Di fronte al costante sviluppo di soluzioni basate sull’intelligenza artificiale e al grande impatto che queste tecnologie avranno sui cittadini e sui loro diritti fondamentali, l’Europa ha deciso di definire una regolamentazione dell’AI all’interno della sua strategia per la trasformazione digitale.
Nell’aprile 2021, la Commissione Europea ha presentato una “Proposta di regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale” (AI Act), un quadro normativo per garantire la correttezza e l’affidabilità dei sistemi di Intelligenza Artificiale, la cui versione finale è attesa entro il 2023. Sebbene non si conoscano ancora alcuni aspetti della futura regolamentazione, già oggi si possono definire i principali step del percorso di adeguamento previsto.
Artificial Intelligence (AI) Act: a che punto siamo e i principali nodi da sciogliere
Il percorso di adeguamento all’AI Act
Dal momento dell’approvazione del Regolamento, infatti, tutte le imprese che sviluppano, utilizzano, importano e rivendono soluzioni di AI avranno 18 mesi di tempo per adeguarsi ai requisiti richiesti. Il percorso di adeguamento all’AI Act si preannuncia complesso, perché prevede una serie di step successivi di attività interdisciplinari con componenti sia tecnico-tecnologiche che di ridefinizione di processi, che toccano molte unità organizzative e tanti stakeholder differenti. Non c’è tempo da perdere: le aziende devono iniziare a muoversi al più presto per evitare di trovarsi “spiazzate” e non riuscire ad adeguarsi per tempo ai requisiti richiesti.
Tempi e costi di adeguamento
Sulla base della nostra metodologia di intervento, possiamo immaginare i passi necessari da compiere per l’adeguamento all’AI Act di una medio-grande impresa italiana che abbia già processi strutturati sia per quanto riguarda l’ambito Digital sia in tema risk management e compliance. Questo percorso di implementazione, seppur con molte variabili a seconda del tipo di organizzazione, richiede non meno di un anno di tempo.
Di sicuro, l’adeguamento all’AI Act comporterà per le imprese un investimento significativo, per le diverse attività previste – che vanno dalla conoscenza delle nuove procedure allo sviluppo e implementazione di soluzioni specifiche, dalle procedure amministrative alla certificazione di conformità -, ma la quantificazione esatta dei costi di adeguamento non è ancora del tutto chiara, come ha dimostrato la nostra recente analisi sul tema.
Quel che è certo, al momento, sono le multe salate per chi non sarà in regola: al termine dei 18 mesi previsti, in caso di inadempienza, si rischiano sanzioni fino al 6% del fatturato. Un rischio molto alto che impone alle imprese di organizzarsi per tempo per non arrivare in ritardo alla scadenza.
L’assessment
1° step, l’assessment. Il primo step nel percorso di adeguamento è rappresentato dall’assessment: un censimento delle applicazioni di AI sviluppate o utilizzate dall’organizzazione nei diversi dipartimenti, per definire una mappa di readiness all’adozione dell’AI Act.
Le diverse soluzioni di AI dovranno essere valutate innanzitutto da un punto di vista del rischio, per essere catalogate in una delle 4 categorie previste, da quelle senza rischio a quelle ad alto rischio. E poi dal punto di vista organizzativo, per capirne la maturità in base ai 7 requisiti regolamentari, dal risk management alla data quality, dalla fairness alla trasparenza.
La fase di assessment si conclude con un piano dettagliato di azione, completo della stima di investimento previsto per l’adeguamento. A questo punto, l’organizzazione disporrà di una mappatura completa delle soluzioni di AI che rientrano nel perimetro di applicazione dell’AI Act, di un’indicazione della sua maturità rispetto ai requisiti e della valutazione dello sforzo necessario di adeguamento, in termini di tempi e costi.
