Conform rapoartului ISACA, doar 21% dintre profesioniștii de încredere digitală au declarat că ar putea interveni semnificativ într-un incident de AI în mai puțin de 30 de minute. Un impresionant 59% a admitat că nu înțelege cât de rapid organizația lor ar putea opri un sistem de AI în curs de desfășurare unui incident de securitate. Mai mult, doar 42% au exprimat orice nădăjdă în capacitatea organizației lor de a analiza și de a clarifica cauzele unui incident serios de AI. Această lipsă de pregătire nu este doar o deficiență tehnică — este o deficiență de guvernanță, de responsabilitate și de cultură organizațională.
Ali Sarrafi, CEO și fondator al Kovant, o platformă de afaceri autonome, a subliniat că aceste rezultate indică o problemă structurală: „Sistemele de AI sunt integrate în fluxuri de lucru critice fără stratul de guvernanță necesar pentru a le supraveghea și audita acțiunile. Dacă o afacere nu poate opri rapid un sistem de AI, explica comportamentul său sau chiar identifică cine este responsabil, atunci acea afacere nu are control asupra sistemului.”
Această observație este crucială. De multe ori, organizațiile tratează riscul AI ca un problemă strict tehnică — ceva ce poate fi rezolvat prin actualizări de software, patch-uri de securitate sau modele mai bune antrenate. Dar, conform studiului ISACA, problema este mult mai profundă: e o problemă de proces, de responsabilitate și de design organizațional. Fără un cadru clar de guvernanță, chiar și supravegherea umană devine insuficientă. Deși 40% dintre respondenți au declarat că oamenii aprobă aproape toate acțiunile AI înainte de implementare, și 26% evaluă rezultatele, această supraveghere este adesea superficială, neformată și lipsă de mecanisme de escaladare sau de oprire de urgență.
Un alt aspect preocupant este lipsa de claritate privind responsabilitatea. Doar 38% dintre respondenți au identificat Consiliul de Administrație sau un executive ca fiind ultimul responsabil în cazul unui prejudiciu cauzat de un sistem de AI. Un șocant 20% a admitat că nu știe cine ar fi responsabil. Această ambiguitate nu doar că complică răspunsul la incident, dar și crește riscul de acoperire juridică și reputațională. În absența unei linii clare de responsabilitate, organizațiile devin vulnerabile la acțiuni judiciare, sancționări de la regulatorii (cum ar fi AI Act-ul UE sau regulamentele specifice sectoarelor) și reacții publice violente.
Studiul ISACA a evidențiat și o practică periculoasă: peste un terț (34%) dintre organizații nu cer angajaților să declare unde și când folosesc AI în produsele sau serviciile lor de muncă. Aceasta creează „punte ceacă” în care sistemul de AI operează invizibil — fără supraveghere, fără documentare, fără audit. În astfel de condiții, un comportament neașteptat al modelului (de exemplu, o discriminare rasială într-un sistem de angajare, o predicție financieră eronată sau un comandament periculos într-un vehicul autonom) poate rămâne necunoscut pe zile, săptămâni sau chiar luni, amplificând daunele.
Sarrafi propune o schimbare de paradigmă: AI nu trebuie tratat ca un instrument pasiv, ci ca un „angajat digital” care trebuie să aibă proprietate clară, căi de escaladare definite și capacitatea de a fi opriet sau suprascris instantaneu atunci când sunt depășite pragurile de risc. „În acest mod, agenții încetă să fie boti misteriosi și devin sisteme pe care le poți inspecta și pe care le poți încredere,” a declarat el. Această analogie este puternică: așa cum nu lăsăm un angajat uman să lucreze necontrolat fără supervisie, evaluări de performanță și politici clare, așa ar trebui să facem și cu sistemele de AI.
De asemenea, Sarrafi subliniază că încetarea adopției AI nu este soluția. În schimb, cheia este să se gândească diferit despre modul în care AI este gestionat. Guvernanța nu poate fi o gândire postfactum — trebuie să fie incorporată în arhitectură de la ziua unu, cu vizibilitate și control proiectați la fiecare nivel: de la colecția datelor și antrenarea modelului, până la implementare, monitorizare în timp real și feedback de la utilizatori și stakeholderi.
Organizațiile care reușesc să implementeze acest model nu doar reduc riscurile — ele devin capabile să scaleze AI cu încredere. Când știi că poți opri rapid un sistem defectuos, că poți explica ce a făcut și de ce, și că cineva este clar responsabil, atunci AI devine un avantaj competitiv, nu o datorică.
În concluzie, studiul ISACA nu este doar un avertisment — este un apel la acțiune. Pentru a beneficia plen de potențialul transformator al AI, organizațiile trebuie să investească în:
Într-o lume în care AI devine tot mai omnipresentă, diferența dintre succes și eșec nu va fi dată doar de performanța modelului, ci de maturitatea guvernanței care-l înconjoară. Organizațiile care vor înțelege acest lucru nu vor doar evita daunele — ele vor deveni lideri în era AI responsabilă.
