- 1. Che cosa è l’EU AI Act: la visione dell’Europa
- 2. I tre livelli di rischio dell’EU AI Act
- 3. EU AI Act: a chi si applica?
- 4. Le analogie tra l’EU AI Act e il GDPR
- 5. L’EU AI Act e gli obblighi per le imprese
- 6. EU AI Act: da dove partire?
- 7. Un approccio manageriale all’EU AI Act
Con il voto del 13 marzo scorso l’Unione Europea ha approvato in via definitiva l’adozione del regolamento sull’intelligenza artificiale, noto come EU AI Act.
Un regolamento che rappresenta una pietra miliare nel campo dell’Artificial Intelligence e che arriva dopo un lungo iter, iniziato nella primavera del 2021, che ha visto coinvolti Commissione, Consiglio e Parlamento dell’Unione.
Dopo l’approvazione del testo, avvenuta nel mese di dicembre del 2023, si apre un periodo di implementazione che servirà a tutti i soggetti coinvolti per conformarsi a i requisiti del regolamento.
Le aziende dovranno analizzare le eventuali carenze nella conformità e poi operazionalizzare o implementare i passaggi necessari per colmare queste lacune in modo da riflettere un allineamento interno. Per la maggior parte delle aziende, questo non sarà un compito facile. È essenziale che i consigli di amministrazione, i dirigenti e i manager capiscano cosa sia necessario fare per rendere operativo questo processo e garantire che le loro aziende siano conformi quando il regolamento entrerà in vigore.
Che cosa è l’EU AI Act: la visione dell’Europa
Con l’EU AI Act, l’Unione si è posta l’obiettivo di armonizzare le norme relative allo sviluppo, alla commercializzazione, all’uso e all’adozione dell’IA, affrontando contemporaneamente i rischi posti dalla tecnologia.
Una volta entrato in vigore, l’EU AI Act imporrà requisiti rigorosi alle aziende che progettano o utilizzano sistemi di IA nell’Unione Europea, sostenuti da severe sanzioni in caso di non ottemperanza. Nello sviluppo del framework normativo, l’Europa si distingue per un approccio unico e ambizioso: di fatto ha sviluppato il primo e unico quadro legislativo onnicomprensivo che regola lo sviluppo e l’impiego dell’IA con un approccio integrato e globale, che si focalizza sia sulla protezione dei consumatori, sia sulle tematiche di equità e sicurezza.
A differenza degli Stati Uniti, dove predomina un modello di autoregolamentazione e di promozione dell’innovazione attraverso linee guida volontarie, e della Cina, che persegue un controllo statale più stringente e mirato agli obiettivi economici e geopolitici, l’UE ambisce a stabilire standard elevati di trasparenza, responsabilità e valutazione dei rischi, specialmente per applicazioni di IA considerate ad alto rischio.
I tre livelli di rischio dell’EU AI Act
Scendendo un poì più nel dettaglio, l’EU AI Act introduce un approccio basato sul rischio per regolare l’uso dell’intelligenza artificiale, categorizzando i sistemi di IA in quattro livelli di rischio, definiti in base alla sensibilità dei dati coinvolti, agli specifici casi d’uso e in relazione ai potenziali impatti sui diritti fondamentali e sulla sicurezza degli utenti.
Al vertice della classificazione troviamo i sistemi a rischio inaccettabile, vietati poiché rappresentano una minaccia significativa per i diritti fondamentali, i processi democratici e i valori sociali. Questi includono sistemi di social scoring avanzati, tecniche subliminali di manipolazione, e l’uso di identificazione biometrica in tempo reale in spazi pubblici.
Al secondo livello ci sono i sistemi ad alto rischio, che richiedono rigide valutazioni di conformità e supervisione umana nella loro implementazione, essendo impiegati in settori critici come la sanità e la giustizia.
Seguono i sistemi a rischio limitato, che pur essendo, per l’appunto, meno rischiosi, devono adempiere a obblighi specifici di trasparenza per mantenere la responsabilità e l’affidabilità.
Infine, i sistemi a rischio minimo o inesistente includono applicazioni come i videogiochi o i filtri antispam, dove i rischi sono considerati trascurabili.
EU AI Act: a chi si applica?
L’AI Act europeo incide significativamente su una vasta gamma di attori operanti all’interno del mercato dell’Unione Europea, estendendo i suoi effetti ben oltre i confini dei singoli stati membri. La legislazione si applica a fornitori, utenti, importatori, distributori e produttori di sistemi di intelligenza artificiale, nonché a chiunque integri sistemi di IA nei propri prodotti. Questi soggetti sono tenuti a garantire che le proprie attività legate all‘IA rispettino i rigidi requisiti stabiliti dal Regolamento, che mira a promuovere un uso dell’intelligenza artificiale che sia affidabile e rispettoso dei diritti fondamentali e dei principi etici.
