Introduzione
Le soluzioni di intelligenza artificiale stanno entrando nei sistemi aziendali senza passare per i tradizionali processi contrattuali e di due diligence, creando una zona cieca nella gestione del rischio dei fornitori per il settore manifatturiero.
Analisi del problema
Le unità operative richiedono strumenti predittivi per ottimizzare l’approvvigionamento delle materie prime. Dopo le approvazioni standard, funzionalità AI vengono attivate tramite aggiornamenti di prodotto, spesso senza un nuovo contratto o una revisione della privacy. Questo porta a una cambiamento non tracciato delle capacità del software.
Le piattaforme ERP, i sistemi di gestione del ciclo di vita del prodotto e gli strumenti di manutenzione predittiva elaborano dati sensibili, tra cui formulazioni proprietarie, parametri di processo e informazioni contrattuali dei fornitori. Quando questi dati sono processati da modelli di base la cui operatività e pratiche di conservazione non sono note, i meccanismi tradizionali di valutazione del rischio dei fornitori (TPRM) non riescono a rilevare il nuovo profilo di rischio.
Implicazioni e rischi
Le normative emergenti, come l’Articolo 26 del regolamento sull’IA, impongono ai produttori di documentare lo scopo, monitorare gli output e conservare prove di controllo per i sistemi AI ad alto rischio. L’assenza di consapevolezza sull’esistenza di componenti AI rende impossibile soddisfare tali obblighi, esponendo le organizzazioni a sanzioni.
Il rischio si estende anche alla catena di sub‑processori: il fornitore di software è il terzo‑livello, il modello di base è il quarto‑livello e l’infrastruttura di hosting può rappresentare un quinto‑livello. La mancanza di visibilità su questi livelli rende difficile tracciare i flussi di dati e valutare la conformità alle normative sull’esportazione.
Strategie di mitigazione
Rivalutazione automatica dei fornitori
Implementare un flusso di lavoro che avvii una nuova valutazione del rischio ogni volta che un aggiornamento di prodotto menzioni l’AI o i modelli di linguaggio, indipendentemente dal verificarsi di un acquisto.
Questionario specifico per l’AI
Aggiungere al questionario di due diligence domande sull’identità dei modelli AI utilizzati, l’eventuale addestramento con dati dei clienti, l’elenco dei sub‑processori AI e le certificazioni di sicurezza pertinenti.
Composizione della governance
Integrare nel comitato di gestione del rischio figure come il responsabile della sicurezza delle informazioni, il responsabile della privacy dei dati e, dove coinvolta l’infrastruttura operativa, il responsabile delle operazioni di impianto.
Conclusioni
Il divario nella gestione del rischio dei fornitori legato all’AI rappresenta una vulnerabilità critica per il settore manifatturiero. Attraverso l’adozione di flussi di lavoro di monitoraggio continuo, questionari specifici e una governance più inclusiva, le organizzazioni possono colmare questa lacuna e garantire la conformità normativa e la protezione dei dati sensibili.
