A distanza di quasi tre anni dalla proposta di Regolamento europeo, datata 21 aprile 2021, e dopo un lungo iter di perfezionamento che ha coinvolto a vario titolo diverse istituzioni ed organi dell’Unione europea, l’AI Act è realtà.
Ma ora viene il difficile, per le aziende che producono o usano queste tecnologie.
Facciamo quindi chiarezza su come la nuova normativa potrebbe incidere sulla compliance aziendale.
AI Act, la prima regolamentazione organica sull’intelligenza artificiale
Sul contenuto dell’AI Act si è detto moltissimo negli ultimi anni, sia a livello editoriale che istituzionale.
Possiamo però sintetizzare la portata della normativa iniziando dal fatto che l’AI Act altro non è che la prima legge completa sull’IA da parte di un importante regolatore mondiale, con l’obiettivo di fornire una regolamentazione organica dell’utilizzo delle tecnologie basate sull’IA.
L’approccio basato sul rischio
L’originalità della normativa risiede nella riconduzione delle applicazioni dell’IA a tre categorie di rischio.
- In primo luogo, le applicazioni e i sistemi che creano un rischio inaccettabile, come il punteggio sociale, che sono vietate.
- In secondo luogo, le tecnologie cosiddette ad alto rischio, a causa del significativo danno potenziale alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto, saranno corredate da obblighi rigorosi. Ciò include norme sulle valutazioni d’impatto obbligatorie sui diritti fondamentali, nonché, tra le altre, valutazioni di conformità, sistemi di gestione del rischio e di gestione della qualità, trasparenza, supervisione umana, accuratezza, robustezza e sicurezza informatica. Esempi di tali sistemi includono alcuni dispositivi medici, strumenti di reclutamento, gestione delle risorse umane e dei lavoratori e gestione delle infrastrutture critiche. I sistemi di IA ad alto rischio richiederanno ampie attività di governance per garantire la conformità.
- Infine, ci sono i sistemi a rischio limitato e a rischio minimo. Specialmente per quest’ultima categoria, il regolamento non contempla specifici obblighi, fatta salva la facoltà delle imprese di dotarsi di codici di condotta aggiuntivi, da rispettare su base volontaria.
In questo nuovo contesto le aziende dovranno essere capaci di muoversi, in equilibrio tra la compliance e lo sfruttamento di nuove prospettive. Una sfida affascinante ma per niente facile.
A chi si applica l’AI Act
Il Regolamento sull’intelligenza artificiale ha un impatto diretto sulle imprese che operano all’interno dell’UE, siano esse fornitori, utenti, importatori, distributori o produttori di sistemi di intelligenza artificiale. La legislazione fornisce definizioni chiare per i vari attori coinvolti nell’IA e li ritiene responsabili del rispetto delle nuove regole. Ciò significa che tutte le parti interessate devono garantire che le loro pratiche legate all’IA siano conformi ai requisiti delineati nel Regolamento.
L’impatto sulle aziende extra-Ue
La legge sull’IA dell’Unione Europea si applica tuttavia anche extraterritorialmente, vale a dire alle aziende non stabilite nel territorio dell’UE, a condizione che forniscano beni o servizi a consumatori dell’Unione o trattino dati relativi a persone situate nella stessa. Di conseguenza, le aziende che operano al di fuori del territorio dell’UE, come ad esempio gli USA, possono essere soggette alle disposizioni se svolgono attività legate all’IA che coinvolgono utenti o dati dell’UE.
Alla luce di quest’ultimo aspetto, pensiamo ad esempio ad una azienda della Silicon Valley che ha appena sviluppato un sistema di intelligenza artificiale all’avanguardia, vuole venderlo in Europa, ma non ha un ufficio lì. Ebbene, dovrà seguire le regole stabilite dall’AI Act. Anche quando un sistema di IA viene utilizzato al di fuori dell’UE, ma i suoi risultati vengono utilizzati e impattano all’interno della stessa, trova applicazione il Regolamento. Come prevedibile ciò ha causato un po’ di scalpore nel mondo della tecnologia. Ad esempio, il CEO di OpenAI, Sam Altman, ha lasciato intendere che potrebbero essere costretti a lasciare l’UE se non dovessero riuscire a soddisfare i requisiti dell’AI Act, un forte esempio dell’effetto a catena che questa legislazione sta avendo.
