Manifest de la Intel·ligència Artificial al CTTI

• Les opcions disponibles per incorporar capacitats d’intel·ligència artificial en solucions de la Generalitat de Catalunya s’hauran de consultar al catàleg de Solucions homologades. Aquestes opcions recolliran, com a mínim, els proveïdors, models, plataformes, versions, mecanismes d’accés i consum homologats, tipologies de desplegament, regions, funcionalitats i condicions d’ús admeses.
• L’ús de la IA s’haurà d’orientar a la millora del servei públic, l’eficiència operativa, la qualitat dels serveis digitals i el suport als professionals públics, sempre sota criteris de legalitat, seguretat, responsabilitat, traçabilitat i govern.
• Les consideracions recollides en aquest manifest formen part de la solvència tècnica, arquitectònica i de seguretat de les solucions que incorporin IA. Aquestes consideracions també apliquen a les aplicacions, agents, automatitzacions o serveis generats, assistits o publicats mitjançant eines d’IA.
• Amb caràcter general, no s’admetrà l’ús productiu de serveis d’IA de consum —és a dir, serveis públics o personals d’IA no homologats—, comptes personals, integracions directes no governades o serveis fora del perímetre corporatiu quan es tractin dades institucionals, personals, sensibles, confidencials o vinculades a processos de la Generalitat.
• La incorporació d’IA s’haurà de fer preferentment mitjançant serveis, plataformes, gateways, APIs, connectors o mecanismes d’accés i consum homologats pel CTTI, evitant connexions directes i disperses amb proveïdors externs.
• Qualsevol combinació no recollida en les opcions homologades requerirà aprovació explícita del CTTI i, quan correspongui, de l’Agència de Ciberseguretat, aportant per part del responsable del projecte la definició del model d’ús, operació, dades, seguretat, traçabilitat i govern de la solució.

Solucions homologades

Capacitats d’intel·ligència artificial

Entenem per capacitats d’intel·ligència artificial aquells serveis, models, plataformes o components que permeten generar, classificar, predir, recomanar, resumir, cercar, interpretar, automatitzar o assistir processos mitjançant tècniques d’IA, incloent-hi IA generativa, IA predictiva, models multimodals, assistents, agents, sistemes RAG, embeddings, eines de classificació, automatització assistida i funcionalitats d’IA integrades en productes SaaS.

Les capacitats d’IA admeses pel CTTI seran les que constin com a homologades en el catàleg corresponent. Aquesta homologació podrà fer referència a:

• Plataformes corporatives d’IA.
• Serveis d’IA dels proveïdors cloud admesos pel CTTI.
• Solucions SaaS amb IA integrada.
• Models i versions aprovades.
• Mecanismes homologats per desplegar, exposar i consumir capacitats d’IA.
• Gateways d’IA i mecanismes corporatius d’accés.
• Components RAG, embeddings, bases vectorials o serveis documentals.
• Agents, connectors, APIs, eines o MCPs homologats.
• Eines de desenvolupament assistit per IA, generadors d’agents i plataformes low-code/no-code amb capacitats d’IA.
• Serveis de seguretat, guardrails, serveis d’avaluació, observabilitat i traçabilitat.

Per a les opcions anteriors, cal tenir en compte les següents normes bàsiques:

• Per defecte, les dades institucionals, personals, sensibles o confidencials s’hauran d’emmagatzemar i processar dins la Unió Europea o l’Espai Econòmic Europeu, i sota el govern dels tenants, organitzacions, subscripcions, comptes o plataformes aprovades per la Generalitat.
• No s’homologarà únicament un model de manera aïllada. L’homologació haurà de considerar la combinació de proveïdor, model, versió, mecanisme d’accés i consum, tipus de desplegament, regió, endpoint, funcionalitats activades i condicions de tractament de dades.
• L’ús de serveis d’IA haurà de respectar el model corporatiu d’identitat, seguretat, connectivitat, observabilitat, auditoria i govern definit pel CTTI.
• La comunicació entre sistemes corporatius i serveis d’IA externs s’haurà de fer mitjançant els mecanismes corporatius aprovats, incloent-hi, quan correspongui, API Management, NET0, gateways d’IA o altres serveis de seguretat i control.
• Els sistemes d’IA amb capacitat d’actuar sobre dades, aplicacions, processos o tercers hauran de limitar-se a les eines, permisos i accions aprovades, amb criteris de privilegi mínim i traçabilitat.
• No es podrà posar en producció una solució d’IA ni cap aplicació, agent, automatització o servei basat en IA, o generat amb suport d’IA, sense una avaluació mínima de qualitat, seguretat, dades, riscos, traçabilitat i model d’operació, proporcional al cas d’ús.
• L’ús de marketplaces, extensions, plugins, connectors, models de tercers o funcionalitats addicionals d’IA requerirà autorització expressa del CTTI quan no estigui previst dins les opcions homologades.

Relació amb el Marc director d’IA

Aquest Manifest IA estableix els límits bàsics d’admissibilitat de la IA al CTTI.

El detall operatiu sobre classificació de riscos, criteris d’homologació, ús de models, agents, RAG, MCPs, dades, observabilitat, proves, guardrails, responsabilitats, cicle de vida, excepcions, retirada de solucions, desenvolupament assistit per IA, publicació d’agents, plataformes low-code/no-code, model de servei, costos, llicenciament i mantenibilitat s’haurà de desenvolupar al Marc director d’IA i a les guies tècniques corresponents.