L'approccio di Avetta all'uso responsabile dell'intelligenza artificiale

Avetta ritiene che l'intelligenza artificiale (IA) debba rafforzare la fiducia, migliorare la sicurezza e supportare un processo decisionale più efficace nelle catene di fornitura globali. Sviluppiamo e implementiamo l'intelligenza artificiale in modo ponderato e responsabile per migliorare i nostri prodotti, supportare le nostre attività interne e fornire valore ai nostri clienti, mantenendo trasparenza, responsabilità e solide tutele.

Come usiamo l’intelligenza artificiale

Avetta utilizza l'intelligenza artificiale per supportare la propria missione di migliorare sicurezza, conformità ed efficienza nelle catene di fornitura globali. Alcune funzionalità basate sull'intelligenza artificiale possono essere integrate in determinati prodotti Avetta per aiutare i clienti a lavorare in modo più efficiente, identificare tempestivamente i potenziali rischi e migliorare la coerenza e la precisione nell'elaborazione dei dati e nelle relative analisi. Queste funzionalità sono concepite per supportare il giudizio e il processo decisionale umano, non per sostituirli.

L'uso e l'adozione dell'intelligenza artificiale in Avetta sono disciplinati da politiche e controlli aziendali che si concentrano sulla protezione dei dati, l'accuratezza, la trasparenza e un'adeguata supervisione umana, in linea con i più ampi framework di governance, sicurezza e conformità di Avetta.

I nostri principi fondamentali in materia di intelligenza artificiale

Lo sviluppo, l'implementazione e l'utilizzo dell'intelligenza artificiale da parte di Avetta sono guidati dai seguenti principi:

Supervisione e responsabilità umana

L'intelligenza artificiale serve come strumento di assistenza, non come responsabile decisionale. Manteniamo la revisione e la governance umana a più livelli, in particolare laddove i risultati dell'intelligenza artificiale possono influenzare conformità, sicurezza o risultati correlati al rischio. Ciò include la supervisione interna da parte del nostro personale e meccanismi di controllo da parte degli utenti, che possono accettare, modificare o rifiutare i contenuti generati dall'intelligenza artificiale. La responsabilità finale delle decisioni spetta sempre alle persone, non ai sistemi di intelligenza artificiale.

Trasparenza e uso mirato

Implementiamo l'intelligenza artificiale per scopi aziendali legittimi e chiaramente definiti, in linea con il miglioramento di sicurezza, efficienza, conformità e resilienza della catena di fornitura. Laddove le funzionalità basate sull'intelligenza artificiale generino output destinati agli utenti, tali output sono chiaramente identificati come generati dall'intelligenza artificiale o basati sull'intelligenza artificiale, in modo che gli utenti possano prendere decisioni consapevoli su come utilizzarli o agire.

Equità, affidabilità e consapevolezza del rischio

Riconosciamo che i sistemi di intelligenza artificiale possono generare errori o distorsioni non intenzionali se non gestiti correttamente. Avetta valuta i casi d'uso dell'intelligenza artificiale in termini di pertinenza, affidabilità ed equità prima della distribuzione e li monitora nel tempo al fine di identificare e mitigare rischi quali bias involontari, deriva dei modelli e deterioramento dell'accuratezza.

Privacy e protezione dei dati

La protezione dei dati dei clienti è fondamentale per l'utilizzo dell'intelligenza artificiale da parte di Avetta. Progettiamo e gestiamo sistemi basati sull'intelligenza artificiale con misure di salvaguardia volte a preservare la riservatezza, l'integrità e l'uso appropriato dei dati dei clienti per tutto il loro ciclo di vita.

Avetta applica ai sistemi basati sull'intelligenza artificiale controlli in materia di protezione dei dati coerenti con il proprio più ampio programma di sicurezza delle informazioni e tutela della privacy, inclusi controlli degli accessi, crittografia, registrazione degli eventi e monitoraggio. I dati dei clienti vengono utilizzati solo per scopi commerciali legittimi e definiti e in conformità ai contratti applicabili (compresi eventuali accordi sul trattamento dei dati), le comunicazioni sulla privacy e le leggi sulla protezione dei dati.

Governance, politiche e controlli

Avetta dispone di politiche interne, linee guida e processi di revisione che disciplinano sia i prodotti basati sull'intelligenza artificiale sia l'uso dell'intelligenza artificiale interna. Ecco alcuni esempi:

• Regole chiare su come dipendenti, appaltatori e fornitori possono utilizzare l'intelligenza artificiale per scopi commerciali
• Processi di revisione e approvazione di nuovi strumenti di intelligenza artificiale e funzionalità basate sull'intelligenza artificiale
• Un inventario e una revisione basata sul rischio dei sistemi di intelligenza artificiale utilizzati in tutta l’organizzazione
• Monitoraggio continuo e aggiornamenti in base all'evoluzione di tecnologie, normative e procedure ottimali

Conformità normativa e posizionamento rispetto al Regolamento UE sull'intelligenza artificiale

Avetta si impegna a utilizzare l'intelligenza artificiale in conformità alle leggi e ai regolamenti vigenti, compresi i quadri normativi specifici per l'intelligenza artificiale come il Regolamento sull'intelligenza artificiale dell'UE (EU AI Act).

