← Tornar a tots els articles
Guies

L'ordre executiva de Biden sobre la IA: què n'han d'esperar les startups europees

Per Marc Molas·30 d’octubre del 2023·9 min de lectura

Avui, 30 d'octubre de 2023, Biden acaba de signar l'Executive Order on AI Safety, l'ordre executiva més ambiciosa que els EUA han emès mai sobre intel·ligència artificial. Si construeixes un producte que toca la IA — i el 2023 això vol dir la majoria de startups tech —, t'afecta directament, operis des d'on operis.

No perquè la llei nord-americana se t'apliqui automàticament, sinó perquè marca la direcció de la regulació global. I aquesta direcció convergeix amb el que Europa ja té al forn: l'EU AI Act.

Jo no llegeixo aquesta ordre des de la cadira del legal, sinó des de la de l'enginyer — i aquesta distinció és tot l'argument del post. Si el teu pla era «ja ens preocuparem del compliance quan siguem grans», aquest pla acaba de quedar obsolet.

Cinc punts de l'ordre cauen directament sobre el teu roadmap

No penso resumir les 111 pàgines. Aquests són els punts que impacten directament les startups que construeixen amb IA:

  • Proves de seguretat i red-teaming obligatoris: els desenvolupadors de models d'IA d'alt risc hauran de compartir els resultats de les proves de seguretat amb el govern federal abans de fer públics els models. Afecta els models fundacionals que superin un cert llindar de capacitat computacional.

  • Estàndards de transparència: si el teu sistema genera contingut, hauràs d'implementar mecanismes d'autenticació i watermarking. L'objectiu és que els usuaris puguin distingir el contingut generat per IA del creat per humans.

  • Privacitat de dades: l'ordre empeny cap a una legislació federal de privacitat i encarrega a les agències que avaluïn com la IA amplifica els riscos de privacitat, sobretot amb les dades d'entrenament.

  • Equitat i drets civils: directrius perquè els algorismes d'IA no discriminin en habitatge, justícia, ocupació i serveis públics.

  • Competència i innovació: paradoxalment, també vol atraure talent d'IA cap als EUA agilitzant els visats per a investigadors i professionals del sector.

Washington i Brussel·les convergeixen en els mateixos requisits

Aquí és on la cosa es posa interessant per a les startups europees.

L'EU AI Act fa mesos que es negocia i se n'espera l'aprovació final d'aquí a pocs mesos. Defineix un sistema de classificació per risc (inacceptable, alt, limitat, mínim) i estableix obligacions proporcionals per a cada nivell.

El que l'ordre de Biden confirma és que la regulació de la IA no és cap excentricitat europea. És una tendència global. I els requisits s'assemblaran cada cop més entre jurisdiccions:

  • Avaluacions de risc obligatòries
  • Documentació tècnica exhaustiva
  • Traçabilitat de les dades d'entrenament
  • Mecanismes de supervisió humana
  • Transparència en les decisions automatitzades

Si vens a clients dels EUA i d'Europa — o si simplement fas servir models allotjats en infraestructura americana —, hauràs de complir tots dos marcs reguladors. I això no se soluciona amb un document legal.

La regulació és un problema d'enginyeria, no legal

Aquest és l'argument central, i és el que la majoria de fundadors passen per alt.

Quan un regulador et demana «traçabilitat de les decisions del model», no et demana un paràgraf als termes i condicions. Et demana que el sistema registri, emmagatzemi i pugui reproduir el raonament que hi ha darrere de cada output rellevant. Això és arquitectura de programari. És disseny de bases de dades. Són pipelines de logging.

Quan et demanen «avaluació de riscos del model», no és un formulari que omple l'advocat. És un framework d'avaluació automatitzat que posa a prova el model contra benchmarks de biaix, toxicitat i precisió a cada desplegament. Això és MLOps. És CI/CD per a models.

Quan et demanen «governança de les dades d'entrenament», no és una política de privacitat posada al dia. És un sistema de llinatge de dades que documenta d'on surt cada dada, com s'ha processat, qui l'ha aprovada i quan en caduca el consentiment. Això és data engineering.

