Il Dipartimento del Tesoro degli Stati Uniti ha pubblicato una serie di documenti pensati per il settore dei servizi finanziari statunitensi, proponendo un approccio strutturato alla gestione dei rischi legati all'AI nelle operazioni e nelle policy.

Framework specifico per il settore finanziario

I sistemi di AI introducono rischi che i framework di governance tecnicica esistenti non sono in grado di affrontare adeguatamente. Questi rischi includono la distorsione algoritmica, la limitata trasparenza nei processi decisionali, le vulnerabilità informatiche e le complesse dipendenze tra sistemi e dati. I modelli linguistici di grandi dimensioni (LLM) sollevano ulteriori preoccupazioni a causa della difficoltà di interpretarne o prevederne il comportamento.

Il Financial Services AI Risk Management Framework (FS AI RMF) si propone come un'estensione del framework NIST, con l'aggiunta di controlli specifici per il settore e linee guida pratiche per l'implementazione. L'obiettivo è aiutare le istituzioni finanziarie a identificare, valutare, gestire e governare i rischi associati ai sistemi di AI, consentendo al contempo alle aziende di continuare ad adottare le tecnicie di AI in modo responsabile.

Struttura principale del framework

L'FS AI RMF collega la governance dell'AI con i processi più ampi di governance, rischio e conformità che già interessano le istituzioni finanziarie. Il framework contiene quattro componenti principali: un questionario sullo stadio di adozione dell'AI, una matrice di rischio e controllo, una guida all'applicazione del framework e una guida di riferimento agli obiettivi di controllo.

Il questionario sullo stadio di adozione dell'AI aiuta le organizzazioni a determinare il livello di maturità del loro utilizzo dell'AI, valutando fattori come l'impatto aziendale dell'AI, gli accordi di governance, i modelli di deployment, l'uso di fornitori terzi di AI, gli obiettivi organizzativi e la sensibilità dei dati.

Sulla base di questa valutazione, le organizzazioni vengono classificate in quattro fasi di adozione dell'AI: fase iniziale, fase minima, fase di evoluzione e fase integrata. Queste fasi aiutano le istituzioni a concentrare i propri sforzi sui controlli appropriati al loro livello di maturità.

Rischio e controllo

Gli obiettivi di controllo per ogni fase di adozione dell'AI affrontano argomenti di governance e operativi, tra cui la gestione della qualità dei dati, il monitoraggio dell'equità e della distorsione, i controlli di cybersecurity, la trasparenza dei processi decisionali dell'AI e la resilienza operativa.

Il framework raccomanda di mantenere procedure di risposta agli incidenti specifiche per i sistemi di AI e di creare un repository centrale per il monitoraggio degli incidenti di AI, processi che aiuteranno le organizzazioni a rilevare i fallimenti e a migliorare la governance nel tempo.

AI affidabile

Il framework incorpora principi per un'AI affidabile, definiti come validità e affidabilità, sicurezza e resilienza, responsabilità, trasparenza, spiegabilità, protezione della privacy ed equità. Questi forniscono una base per la valutazione dei sistemi di AI lungo il loro intero ciclo di vita.

Per i leader senior delle istituzioni finanziarie, l'FS AI RMF offre una guida per l'integrazione dell'AI nei framework di gestione del rischio esistenti. Sottolinea la necessità di coordinamento tra le diverse funzioni aziendali nell'organizzazione. I team tecnici, i responsabili del rischio, gli specialisti della conformità e le business unit devono tutti partecipare al processo di governance dell'AI.