicano un approccio basato sul rischio, imponendo obblighi più severi laddove i sistemi di intelligenza artificiale influenzano decisioni regolamentate, elaborano dati personali o incidono sui diritti fondamentali.

Le aziende restano responsabili dei risultati in termini di conformità anche quando le funzionalità di intelligenza artificiale provengono da terze parti. In questo contesto, la sovranità diventa un prerequisito per la responsabilità piuttosto che una preferenza architettonica facoltativa.

Nel giugno 2024, l'Unione europea (UE) ha adottato le prime norme al mondo in materia di IA. La legge sull'intelligenza artificiale sarà pienamente applicabile 24 mesi dopo la sua entrata in vigore. Questa normativa sull'IA stabilisce un quadro comune per l'uso e la fornitura di sistemi di IA nell'UE. La nuova legge offre una classificazione dei sistemi di IA con requisiti e obblighi diversi, adattati a un approccio basato sul rischio. Alcuni sistemi di IA che presentano rischi “inaccettabili” sono vietati. È autorizzata un'ampia gamma di sistemi di IA “ad alto rischio” che possono avere un impatto negativo sulla salute, la sicurezza o i diritti fondamentali delle persone, ma sono soggetti a una serie di requisiti e obblighi per poter accedere al mercato dell'UE. I sistemi di IA che presentano rischi limitati a causa della loro mancanza di trasparenza saranno soggetti a requisiti di informazione e trasparenza, mentre i sistemi di IA che presentano solo un rischio minimo per le persone non saranno soggetti a ulteriori obblighi. Il regolamento stabilisce inoltre norme specifiche per i modelli di IA per uso generico (GPAI) e requisiti più rigorosi per i modelli GPAI con “capacità ad alto impatto” che potrebbero comportare un rischio sistemico e avere un impatto significativo sul mercato interno.

L'UE attuerà un'infrastruttura di valutazione Agentic sicura, estensibile e in continua evoluzione per misurare i sistemi di IA per uso generico (GPAI) ai sensi della legge dell'UE sull'IA.

I rischi dei modelli di intelligenza artificiale non sovrani

Le aziende che fanno molto affidamento su piattaforme di intelligenza artificiale gestite esternamente si trovano ad affrontare diversi rischi interconnessi.

Esposizione giurisdizionale

I servizi di intelligenza artificiale gestiti da fornitori soggetti ad autorità legale straniera possono essere obbligati a divulgare dati o informazioni operative, indipendentemente da dove avviene il trattamento.

Dipendenza operativa

L'intelligenza artificiale integrata nei flussi di lavoro aziendali critici può diventare un singolo punto di errore se l'accesso viene limitato, modificato o interrotto a causa di decisioni esterne al di fuori del controllo dell'azienda.

Incertezza della conformità

Dimostrare la conformità normativa diventa difficile se i processi di formazione, le pratiche di conservazione dei dati o il comportamento del modello non possono essere chiaramente spiegati, documentati o governati.

Perdita strategica

I dati sensibili utilizzati nei prompt, nella messa a punto o nell’inferenza dell’intelligenza artificiale possono esporre involontariamente proprietà intellettuale, logica aziendale o intuizioni competitive.

Questi rischi aumentano man mano che l'intelligenza artificiale passa dalla sperimentazione ai sistemi aziendali principali.

Strategie per raggiungere la sovranità dell’intelligenza artificiale

La sovranità dell'intelligenza artificiale non richiede l'abbandono delle moderne capacità di intelligenza artificiale. Richiede scelte architettoniche e di governance che preservino il controllo dove conta di più.

1. Formazione locale e inferenza

Uno degli approcci più diretti consiste nell'eseguire carichi di lavoro di intelligenza artificiale su infrastrutture controllate dall'azienda o all'interno di ambienti regionali affidabili. I dati di formazione e l'inferenza rimangono locali, garantendo che le informazioni sensibili non escano dalle giurisdizioni approvate.

Questo approccio è particolarmente rilevante per le industrie regolamentate e i casi d’uso ad alto impatto.

2. Apprendimento federato e intelligenza artificiale distribuita

L'apprendimento federato consente di addestrare modelli di intelligenza artificiale in più sedi senza centralizzare i dati grezzi. Ogni sito si addestra localmente e vengono aggregati solo gli aggiornamenti del modello − non i dati sottostanti.

