Regole per l’AI nel Settore Bancario: Trasformare il Quadro Normativo in Azione
Il fronte dell’AI è stato paragonato al Far West: priorità in competizione, supervisione limitata e istituzioni bancarie e finanziarie che corrono per rivendicare il proprio posto in una moderna corsa all’oro. Ora, è arrivato un nuovo regolatore. Il Quadro di Gestione del Rischio dell’AI del Tesoro degli Stati Uniti si adatta al quadro NIST dell’AI del 2023 per le istituzioni finanziarie. Fornisce al settore un vocabolario condiviso e un’architettura di controllo comune per governare l’AI, dalla rilevazione delle frodi all’engagement dei clienti, fino agli strumenti di produttività interna. L’obiettivo è di domare il caos e portare responsabilità e coerenza nella governance dell’AI.
Valutazione e Gestione del Rischio dell’AI
Il quadro offre alle istituzioni finanziarie di tutte le dimensioni un modo strutturato per valutare e gestire il rischio dell’AI. La sfida per molte istituzioni è che il quadro presume che le banche sappiano già dove si trova l’AI all’interno delle loro organizzazioni e come viene utilizzata. Quelle senza un inventario di base dell’uso dell’AI affronteranno sfide immediate quando applicheranno il quadro.
Implementare il quadro richiede una notevole coordinazione trasversale e supporto esecutivo. Senza una chiara proprietà e responsabilità, le organizzazioni potrebbero avere difficoltà a operazionalizzare un programma che abbraccia governance, legale, rischio e altre funzioni.
Inoltre, il quadro non è solo un controllo normativo. Segnala un chiaro cambiamento nel modo in cui i Direttori del Rischio e della Conformità e i consulenti esterni supportano la responsabilità, l’esecuzione operativa e i ruoli di consulenza all’interno di questi quadri e risultati. Per gli studi legali, le classificazioni di maturità sono significative poiché rimodellano l’esposizione normativa, di supervisione e di contenzioso a valle.
Componenti del Quadro
Il quadro è strutturato attorno a quattro componenti integrati: un questionario sullo Stadio di Adozione dell’AI che determina la maturità istituzionale, una Matrice di Rischio e Controllo (RCM) che mappa i controlli applicabili, un Manuale che fornisce indicazioni per l’implementazione e una Guida agli Obiettivi di Controllo che offre supporto tecnico dettagliato.
L’applicazione del quadro inizia con il Questionario sullo Stadio di Adozione, un’autovalutazione che categorizza un’istituzione in uno dei quattro livelli di maturità basati sull’uso: Iniziale, Minimo, Evolutivo o Integrato. Il tuo stadio determina quindi quali obiettivi di controllo nella RCM si applicano a te. Una volta determinato il livello di maturità, i controlli vengono costruiti cumulativamente.
Implicazioni e Rischi
La differenza tra Stadio Iniziale e Minimo espande l’ambiente di controllo di oltre 100 obiettivi. Il Questionario determina la portata e la rigorosità delle tue obbligazioni di gestione del rischio sotto il quadro. Tuttavia, il Questionario presume che tu sappia come l’AI sia distribuita nella tua istituzione. In pratica, molte organizzazioni non lo sanno.
Costruire l’inventario dell’AI è uno degli obiettivi di controllo. Mentre il quadro implica la costruzione di un inventario attraverso controlli, un’organizzazione non può completare il Questionario senza un inventario di base dell’uso dell’AI. Ciò include tutto, da un chatbot di produzione a un’implementazione aziendale di un modello di linguaggio, ognuno con un profilo di rischio diverso.
Il Questionario valuta sei dimensioni – impatto aziendale, governance, modello di distribuzione, uso dell’AI di terzi, obiettivi organizzativi e sensibilità dei dati – esaminando dichiarazioni che descrivono le pratiche attuali. La soggettività gioca un ruolo cruciale, poiché le opinioni all’interno della stessa organizzazione possono variare. Sottovalutare la maturità può aumentare il rischio dell’organizzazione, mancando controlli essenziali per l’uso dell’AI.
Conclusione
Dopo aver costruito un inventario funzionante e definito il tuo stadio di adozione, il resto del quadro è relativamente semplice. La RCM mappa le dichiarazioni di rischio a obiettivi di controllo specifici per il tuo stadio. L’esecuzione di questo lavoro richiede coordinamento tra governance, legale, conformità, tecnologia, gestione fornitori, risorse umane e il consiglio. Richiede una preparazione organizzativa che molte istituzioni stanno ancora costruendo.