Come l’AI Act inciderà sulle imprese: i nuovi obblighi
Ormai è abbastanza chiaro che l’AI Act sarà il faro per le aziende europee e per quelle extreauropee la cui attività incide sui cittadini dell’UE, le quali dovranno assicurarsi che i loro sistemi di intelligenza artificiale siano sicuri, chiari e rispettosi nei confronti dei loro utenti. Ciò che occorre però evidenziare è come l’AI Act inciderà concretamente sull’attività connesse alla produzione e all’utilizzo di strumenti basati sull’Intelligenza Artificiale.
La classificazione dei sistemi
Innanzi tutto, come anticipato, la normativa classifica i sistemi in diverse categorie di rischio, classificazione che si basa sul loro potenziale impatto sugli utenti, sui loro diritti e sulla società. I sistemi di IA ad alto rischio sono soggetti a requisiti più rigorosi, mentre i sistemi di IA che comportano un rischio inaccettabile sono vietati. Questo approccio non è nuovo, anzi, è simile a quello risk based già previsto dal GDPR per il trattamento dei dati, pertanto, da questo punto di vista, le aziende dovrebbero già avere quantomeno una infarinatura su ciò che comporta la classificazione dei sistemi in base al rischio.
Il divieto di social scoring
Altro aspetto, connesso al primo, riguarda il fatto che la legge vieta qualsiasi sistema di intelligenza artificiale che cerchi di manipolare il comportamento umano, sfruttare le vulnerabilità o supportare il punteggio sociale delle persone da parte dei pubblici poteri. L’UE, in altri termini, rifiuta la categorizzazione biometrica, la polizia predittiva e i software che estraggono immagini facciali da Internet per creare database, proprio come fa Clearview AI.
Vale la pena notare che Clearview AI ha già subito multe e divieti da parte delle autorità europee per la protezione dei dati per tali pratiche.Saranno vietati anche i sistemi di intelligenza artificiale progettati per il riconoscimento delle emozioni, soprattutto nei luoghi di lavoro, nell’istruzione e nelle forze dell’ordine. Inoltre, sarà vietato utilizzare sistemi di intelligenza artificiale per influenzare il comportamento delle persone in modi che potrebbero causare danni o sfruttare le loro vulnerabilità. Ciò riguarda pratiche come la manipolazione politica o la raccomandazione di contenuti di sfruttamento in cui le vulnerabilità degli individui vengono sfruttate promuovendo loro contenuti dannosi o che creano dipendenza.Quanto alle aziende che producono o usano sistemi ad alto rischio, oltre a soddisfare requisiti specifici in materia di trasparenza, qualità dei dati, documentazione, supervisione umana e robustezza, dovranno inoltre essere effettuare “valutazioni di conformità” per dimostrare che i sistemi soddisfano i requisiti della legge sull’AI prima di entrare nel mercato.
Anche questo aspetto è simile al requisito della valutazione d’impatto della protezione dei dati (DPIA) prevista dal GDPR per il trattamento dei dati ad alto rischio.Quanto ai modelli di base dell’intelligenza artificiale, i più noti al pubblico come GPT-4, si tratta di quei modelli su larga scala che costituiscono la base tecnica per generare un’elaborazione coerente del testo. I sistemi di IA per scopi generali, d’altro canto, sono sistemi di IA che possono essere utilizzati e adattati a un’ampia gamma di applicazioni per le quali non sono stati intenzionalmente e specificamente progettati.Ai sensi del Regolamento sull’AI, i fornitori di questi modelli generici saranno soggetti a numerosi obblighi di documentazione, trasparenza e registrazione. Pertanto, anche prima che venga lanciato un modello di base, i fornitori dovranno dimostrare attraverso la progettazione, i test e l’analisi di aver mappato e mitigato eventuali rischi sociali e di sicurezza prevedibili. Inoltre, saranno tenuti a registrare i loro modelli di fondazione in una nuova banca dati dell’UE. Non solo, questi fornitori dovranno utilizzare solo set di dati che sono stati soggetti ad adeguate misure di governance, il che richiederebbe un esame approfondito delle fonti dei dati stessi.
La tutela del diritto d’autore
Oltre a ciò, i fornitori di modelli di base utilizzati nell’“intelligenza artificiale generativa” – sistemi di intelligenza artificiale progettati per generare autonomamente contenuti complessi come testo o video – dovranno affrontare ulteriori obblighi. Su tutti, quello di garantire che i loro modelli non generino contenuti che violano la legge dell’UE, oltre a pubblicare un riepilogo di come utilizzano il materiale formativo protetto da copyright.
Per quanto riguarda le organizzazioni che utilizzano questi modelli di intelligenza artificiale nelle loro operazioni, la legge sull’intelligenza artificiale non impone loro direttamente obblighi.