Per le imprese multinazionali, ciò consente la creazione di intelligence condivisa nel rispetto dei vincoli locali di residenza e sovranità dei dati.

3. Modelli open source e self-hosted

Molte organizzazioni stanno adottando sempre più modelli di intelligenza artificiale open source o sviluppati internamente, che possono essere ospitati e gestiti internamente. Sebbene questi modelli possano essere in ritardo rispetto alle più recenti offerte proprietarie, garantiscono trasparenza, verificabilità e pieno controllo sull'utilizzo dei dati.

Per i flussi di lavoro sensibili, i vantaggi in termini di sovranità spesso superano le differenze marginali nelle prestazioni.

4. Cluster regionali di intelligenza artificiale e infrastrutture sovrane

Le aziende stanno inoltre investendo in cluster regionali di intelligenza artificiale − sia on-premise che tramite fornitori affidabili − che garantiscono che l'elaborazione, l'archiviazione e la governance dell'intelligenza artificiale rimangano sotto il controllo locale. Ciò rispecchia le precedenti strategie cloud sovrane ma è ottimizzato per le richieste computazionali dell'intelligenza artificiale.

5. Misure di sicurezza quando si utilizzano piattaforme di intelligenza artificiale esterne

Laddove i servizi di intelligenza artificiale esteri rimangono necessari, le imprese richiedono sempre più:

• Impegni espliciti di residenza ed elaborazione dei dati
• Chiare restrizioni sulla conservazione e il riutilizzo dei dati
• Modelli di distribuzione che mantengono l'inferenza o la messa a punto all'interno di ambienti controllati dal cliente

Queste misure non eliminano il rischio di sovranità, ma riducono significativamente l’esposizione.

Quando la sovranità dell’intelligenza artificiale è fondamentale − e quando è facoltativa

La sovranità dell'intelligenza artificiale è fondamentale quando:

• L'intelligenza artificiale elabora dati personali o regolamentati
• Gli output influenzano le decisioni regolamentate o critiche per la sicurezza
• I modelli incorporano logica aziendale proprietaria o intuizioni strategiche
• La continuità operativa deve essere garantita in ogni circostanza

La sovranità dell'IA è meno rigorosa quando:

• I dati sono pubblici, anonimizzati o a basso rischio
• L'intelligenza artificiale viene utilizzata per la produttività generica o l'analisi esplorativa
• La sperimentazione a breve termine supera le preoccupazioni relative alla dipendenza a lungo termine

Come per l'infrastruttura e il cloud, l'approccio più efficace è la classificazione del carico di lavoro − applicando i controlli di sovranità proporzionalmente al rischio aziendale e normativo.

Dipendenze estere accettabili nell'intelligenza artificiale

La vera sovranità dell'IA non richiede isolamento tecnologico.

Molte aziende accettano:

• Utilizzo di modelli sviluppati all'estero distribuiti e gestiti localmente
• Sfruttare la ricerca globale sull’intelligenza artificiale e l’innovazione open source
• Noleggio di capacità di elaborazione estera per carichi di lavoro crittografati o sintetici

Ciò che conta non è dove ha origine l’innovazione, ma chi controlla i dati, i modelli e il processo decisionale in fase di esecuzione.

La sovranità viene preservata quando le imprese mantengono la capacità di governare, verificare e uscire − senza essere bloccate in dipendenze opache o incontrollabili.

La domanda essenziale

L’intelligenza artificiale sta rapidamente diventando un motore decisionale piuttosto che uno strumento di supporto. Man mano che la sua influenza cresce anche l’importanza del controllo.

Se l'accesso ai tuoi sistemi di intelligenza artificiale fosse limitato, ispezionato o ritirato da un'autorità esterna, la tua attività funzionerebbe ancora come previsto?

Rispondere a questa domanda non è più facoltativo. È fondamentale per sviluppare strategie IT aziendali resilienti, conformi e a prova di futuro.

Cosa verrà dopo?

Nella prossima parte di questa serie esploreremo la sovranità della sicurezza informatica − in cui il controllo sull'identità, l'intelligence sulle minacce e la risposta agli incidenti determinano se le aziende possono davvero difendersi in un panorama digitale sempre più frammentato.