Oltre a questi principali attori, l’AI Act ha una portata che include anche fornitori e utilizzatori di sistemi di IA situati al di fuori dell’Unione, purché i loro prodotti o i risultati dei loro sistemi siano utilizzati all’interno dell’UE. Inoltre, il Regolamento stabilisce chiaramente chi sono i diversi operatori coinvolti, da chi mette a disposizione i sistemi di IA sul mercato a chi li utilizza, inclusi importatori e distributori. Sono esclusi dall’applicazione dell’AI Act i sistemi di IA sviluppati per scopi militari, di sicurezza nazionale, quelli destinati esclusivamente alla ricerca scientifica, i sistemi in fase di sviluppo non ancora operativi e i componenti AI distribuiti con licenze open source. Anche l’uso non professionale di sistemi AI da parte di persone fisiche è escluso dalla normativa.
Le analogie tra l’EU AI Act e il GDPR
Non pochi analisti trovano una diretta analogia tra quanto proposto dall’Unione Europea con l’AI Act e quanto a suo tempo fatto con il GDPR.
Parliamo infatti di due pilastri regolatori che influenzano significativamente i mercati globali, capaci cioè di ingenerare quello che viene definito “Brussels Effect“.
Si tratta di un neologismo con il quale si descrive la capacità unilaterale dell’Unione Europea di imporre standard regolatori globali in vari settori, da quello della protezione dei dati personali (GDPR) a quello di cui oggi parliamo dell’intelligenza artificiale, senza necessariamente ricorrere a imposizioni coercitive.
L’influenza deriva dalla forza economica del mercato dell’UE, che costringe le aziende internazionali a conformarsi ai suoi standard elevati per accedere a un mercato ricco e vasto. Spesso, le aziende adottano questi standard anche in altri mercati per ridurre i costi associati al rispetto di regolamenti diversificati, rendendo di fatto le normative europee un modello globale di riferimento.
L’EU AI Act e gli obblighi per le imprese
Come già accennato, l’EU AI Act introduce significativi obblighi per le imprese che operano con l’intelligenza artificiale all’interno dell’Unione, stabilendo requisiti stringenti a seconda della classificazione del rischio dei sistemi di IA impiegati.
I sistemi ad alto rischio, ad esempio, sono soggetti a intense valutazioni di conformità prima di essere immessi sul mercato, inclusa la necessità di dimostrare la loro trasparenza, la qualità dei dati, la presenza di documentazione adeguata, la supervisione umana e la robustezza.
Allo stesso modo, è proibito l’uso di sistemi di IA che presentano rischi inaccettabili, come quelli utilizzati per il social scoring o per manipolare comportamenti umani in modi che potrebbero essere dannosi o sfruttare vulnerabilità.
Va sottolineato che gli obblighi non si limitano solo ai produttori ma si estendono lungo tutta la catena di fornitura e utilizzo, includendo anche i fornitori di modelli di intelligenza artificiale su larga scala, come GPT-4. Questi sono tenuti a registrare i loro modelli in una nuova banca dati dell’UE e a garantire che i set di dati utilizzati siano governati adeguatamente per mitigare rischi prevedibili. Le aziende che utilizzano IA in modalità generativa devono inoltre assicurarsi che i contenuti prodotti rispettino le leggi dell’UE e pubblicare un riepilogo di come vengono utilizzati i materiali protetti da diritto d’autore. Tali misure enfatizzano l’intenzione dell’UE di mantenere un ambiente sicuro e trasparente per l’adozione dell’intelligenza artificiale, influenzando così non solo i produttori ma anche le organizzazioni che adottano queste tecnologie.
EU AI Act: da dove partire?
Per garantire la conformità con quanto richiesto dall’EU AI Act, è cruciale che le aziende adottino misure proattive già nella fase di progettazione dei sistemi di intelligenza artificiale, evitando così modifiche più complesse e costose una volta che i sistemi sono operativi. Una delle prime azioni da intraprendere è stabilire una governance formale, creando un comitato di Etica dell’IA con professionisti esperti incaricati di risolvere le dispute etiche complesse. È altresì importante valutare accuratamente i rischi, assicurandosi che l’organizzazione disponga di un framework di gestione dei rischi che sia conforme ai requisiti dell’AI Act.
