Finora, l’adozione dell’AI ha superato i quadri normativi, lasciando alle organizzazioni il compito di definire autonomamente le proprie regole. Tuttavia, questa mancanza di chiarezza non ha rallentato le organizzazioni. Al contrario, l’ultima indagine di McKinsey ha rilevato che l’88% delle organizzazioni dichiara già di utilizzare l’AI in almeno una funzione aziendale. Nonostante ciò, l’innovazione ha rallentato ed è diventato evidente che le organizzazioni hanno trascurato un elemento chiave per un’AI sicura e protetta: la sovranità dei dati.
Allo stesso tempo, la regolamentazione ha iniziato a recuperare terreno e gran parte di essa punta agli stessi principi di sovranità dei dati e visibilità dell’AI. Si consideri, ad esempio, l’EU AI Act, che stabilisce regole rigorose, basate sul rischio, sia per lo sviluppo sia per l’implementazione dell’AI all’interno dell’UE, al fine di migliorarne la visibilità.
Piuttosto che procedere alla cieca, le organizzazioni devono fermarsi per sviluppare architetture dei dati trasparenti, tracciabili e progettate secondo il principio della sovranità. In caso contrario, non solo non riusciranno a sbloccare il reale potenziale dell’AI per il proprio business, ma rischieranno anche di rimanere indietro sul fronte della conformità normativa.
Indice degli argomenti
La qualità dei dati è il primo banco di prova dell’AI
Come prevedibile, sia la sovranità digitale sia l’innovazione nell’AI ruotano attorno ai dati. È ormai ampiamente documentato che l’AI necessita di grandi quantità di dati, e questi non mancano: IDC stima che la datasfera globale abbia raggiunto circa 181 zettabyte annui nel 2025. Tuttavia, nonostante l’abbondanza di dati, i progetti pilota di Generative AI (genAI) continuano a fallire su larga scala. Alcune ricerche suggeriscono che fino al 95% dei progetti pilota di genAI nelle imprese non riesce ad arrivare in produzione, né a dimostrare un ROI misurabile. Il motivo? Problemi storici di data hygiene.
Anche grazie all’AI, la crescita dei dati è diventata esponenziale, ma le organizzazioni non sono riuscite a tenere il passo. Questo afflusso ha superato di gran lunga le capacità dei processi di gestione e archiviazione, e le organizzazioni hanno in parte perso il controllo della situazione, conservando dati “spazzatura” insieme ai dati “utili” necessari per l’utilizzo dell’AI. In definitiva, i sistemi di AI ereditano non solo i bias, ma anche la qualità e la struttura dei dati su cui vengono addestrati. Di conseguenza, se i dataset di training sono mal strutturati e includono dati “spazzatura”, ne risentono sia gli output sia l’usabilità.
Esiste inoltre un impatto significativo a catena su conformità e regolamentazione. Sebbene le autorità di regolamentazione non abbiano ancora adottato un approccio unificato alla regolamentazione dell’AI, è già evidente che la visibilità sarà un elemento centrale nei requisiti futuri. Solo in Europa, l’EU AI Act e la Direttiva NIS2 stanno già indicando una spinta più ampia verso una governance più solida, maggiore trasparenza e un controllo più rigoroso sui dati operativi e di training. E senza una forte sovranità, le organizzazioni non saranno in grado di mappare e comprendere il proprio panorama dei dati, compromettendo l’aderenza ai requisiti attuali e futuri.
Classificare le informazioni significa ridurre rischi e sprechi
Dopo gli ultimi anni di crescita dei dati, la portata dei workload che la maggior parte delle aziende gestisce oggi può risultare scoraggiante. Prima di poter migliorare la data hygiene, le organizzazioni devono innanzitutto comprendere e classificare i propri dati. Non solo in base al contenuto, ma anche in funzione del loro livello di sensibilità. Un dato può essere utile per un progetto pilota di genAI, ma se è troppo sensibile, non può essere utilizzato. Questo livello di consapevolezza non solo evita di fornire erroneamente dati sensibili ai programmi di genAI, ma può anche essere determinante per creare soluzioni di genAI in grado di esprimere appieno il loro potenziale. Invece di addestrarle su un insieme di dati “utili” mescolati a dati “spazzatura”, le organizzazioni potranno alimentare l’AI esclusivamente con le informazioni realmente necessarie.
Una volta definito questo quadro e compreso con quali dati si ha a che fare, le organizzazioni possono iniziare a stabilire i requisiti di sovranità per ciascun insieme di dati, includendo sia gli aspetti normativi sia quelli legati alla localizzazione.
Per alcuni, la reazione immediata è limitare l’utilizzo per soddisfare i requisiti più stringenti delle leggi sulla localizzazione dei dati. Tuttavia, il GDPR dell’UE, ad esempio, non impone la localizzazione all’interno di uno specifico Paese dell’Unione, ma richiede che i dati restino all’interno dello Spazio Economico Europeo (SEE), pur prevedendo rigide restrizioni sul trasferimento dei dati personali al di fuori di esso — creando di fatto un effetto di “localizzazione soft”.
Si tratta di un tema ricco di sfumature, motivo per cui molte organizzazioni stanno adottando architetture ibride o multi-cloud per mantenere flessibilità su dove i workload vengono elaborati e archiviati. Grazie a questi approcci, è possibile vincolare i dati dove necessario per rispettare i requisiti di localizzazione, mantenendo al contempo la portabilità dei dati, che sarà essenziale con l’evolversi delle normative. Questa flessibilità e trasparenza consentono alle organizzazioni non solo di monitorare dove risiedono i propri dati, ma anche chi può accedervi — un aspetto fondamentale non solo per la conformità, ma anche per la sicurezza.
La sovranità non è compliance, ma strategia”
Finora, la sovranità dei dati è stata relegata in fondo alla lista delle priorità, considerata per lo più come un esercizio di compliance. Le organizzazioni l’hanno trattata come un semplice requisito da soddisfare all’interno di un elenco più ampio di obblighi normativi, anziché considerarla una componente fondamentale della propria strategia dei dati. Tuttavia, se pienamente compresa e utilizzata correttamente, in allineamento con la strategia aziendale complessiva, può fare molto di più.
Non solo può contribuire ai framework di data governance che supportano le operazioni, ma può anche aiutare a definire e strutturare la governance dell’AI. Con dati puliti, strutturati e classificati, le organizzazioni possono finalmente sbloccare il vero potenziale dei propri progetti pilota di genAI.
Finora la sovranità dei dati è stata sottovalutata, ma con l’innovazione nella genAI che rallenta e la regolamentazione che recupera terreno, le organizzazioni non possono più permettersi di continuare a ignorarla.
