La governance dell’AI passa attraverso le competenze umane
La storia dell’IT aziendale è, in termini generali, una storia di tensioni dialettiche tra centro e periferia, in particolare tra centralizzazione e decentralizzazione. Tra coloro che controllano l’infrastruttura e coloro che devono utilizzarla per produrre valore. Se negli anni passati abbiamo imparato a convivere con lo Shadow IT, ossia l’uso di software e dispositivi mobili al di fuori del controllo dei manager tecnologici, oggi ci troviamo di fronte a una mutazione molto più insidiosa e complessa: lo Shadow AI.
Assistiamo a un fenomeno in cui l’intelligenza artificiale generativa, accessibile a chiunque abbia un browser, viene utilizzata per svolgere compiti critici senza la conoscenza dell’organizzazione. La deduzione logica è semplice: se l’accesso alla potenza computazionale è diventato senza attriti, allora il controllo centralizzato tradizionale non è più un freno sufficiente.
Coloro che utilizzano l’AI in questo modo non lo fanno con intenti malevoli, ma seguono piuttosto un principio di efficienza economica individuale, cercando di massimizzare la propria produttività colmando il divario tra la domanda di velocità imposta dal mercato e la risposta spesso lenta dei processi interni. Sfortunatamente, in questo modo ignorano ciò che mettono a rischio con le loro operazioni.
I rischi dello Shadow AI
Quando portiamo questi strumenti nell’ombra, ossia al di fuori del perimetro della governance aziendale, esponiamo l’organizzazione a tre rischi esistenziali che non possono essere ignorati.
Il primo è, ovviamente, la sovranità dei dati. Inserire dati riservati in un prompt di modello pubblico equivale, in molti casi, a cedere quei dati al fornitore del modello per un futuro addestramento. Si tratta di una perdita silenziosa e continua di proprietà intellettuale, e quindi il core business dell’azienda è a rischio.
Il secondo rischio si presenta quando si dimentica che la macchina calcola, non pensa. Produce contenuti senza rendersi conto di farlo. Nell’ombra, decisioni strategiche potrebbero essere prese sulla base di inferenze statistiche errate, generate da una macchina che non ha una comprensione completa del contesto di ciò che ha prodotto. Se deleghiamo il pensiero alla macchina senza supervisione, stiamo abdicando alla nostra responsabilità umana.
Il terzo rischio riguarda il debito tecnico e legale nascosto. Un codice generato da un’AI senza una licenza chiara, o un testo che viola il copyright, entra nei sistemi aziendali senza tracciabilità. Quando, inevitabilmente, arriverà il momento di rendere conto di quegli asset, l’azienda si troverà a dover affrontare passività di cui non era a conoscenza.
Verso una governance consapevole
La storia digitale ci insegna che divieti e blocchi non funzionano. La risposta non è mai stata l’introduzione di più tecnologia; in effetti, i migliori risultati si ottengono attraverso innovazioni organizzative e, soprattutto, culturali.
È necessario spostare l’asse da un controllo a priori inutile a una competenza. Lo Shadow AI prospera dove manca una cultura diffusa dell’AI. Se i dipendenti utilizzano strumenti non approvati, spesso è perché l’azienda non ha fornito alternative valide e sicure.
Le aziende dovrebbero fornire “sandbox” sicure, ambienti protetti in cui i modelli sono istanziati privatamente, dove i dati non lasciano il perimetro aziendale e dove i risultati sono soggetti a verifica.
È anche necessario un ritorno ai fondamenti del pensiero critico. L’adozione dell’AI richiede più umanesimo, non meno. Dobbiamo formare le persone non tanto nell’uso dello strumento (l’interfaccia è ora il linguaggio naturale, accessibile a tutti), ma nella valutazione del risultato. La competenza tecnica deve evolversi in competenza epistemologica: sapere distinguere una correlazione statistica da un legame causale, riconoscere un pregiudizio, valutare l’etica di un output.
Conclusione
Possiamo quindi ridefinire lo Shadow AI come un segnale di mercato interno. Ci mostra che la fame di automazione cognitiva è immensa. La vera sfida per i dirigenti è portare l’AI dall’ombra alla luce, dove può essere governata, misurata e, soprattutto, diretta dall’intento umano. Se torniamo agli anni ’70, dove esistevano solo sistemi centralizzati e un solo terminale, non avremmo certamente rischi di sicurezza nella periferia, ma neppure creatività e responsabilità, che, a differenza del calcolo, non possono essere delegate. E la responsabilità è l’unica realtà obiettiva che ci distingue, e sempre ci distinguerà, dalle macchine.
