La governance IA nei servizi finanziari non è più un'aspirazione vaga ma un requisito operativo. Il divario tra policy e controlli implementati è dove gli audit trovano problemi.
Rischio modello applicato agli LLM
I modelli linguistici sono modelli anche dal punto di vista del rischio. Richiedono inventario, uso previsto, limiti, owner, validazione indipendente, monitoraggio continuo e documentazione delle modifiche materiali.
La sfida è che gli LLM producono testo. Ogni applicazione deve definire cosa significa performance e quali cambiamenti a prompt, corpus o versione modello sono materiali.
Gate di valutazione
I gate bloccano il deploy quando modello o prompt non rispettano i criteri. In un sistema legale possono includere accuratezza di estrazione, tasso di rifiuto fuori ambito, consistenza e latenza massima.
Le soglie non sono universali. Devono essere negoziate con rischio, compliance e business in base alle conseguenze di un errore.
Osservabilità
I sistemi IA richiedono metriche di infrastruttura, applicazione e governance. Oltre a latenza ed errori, vanno monitorati versione prompt, modello, costo, cache, fallback, distribuzione risultati e uso di versioni vecchie.
Responsabilità operativa
La governance reale risponde prima dell'incidente: chi approva i deploy, chi riceve alert, quando il sistema viene fermato, come si registrano override e come si riproducono decisioni passate.
Una governance mai testata sotto pressione può fallire. La documentazione deve essere breve, attuale e verificabile.