Mira-t'ho així:

  • Audit trails = logging estructurat + emmagatzematge immutable + APIs de consulta
  • Avaluació de models = pipelines de testing automatitzat + mètriques versionades
  • Governança de dades = catàlegs de dades + control d'accés granular + llinatge
  • Explicabilitat = tècniques com SHAP/LIME integrades al pipeline d'inferència
  • Supervisió humana = interfícies de revisió + cues d'escalat + override manual

Cada un d'aquests requisits reguladors es tradueix en components d'enginyeria concrets. I algú els ha de dissenyar, construir i mantenir.

Compliance-by-design: no es pot afegir a posteriori

La temptació és evident: «primer construïm el producte, aconseguim tracció, i quan la regulació ens atrapi, contractem un equip de compliance».

Això no funciona. I ho dic per experiència: he vist startups intentar-ho.

Encaixar el compliance en un sistema que no s'havia dissenyat per a això surt exponencialment més car que incorporar-lo des del principi. Algunes raons concretes:

El logging retrospectiu és impossible. Si no has registrat les decisions del model des del primer dia, aquell historial no es pot reconstruir. Les dades que no vas capturar no existeixen.

L'arquitectura ho ha de permetre. Si el teu pipeline de ML no té punts d'instrumentació, afegir-los més tard vol dir reescriure parts fonamentals del sistema. No és una funcionalitat nova: és una reescriptura.

El llinatge de les dades d'entrenament no es pot reconstruir a posteriori. Si has entrenat el model amb dades sense el llinatge documentat, no pots demostrar el compliment retroactivament. Hauràs de reentrenar amb dades ben catalogades.

El cost del refactoring es multiplica. Cada sprint sense compliance-by-design és deute tècnic regulador que va acumulant interessos. I a diferència del deute tècnic normal, aquest ve amb multes reals.

L'alternativa és integrar els requisits de compliance a l'arquitectura des del principi. Si jo fos el teu CTO, això és el que deixaria tancat aquest trimestre:

  1. Dissenya l'esquema de logging abans d'escriure la primera línia de lògica de negoci
  2. Implementa el versionat de models i de dades des de la primera iteració
  3. Construeix els punts de supervisió humana com a part del flux, no com un pedaç
  4. Documenta les decisions de disseny d'IA com a artefactes d'enginyeria, no com a notes d'última hora

Què necessita el teu equip per construir tot això

No necessites un equip de 50 persones. Però sí enginyers que entenguin la intersecció entre la producció de programari a escala i els requisits específics dels sistemes d'IA.

Parlo de perfils que:

  • Han dissenyat pipelines de dades amb traçabilitat en entorns regulats (fintech, healthtech...)
  • Entenen l'MLOps més enllà dels notebooks de Jupyter: desplegament, monitoratge, detecció de drift
  • Saben implementar logging estructurat auditable sense enfonsar el rendiment
  • Tenen experiència amb sistemes de permisos granulars i governança de dades en producció
  • Saben dissenyar APIs que exposen les explicacions del model sense comprometre la propietat intel·lectual

Aquests perfils no abunden. I si els busques en mercats tech amb plena ocupació com Alemanya, els Països Baixos o el Regne Unit, t'hi passaràs mesos i pagaràs sous que el teu runway no pot assumir.

Aquí és on l'equació nearshore pren sentit. A Conectia connectem startups europees amb enginyers sèniors de LATAM que ja han treballat en sistemes de producció amb requisits de compliance. No són perfils que aprenguin la regulació pel camí: són enginyers que han construït sistemes auditables en banca, assegurances i salut.

Cada enginyer passa una validació tècnica liderada per CTOs, no per recruiters. Avaluem exactament el que t'importa: la capacitat de dissenyar sistemes que compleixin requisits no funcionals complexos, no només d'escriure codi que funcioni.

El temps corre

L'ordre executiva de Biden ja és oficial. L'EU AI Act es votarà les pròximes setmanes. La finestra per construir compliance-by-design sense pressió reguladora directa s'està tancant.

Si construeixes amb GPT-4, amb models open source com Llama 2 o amb un model propi amb fine-tuning, la pregunta no és si la regulació t'afectarà. La pregunta és si la teva arquitectura estarà a punt quan arribi.

La resposta no és a l'equip legal. És a l'equip d'enginyeria.


Si vols posar a prova fins a quin punt la teva arquitectura està preparada, parla amb un CTO — encantat de contrastar-hi impressions.

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.