Le aziende devono anche assegnare chiaramente le responsabilità per l’intero ciclo di vita dell’IA, definendo chi è responsabile di ciascuna fase del processo. In questo modo, si facilita una gestione efficace e si chiariscono le aspettative. Allo stesso tempo, è essenziale promuovere un uso sostenibile ed etico dell’IA, integrandolo nella strategia organizzativa dell’azienda per riflettere i valori etici e le aspettative della società.
La sensibilizzazione è un altro aspetto fondamentale. Le aziende devono diffondere informazioni e formare il proprio personale sui benefici e sui rischi associati all’IA, garantendo che tutti i livelli dell’organizzazione comprendano le implicazioni del suo uso. Mantenersi aggiornati sui nuovi sviluppi normativi permette di anticipare l’impatto sulle operazioni aziendali e di assicurare una conformità tempestiva, evitando sanzioni e cogliendo le opportunità offerte dalle nuove regolamentazioni.
Infine, le aziende dovrebbero iniziare immediatamente a progettare e implementare miglioramenti strategici al ciclo di vita dell’IA, per ridurre la complessità e i costi di implementazione futuri.
Un approccio manageriale all’EU AI Act
Ma ci sono altri aspetti da considerare.
Nel contesto del nuovo EU AI Act, i responsabili aziendali devono affrontare sfide specifiche per assicurare la conformità alle normative e gestire i rischi etici e reputazionali legati all’uso dell’intelligenza artificiale. Il consiglio di amministrazione, i membri delle C-suite e i manager devono collaborare per progettare, implementare e mantenere un programma di conformità efficace, evitando alcune insidie piuttosto comuni.
Va detto che il consiglio di amministrazione ha la responsabilità ultima di proteggere l’organizzazione dai rischi etici, reputazionali e regolatori sia a breve che a lungo termine.
Deve dunque decidere se perseguire un programma specifico di conformità all’AI Act o un programma più generale di rischio etico/responsabile dell’IA, tenendo conto delle priorità strategiche aziendali e delle risorse disponibili.
È essenziale che il consiglio non eviti di prendere decisioni su questi temi, partendo dal presupposto che siano troppo complessi o tecnici da affrontare.
Deve essere in grado, facendosi anche supportare da chi ha padronanza di questi strumenti, di porre le domande giuste per guidare il rollout, la conformità e l’efficacia del programma.
Dal canto loro, i C-level e le funzioni apicali aziendali hanno in carico la maggior parte delle attività di progettazione e supervisione del programma.
Devono iniziare con un’analisi dei gap, delle lacune, per determinare quali risorse sono disponibili e come possono essere utilizzate efficacemente nel programma. È cruciale che questo processo coinvolga tutti gli stakeholder rilevanti per evitare frizioni interne e assicurare che il programma sia effettivamente rispondente alle necessità e alle capacità dell’organizzazione.
Inoltre, devono evitare la tentazione di affidarsi completamente a soluzioni tecnologiche automatizzate nelle fasi iniziali e assicurarsi che il programma sia monitorato continuamente per garantire che funzioni correttamente.
I responsabili funzionali, infine, hanno il compito di operazionalizzare i requisiti dell’AI Act all’interno delle attività quotidiane dei propri team, integrando le politiche AI etiche e reputazionali nei flussi di lavoro esistenti.
Devono prestare particolare attenzione alla gestione dei livelli di rischio che possono cambiare durante il ciclo di vita dell’IA e garantire che i cambiamenti siano documentati e gestiti correttamente.
EU AI Act, il ruolo di Moxoff
Una realtà come Moxoff può essere un alleato fondamentale per le aziende che desiderano sviluppare e implementare progetti di intelligenza artificiale in conformità con le normative vigenti, ma che non dispongono internamente delle competenze necessarie.
Moxoff risponde in modo flessibile alle diverse esigenze di business, applicando metodologie di lavoro tailor-made. L’interazione continua e bilaterale con il cliente consente a Moxoff di sviluppare soluzioni su misura, passo dopo passo, partendo dall’analisi delle specifiche esigenze del cliente fino alla risoluzione di problemi concreti.
Grazie alla possibilità di lavorare a progetto, utilizzare motori AI basati su assets già in produzione per soluzioni rapide e cost-effective, o formare partnership per l’introduzione di funzionalità di intelligenza artificiale in software di terze parti, Moxoff assicura ai propri clienti un supporto efficace e personalizzato.
Questo permette alle aziende di massimizzare il ritorno sull’investimento e garantire che i loro progetti di IA siano pienamente conformi alle normative attuali, evitando rischi legali e migliorando la loro competitività nel mercato.