Ai sensi del framework basato sui ruoli previsto dall'AI Act dell'UE, Avetta può operare in qualità di fornitore di sistemi di IA, deployer (utilizzatore) o entrambi, a seconda dello specifico caso d'uso e del relativo contesto. Avetta valuta il proprio ruolo caso per caso e applica misure di governance proporzionate agli obblighi normativi applicabili.

Avetta adotta un approccio alla governance dell'intelligenza artificiale basato sul rischio, in linea con il Regolamento sull'intelligenza artificiale dell'UE, che prevede la valutazione dei sistemi di intelligenza artificiale in base allo scopo previsto e al potenziale impatto, l'implementazione di un'adeguata supervisione umana, l'applicazione di misure di trasparenza e documentazione laddove richiesto e l'integrazione di considerazioni sull'intelligenza artificiale nei processi esistenti relativi alla privacy, alla sicurezza e al rischio per i fornitori.

Poiché le normative in materia di intelligenza artificiale continuano a evolversi a livello globale, Avetta monitora gli sviluppi legali e aggiorna le proprie politiche, processi e controlli per rimanere in linea con i requisiti applicabili e le aspettative dei clienti.

Gestione dell'intelligenza artificiale responsabile di fornitori e soggetti terzi

Alcune delle nostre funzionalità e capacità di intelligenza artificiale si avvalgono di tecnologie di terzi fornite da fornitori affidabili. Avetta applica i processi esistenti di gestione dei fornitori, sicurezza e revisione legale ai fornitori di intelligenza artificiale, in linea con le modalità con cui valuta gli altri fornitori di servizi critici.

I fornitori di intelligenza artificiale terzi agiscono come responsabili del trattamento dei dati nell'ambito dei contratti di Avetta e sono contrattualmente tenuti a proteggere i dati dei clienti, a utilizzarli esclusivamente nell'ambito della specifica funzionalità di intelligenza artificiale commissionata e a rispettare gli obblighi applicabili in materia di sicurezza, privacy e legge.

Avetta non consente ai fornitori di intelligenza artificiale terzi di utilizzare i dati dei clienti per addestrare o migliorare i loro modelli di intelligenza artificiale o per scopi indipendenti. Valutiamo inoltre le modalità con cui i fornitori di intelligenza artificiale gestiscono, conservano, proteggono ed eliminano i dati, e applichiamo limiti di conservazione dei dati definiti per garantire che i dati dei clienti non vengano conservati da fornitori di intelligenza artificiale terzi oltre il periodo necessario per fornire la funzionalità contrattualmente concordata, in conformità agli standard di protezione dei dati di Avetta

Sicurezza, certificazioni e verifiche indipendenti

Avetta dispone di programmi di sicurezza delle informazioni e privacy a livello aziendale che si applicano alla piattaforma SaaS basata su cloud e ai relativi processi operativi, compresi quelli che supportano funzionalità basate sull'intelligenza artificiale.

Certificazioni ISO

Avetta dispone di un sistema di gestione della sicurezza delle informazioni (ISMS), di un sistema di gestione delle informazioni sulla privacy (PIMS) e di un sistema di gestione della continuità operativa (BCMS) certificati in modo indipendente ai sensi degli standard ISO riconosciuti a livello internazionale, ovvero:

• ISO/IEC 27001:2022 - Gestione della sicurezza delle informazioni
• ISO/IEC 27017:2015 - Controlli di sicurezza per i servizi cloud
• ISO/IEC 27018:2019 - Protezione dei dati personali nei servizi cloud
• ISO/IEC 27701:2019 - Gestione della privacy delle informazioni
• ISO/IEC 22301:2019 - Gestione della continuità operativa

Queste certificazioni coprono i sistemi, i processi e i controlli che supportano la piattaforma SaaS basata su cloud di Avetta e le relative funzioni operative.

Audit SOC 2 tipo II

Avetta viene sottoposta annualmente a un audit indipendente SOC 2 di tipo II riguardante i Trust Services Criteria per la sicurezza e la riservatezza. L'audit valuta l'efficacia progettuale e operativa dei controlli di Avetta per un periodo di audit definito.

I clienti possono consultare le certificazioni ISO di Avetta e il rapporto SOC 2 Type II tramite il Trust Center di Avetta, un portale sicuro che fornisce accesso alla documentazione su sicurezza, conformità e privacy di Avetta. L'accesso a determinati materiali può richiedere la sottoscrizione di un accordo di riservatezza. Il Trust Center è disponibile all’indirizzo https://trust.avetta.com.

Ulteriori richieste di informazioni:

Per ulteriori domande sulle nostre pratiche relative all'intelligenza artificiale, richieste di documentazione sulla conformità o richieste generiche: compliance@avetta.com.

Per questioni relative alla privacy o per esercitare i diritti in materia di protezione dei dati: privacy@avetta.com.