Tuttavia, potrebbero essere indirettamente interessati dagli obblighi imposti ai fornitori di IA. Ad esempio, se un’organizzazione utilizza un modello di IA che non è stato adeguatamente registrato o non soddisfa gli standard richiesti, potrebbe affrontare rischi legali e operativi.
Controlli e sanzioni
Il Regolamento sull’Intelligenza Artificiale istituisce il Comitato europeo per l’intelligenza artificiale (EAIB). Il compito dell’EAIB sarà quello di offrire linee guida, condividere strategie efficaci e garantire che la normativa venga applicata in modo coerente in tutti gli Stati membri dell’UE. Questo comitato nasce quindi sul modello dell’European Data Protection Board (EDPB), creato con l’avvento del GDPR.La Commissione europea prevede inoltre di istituire all’interno della sua struttura l’Ufficio europeo per l’IA. L’Ufficio AI si concentrerà sulla supervisione dei modelli di IA di uso generale, collaborando con l’EAIB e consultando un gruppo di esperti scientifici indipendenti per supporto e orientamento.
Le sanzioni per il mancato rispetto della legge sull’AI sono significative. Si va da 10 milioni di euro a 40 milioni di euro o dal 2% al 7% del fatturato annuo globale dell’azienda, a seconda della gravità della violazione. Pertanto, è fondamentale che le aziende garantiscano di comprendere appieno le disposizioni della legge sull’AI e di rispettarne i requisiti per evitare tali sanzioni.
In sintesi, l’AI Act mira a stabilire un solido quadro normativo per l’IA, garantendo sia la sicurezza che il rispetto dei diritti fondamentali, promuovendo al contempo l’innovazione e la competitività per le imprese che operano nell’UE. Le aziende devono adottare misure proattive per conformarsi a questa nuova legislazione e garantire la conformità continua delle loro pratiche di intelligenza artificiale.
Come prepararsi all’AI Act
Fin da ora – anche se in realtà si tratta di un processo che sarebbe dovuto già partire – le organizzazioni che utilizzano o intendono utilizzare sistemi di intelligenza artificiale dovrebbero iniziare ad affrontare gli impatti mappando i propri processi e valutando il livello di conformità dei propri sistemi di intelligenza artificiale alle nuove regole.
L’implementazione di una strategia di governance dell’IA dovrebbe essere il punto di partenza. Una strategia solida è sostanzialmente quella allineata con gli obiettivi aziendali, volta a identificare le aree all’interno dell’azienda in cui l’intelligenza artificiale trarrà maggiori benefici dall’obiettivo strategico dell’organizzazione. Richiederà inoltre il pieno allineamento alle iniziative volte alla gestione del patrimonio di dati personali e non personali, nel rispetto della normativa vigente.
Oltre a ciò, dovrebbe essere presa in considerazione l’implementazione di un quadro di politiche e processi volti a garantire che solo i modelli conformi vengano sviluppati e immessi nel mercato.
Considerando l’approccio risk based già esaminato, ogni azienda dovrebbe far sì che i rischi siano adeguatamente identificati e mitigati, garantendo un monitoraggio e una supervisione adeguati durante tutto il ciclo di vita del sistema di IA. Saranno poi fondamentali misure che vanno dalla formazione interna alla sorveglianza del mercato. Questi possono probabilmente essere sviluppati da processi di gestione del rischio esistenti, in particolare valutazioni del rischio di protezione dei dati, due diligence dei fornitori e audit.
Tutte queste accortezze rappresentano il punto di partenza per la corsa alla compliance con il nuovo Regolamento, e non serve precisare che chi ha già avuto modo di lavorare per adeguarsi al GDPR dovrebbe già avere una buona base per il futuro.
L’AI Act, un modello a cui ispirarsi
Naturalmente tutte le accortezze necessarie per la compliance vanno anche nella direzione degli interessi aziendali e dello sviluppo del business, considerando che anche fuori dall’UE l’AI Act rappresenterà un faro ed un modello al quale ispirarsi.
L’ordine esecutivo sull’intelligenza artificiale del presidente Joe Biden emesso a ottobre dello scorso anno conteneva disposizioni simili a quelle del Regolamento europeo per i modelli di intelligenza artificiale ad alto rischio.
È quindi possibile, se non addirittura probabile, che il Congresso e il governo federale degli Stati Uniti useranno l’EU AI Act come modello per approvare norme e regolamenti altrettanto granulari e meccanismi di applicazione, con conseguenti onori e oneri per le imprese.
