Trascrizione IA che mantiene i Suoi dati in Europa

Nota: Questo articolo descrive l’architettura e il design di Mandraki. Alcune funzionalità discusse vengono rilasciate progressivamente e potrebbero non essere ancora disponibili in tutti i piani.

La trascrizione basata su IA e la sintesi delle riunioni sono diventate funzionalità attese negli strumenti di collaborazione aziendale. Fanno risparmiare tempo, migliorano l’accessibilità e creano registrazioni ricercabili delle discussioni che altrimenti esisterebbero solo nella memoria dei partecipanti.

Ma per le organizzazioni europee, queste funzionalità portano con sé una domanda seria: dove viene inviato l’audio, chi lo elabora e cosa succede dopo?

Con la maggior parte delle principali piattaforme di collaborazione, la risposta è scomoda. L’audio viene trasmesso in streaming a data center gestiti da aziende statunitensi, elaborato da modelli ospitati su infrastruttura sotto controllo statunitense, e conservato secondo termini regolati dal diritto USA. Per un ospedale europeo che discute le cure dei pazienti, una banca che esamina la strategia finanziaria o un ministero che coordina le politiche, non si tratta di una preoccupazione normativa astratta — è un rischio reale per la protezione dei dati.

Mandraki adotta un approccio fondamentalmente diverso.

Elaborazione all’interno della giurisdizione UE

Ogni componente della pipeline IA di Mandraki gira su infrastruttura iperscalare europea all’interno dell’Unione Europea. La cattura dell’audio, l’elaborazione speech-to-text, il modello di sintesi e l’archiviazione dei risultati avvengono tutti su server soggetti al diritto UE, gestiti da un provider cloud di proprietà europea, senza alcuna società madre statunitense o esposizione giurisdizionale.

Non si tratta di selezionare una regione UE all’interno della console di un provider cloud statunitense. Il nostro provider di infrastruttura è un’azienda europea, costituita secondo il diritto UE, senza alcuna struttura di proprietà estera che potrebbe creare un’esposizione giurisdizionale indiretta. Quando il Suo audio viene elaborato dalle funzionalità IA di Mandraki, rimane all’interno dello stesso confine sovrano del resto dei Suoi dati.

Come funziona la trascrizione

Quando un’organizzazione abilita la trascrizione IA per una chiamata, il flusso audio viene catturato dalla nostra Selective Forwarding Unit e inviato al servizio di trascrizione che gira sulla stessa infrastruttura iperscalare europea. Il modello speech-to-text elabora l’audio quasi in tempo reale, generando una trascrizione con timestamp e attribuzione degli oratori.

La trascrizione viene poi crittografata utilizzando la Data Encryption Key dell’organizzazione — la stessa crittografia a busta a tre strati che protegge tutti gli altri dati in Mandraki — e archiviata insieme al record della chiamata. Per le organizzazioni BYOK, la trascrizione viene crittografata con la gerarchia di chiavi controllata dal cliente, garantendo il pieno controllo crittografico.

Dopo l’elaborazione, il buffer audio grezzo viene scartato dalla memoria. Non viene scritto su disco, non viene conservato per l’addestramento dei modelli e non è accessibile al personale Mandraki.

Sintesi e funzionalità intelligenti

Oltre alla trascrizione, Mandraki offre la sintesi delle riunioni basata su IA. Alla fine di una chiamata (o su richiesta durante una chiamata), il modello di sintesi elabora la trascrizione per generare un riassunto strutturato: punti chiave della discussione, decisioni prese, azioni identificate e domande sollevate.

Questi riassunti sono progettati per essere utili senza essere riduttivi. Preservano la sostanza di una discussione rendendola al contempo scansionabile. Per una chiamata di trenta minuti, un tipico riassunto è di due o tre paragrafi — sufficienti a ricordare a un partecipante i punti chiave o a informare un collega che non ha potuto partecipare.

Come le trascrizioni, i riassunti sono crittografati a riposo con la gerarchia di chiavi dell’organizzazione e soggetti alle stesse politiche di conservazione dei dati.

