Il 30 ottobre 2023 il G7 ha pubblicato un Code of Conduct e dei Guiding Principles relativi allo sviluppo e all'uso di sistemi avanzati di Intelligenza Artificiale (AI), inclusi i cd. foundation models e i sistemi generativi. Il Code of Conduct sviluppa gli undici Guiding Principles dettagliandoli e fornendo maggiori indicazioni operative sulla loro implementazione.
G7 - Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems: Codice di condotta per lo sviluppo e utilizzo dei sistemi di AI più avanzati
Anno 2023
Il Code of Conduct è strutturato come un documento in continua evoluzione, suscettibile di aggiornamenti futuri mediante consultazioni con le varie parti interessate e fondato sui principi in tema di AI già elaborati dall'Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE). Le organizzazioni che sviluppano sistemi avanzati di AI sono tenute ad applicare le azioni delineate nei Guiding Principles in ogni fase del ciclo di vita del sistema, adottando un approccio basato sul rischio.
Il Code of Coduct raccomanda inoltre di osservare i diritti umani e i principi come la diversità e la non discriminazione, evitando lo sviluppo o l'impiego di sistemi che minaccino i valori democratici o causino gravi danni. Il documento si concentra nel fornire indicazioni applicative in relazione ai singoli Guiding Principles, come specificato di seguito:
- Identificazione, valutazione e mitigazione dei rischi nello sviluppo e nell'implementazione di sistemi AI (Principio 1): il testo dettaglia una lista di rischi da monitorare attentamente, tra cui rischi chimici, biologici, radiologici, nucleari, capacità cibernetiche offensive, pericoli per la salute e/o la sicurezza, rischi legati a modelli auto-replicanti, rischi sociali, minacce ai valori democratici e ai diritti umani, nonché la potenzialità di sviluppo di eventi a catena. Inoltre, le organizzazioni impegnate nello sviluppo di sistemi avanzati di AI devono cooperare con le altre parti interessate in tutti i settori per valutare e adottare misure di mitigazione, particolarmente per rischi di natura sistemica.
- Monitoraggio delle vulnerabilità e degli incidenti post-implementazione (Principio 2): nel favorire la scoperta e la segnalazione di problemi da parte di utenti e terze parti, il Code of Conduct incoraggia l’utilizzo di sistemi di ricompense e premi.
- Divulgazione delle capacità e limiti dei sistemi di AI (Principio 3): in relazione alla pubblicazione di report dettagliati in occasione di sviluppi significativi, il documento specifica che tale report dovrebbe includere informazioni sulle valutazioni effettuate, sulle capacità dei modelli o dei sistemi e sulle limitazioni rilevanti, oltre che analisi accurate sugli effetti e sui rischi per la sicurezza e la società associati al modello o al sistema.
- Condivisione di informazioni e segnalazioni di incidenti (Principio 4): il testo favorisce lo sviluppo, l’avanzamento e l’adozione di standard, strumenti e best practices condivisi per garantire la sicurezza, la protezione e l'affidabilità dei sistemi avanzati di AI.
- Sviluppo di politiche di governance e gestione del rischio (Principio 5): Il Code of Conduct promuove l'adozione di misure organizzative e di policy interne per la governance dell'AI, incluse procedure e attività di formazione per garantire che il personale abbia familiarità con i propri compiti e con le pratiche di gestione del rischio dell'organizzazione, al fine di promuovere un approccio sia responsabile che trasparente.
- Implementazione di controlli di sicurezza in tutto il ciclo di vita dell'AI, comprese le protezioni per la sicurezza fisica, la cibersicurezza e le minacce interne (Principio 6): il documento, rispetto ai Guiding Principles, dedica maggiore attenzione a questi ultimi due aspetti, richiedendo l’implementazione di un solido programma di rilevazione delle minacce interne e, in relazione alla cibersicurezza, l'esecuzione di una valutazione dei rischi specifica e l'implementazione di procedure dedicate oltre che di soluzioni tecniche e istituzionali appropriate alle circostanze rilevanti.
- Sviluppo e distribuzione di meccanismi affidabili di autenticazione e provenienza dei contenuti, dove possibile, per consentire agli utenti di identificare i contenuti generati dall'IA (Principio 7): il testo promuove la collaborazione tra le organizzazioni per far progredire lo sviluppo del settore.
- Promozione della ricerca per la mitigazione di rischi globali e degli investimenti in misure di mitigazione effettive (Principio 8): Il Code of Conduct evidenzia la necessità di garantire il sostegno dei valori democratici, il rispetto dei diritti umani, la protezione dei bambini e dei gruppi vulnerabili, la salvaguardia dei diritti di proprietà intellettuale e della privacy e l'evitare bias, disinformazione e manipolazione delle informazioni. In relazione alla mitigazione dei rischi, le organizzazioni dovranno gestire in modo proattivo i rischi dei sistemi avanzati di AI, condividere le ricerche e best practices in materia.
- Promozione dell'uso di sistemi avanzati di AI per affrontare sfide globali come la crisi climatica, la salute e l'istruzione (Principio 9): il documento incoraggia le organizzazioni a promuovere la gestione responsabile di un'IA affidabile e incentrata sull'uomo e sostenere iniziative di alfabetizzazione digitale, cooperando con la società civile per identificare le sfide prioritarie e sviluppare soluzioni innovative.
- Promozione di standard tecnici internazionali (Principio 10): il Code of Conduct pone particolare rilievo allo sviluppo di metodologie di test, di meccanismi di autenticazione e provenienza dei contenuti, di politiche di cybersicurezza, e di pubblicità della reportistica. Il testo promuove anche lo sviluppo di standard interoperabili e sistemi per distinguere i contenuti generati dall'AI.
- Implementazione di misure protettive per i dati personali e la proprietà intellettuale (Principio 11): il documento specifica che tali misure potrebbero includere le tecniche di addestramento che tutelino la privacy e misure di testing per garantire che i sistemi non divulghino dati riservati o sensibili. Le organizzazioni sono incoraggiate a implementare misure di salvaguardia adeguate, per rispettare i diritti legati alla privacy e alla proprietà intellettuale, compresi i contenuti protetti da copyright.
Il testo del documento è disponibile al seguente link e nel box download