La revisione dei processi
2° step, la revisione dei processi. Sulla base delle evidenze emerse dall’assessment, il secondo step di adeguamento all’AI Act prevede l’analisi di dettaglio e l’eventuale modificazione o integrazione o ridefinizione dei processi di risk management (è necessario implementare una procedura di risk management per l’Intelligenza Artificiale o integrarla nella procedura di rischio generale dell’organizzazione), di compliance, di AI Governance sull’intero ciclo di sviluppo delle applicazioni di intelligenza artificiale, di IT audit (per la certificazione di conformità, definendo il processo tramite cui l’organizzazione dovrà interagire con il futuro ente certificatore delle soluzioni di AI “high risk”, secondo la procedura che sarà definita nel regolamento) e di procurement (per i processi di acquisto di soluzioni di intelligenza artificiale).
le soluzioni tecnologiche
3° step, le soluzioni tecnologiche. Il terzo step di adeguamento all’AI Act prevede l’adozione delle necessarie piattaforme tecnico-tecnologiche necessarie per soddisfare alcuni dei requisiti richiesti.
Ad esempio, sarà necessario implementare delle soluzioni per risolvere eventuali necessità che fossero emerse su fairness, ovvero la non discriminazione, sulla trasparenza rispetto alle modalità con cui gli algoritmi prendono decisioni, sulla sicurezza dal punto di vista degli attacchi, come anche garantire e monitorare la robustezza e la costanza della performance nelle risposte.
Inoltre, sulla base dei requisiti del sistema di gestione dei rischi (risk management), dei dati e della governance dei dati, della documentazione tecnica, della conservazione delle registrazioni (ovvero la registrazione automatica degli eventi o “log” durante il funzionamento dei sistemi di intelligenza artificiale) e della valutazione di conformità, per l’azienda sarà necessario valutare l’adozione – se non già presenti in azienda – di piattaforme tecnologiche di risk management, data governance e AI governance e di quality management.
NIST AI Risk Management Framework (RMF): come garantire l’affidabilità dell’IA secondo gli Usa
Oltre la compliance: implementare strategie di AI governance
Oltre la compliance. Concluso il percorso di adeguamento, è importante che le imprese valorizzino il proprio impegno per un’AI controllata, più etica e sostenibile dal punto di vista sociale e ambientale. Implementare strategie di AI governance (e più in generale di Data governance) è di per sé un investimento perché consente di migliorare l’efficacia e l’efficienza delle soluzioni sviluppate. Applicazioni conformi ai principi dell’AI Act saranno più performanti, accurate, utilizzate dalle persone in modo più chiaro e responsabile. Ma questo investimento si può sfruttare anche in termini CSR e ESG, rendicontando il proprio impegno in questo ambito nel bilancio sociale – report sostenibilità.
Sviluppare un forte commitment di tutti i livelli aziendali
Un’azione corale. Il percorso di adeguamento all’AI Act è strategico e i rischi della mancata compliance possono tradursi in multe molto salate. Per questa ragione, è importante sviluppare un forte commitment al più alto livello, coinvolgendo il top management aziendale. Vista la multidisciplinarietà richiesta, inoltre, è cruciale che la responsabilità del percorso non sia affidata ad un’unica persona dell’organizzazione, ma si configuri invece come un’azione corale, che coinvolge diversi ruoli delle diverse funzioni interessate.
Una precondizione necessaria per la compliance all’AI Act, ma anche un facilitatore del percorso, è rappresentata dallo sviluppo di un sistema di data governance e di standardizzazione dei processi di sviluppo, di acquisto e di personalizzazione delle soluzioni AI. Le aziende che hanno già adottato buone pratiche in questo campo possono considerarsi avvantaggiate.
Ma, certamente, questo non è sufficiente. Visto l’alto numero di stakeholder coinvolti, da profili tecnici al business, dagli operativi ai top manager, per portare a compimento con successo questo processo così complesso, è fondamentale anche un grande impegno nella formazione sull’AI governance, coinvolgendo tutti i livelli aziendali nel percorso definito.
Cosa resta da fare
Cosa non è regolamentato. Alcuni aspetti dell’AI Act non sono ancora stati regolamentati e la loro definizione è rimandata ai cosiddetti “implementing acts” o atti delegati. Restano da definire, ad esempio gli standard per misurare l’adeguatezza dei processi e soluzioni di AI, che la Commissione Europea sta definendo con organizzazioni mondiali come l’ISO. Inoltre, è prevista una regolamentazione specifica dei sistemi di “general purpose AI”, ovvero delle applicazioni, come ad esempio ChatGpt, che mettono a disposizione funzionalità generali come il riconoscimento delle immagini, comprensione del linguaggio, generazione automatica di video e immagini, risposte automatiche a domande, creazione automatica di testi.