La mutua esclusione con E2EE

Crediamo nella trasparenza sui vincoli architetturali. La trascrizione IA e la crittografia end-to-end si escludono a vicenda in Mandraki. Non è una limitazione che possiamo eliminare con l’ingegneria — è una proprietà fondamentale dell’E2EE.

La crittografia end-to-end significa che il server non può accedere al contenuto in chiaro. La trascrizione IA richiede che il server elabori audio in chiaro. Questi due requisiti sono logicamente incompatibili.

Mandraki applica questo vincolo a livello architetturale, non solo tramite policy. Una chiamata con crittografia end-to-end abilitata non può avere le funzionalità IA attive, e viceversa. La guard validateAiE2eeMutualExclusion verifica questo vincolo prima che qualsiasi operazione IA sia consentita.

Le organizzazioni scelgono la loro preferenza a livello di chiamata o canale. Un’azienda potrebbe usare E2EE per le riunioni del consiglio di amministrazione e le discussioni legali, abilitando al contempo la trascrizione IA per gli standup generali del team. La scelta è granulare ed esplicita.

Consenso e governance

Le funzionalità IA in Mandraki sono governate a più livelli, riflettendo il principio che organizzazioni e individui debbano mantenere il controllo su come le loro comunicazioni vengono elaborate.

A livello di organizzazione, gli amministratori impostano una policy IA: disabilitata (nessuna funzionalità IA disponibile, E2EE disponibile), opt-in (IA disponibile ma richiede il consenso per chiamata dai partecipanti) o abilitata (IA attiva per impostazione predefinita). Possono anche attivare singole funzionalità: trascrizione, sintesi, risposte intelligenti e analisi delle registrazioni.

A livello di chiamata, quando la policy dell’organizzazione è impostata su opt-in, ai partecipanti viene chiesto il consenso prima che le funzionalità IA si attivino. Il consenso viene registrato con un timestamp e le specifiche funzionalità per cui è stato concesso. Se un qualsiasi partecipante rifiuta, la chiamata procede senza funzionalità IA.

Questo modello di consenso è progettato per soddisfare i requisiti del GDPR per il trattamento lecito, in particolare nelle giurisdizioni in cui il monitoraggio dei dipendenti è soggetto a regole rigide. Il registro dei consensi fornisce una traccia verificabile che può essere prodotta alle autorità di protezione dei dati se richiesto.

Conservazione dei dati

Mandraki supporta tre modalità di conservazione dei dati IA, configurabili a livello di organizzazione.

Transient. I contenuti generati dall’IA (trascrizioni, riassunti) esistono in memoria durante l’elaborazione e vengono crittografati e archiviati, ma l’input grezzo (buffer audio) non viene mai persistito. Questa è l’unica modalità disponibile per le organizzazioni BYOK.

Session. I contenuti generati dall’IA vengono conservati per la durata della chiamata e per un periodo di grazia configurabile successivo, poi eliminati automaticamente.

Persistent. I contenuti generati dall’IA vengono conservati secondo la politica di conservazione dei dati dell’organizzazione, crittografati a riposo e inclusi nell’esportazione dei dati.

In tutte le modalità, l’audio grezzo non viene mai conservato oltre la finestra di elaborazione. Mandraki non utilizza l’audio o le trascrizioni dei clienti per l’addestramento o il miglioramento dei modelli. I modelli IA non vengono ottimizzati sui dati dei clienti.

Un approccio europeo all’IA sul posto di lavoro

L’AI Act europeo stabilisce categorie di rischio e requisiti di trasparenza per i sistemi IA. Sebbene le funzionalità IA per la collaborazione come trascrizione e sintesi rientrino generalmente in categorie di rischio inferiori, i principi di trasparenza, consenso e minimizzazione dei dati sono centrali nell’approccio di Mandraki.

Crediamo che le funzionalità IA debbano rendere il lavoro più facile senza richiedere alle organizzazioni di scendere a compromessi sulla sovranità dei dati o sulla privacy dei dipendenti. Elaborare all’interno della giurisdizione UE, crittografare gli output con chiavi controllate dal cliente, applicare il consenso e fornire controlli di conservazione granulari sono il modo in cui realizziamo questa convinzione.