Come l’Artificial Intelligence Act impatta sulle aziende che utilizzano l’AI

L’Artificial Intelligence Act (AI Act), su cui la presidenza del Consiglio e il Parlamento Europeo hanno raggiunto un accordo provvisorio il 9 dicembre 2023, è stato finalmente approvato.

Con l’entrata in vigore del Regolamento sull’Intelligenza Artificiale, l’Europa si afferma come il primo continente che introduce una normativa specifica per regolamentare l’uso dell’intelligenza artificiale. 

Questo passo decisivo è stato compiuto dopo un processo di due anni, iniziato con la proposta della Commissione Europea nel 2021, in un periodo in cui l’IA non aveva ancora assunto il ruolo centrale che oggi ricopre nel nostro quotidiano e nel mondo del lavoro. Il regolamento nasce dall’esigenza di garantire un uso dell’IA in Europa che sia sicuro, etico e rispettoso dei diritti fondamentali.

Per le aziende, l’AI Act rappresenta una svolta significativa, introducendo requisiti di conformità variabili, a seconda della classificazione dei rischi dei sistemi di IA. Le imprese che sviluppano o implementano soluzioni basate sull’intelligenza artificiale dovranno adottare standard più elevati per i sistemi ad alto rischio, affrontando sfide legate alla sicurezza, alla trasparenza e all’etica. Allo stesso tempo, questa normativa potrebbe agire da catalizzatore per l’innovazione, spingendo le aziende a esplorare nuove frontiere nell’ambito dell’IA, pur rispettando i principi di responsabilità e di tutela dei diritti umani.

Cos’è l’AI Act?

L’AI Act rappresenta un tentativo importante di stabilire un quadro normativo per l’uso dell’intelligenza artificiale, bilanciando la promozione dell’innovazione tecnologica con la protezione dei diritti fondamentali e la sicurezza dei cittadini.

L’AI Act classifica i sistemi di intelligenza artificiale in diverse categorie in base al loro livello di rischio, introducendo regole e requisiti più rigorosi per quelli ritenuti ad alto rischio. 

Include disposizioni su trasparenza, supervisione umana, precisione, sicurezza e privacy. Il regolamento si propone di promuovere l’innovazione nel settore dell’IA, garantendo al contempo che queste tecnologie siano utilizzate in modo responsabile e non pregiudichino i diritti umani.

L’AI Act: un regolamento per garantire la sicurezza e la responsabilità dell’intelligenza artificiale

L’AI Act è una legge complessa, che comprende una serie di disposizioni che regolano diversi aspetti dell’intelligenza artificiale. 

Il regolamento sull’intelligenza artificiale si concentra sui seguenti temi:

• Sicurezza: il regolamento mira a garantire che i sistemi di intelligenza artificiale siano progettati e implementati in modo da ridurre al minimo il rischio di danni alle persone, ai beni o all’ambiente. A tal fine, il regolamento prevede una serie di requisiti specifici, tra cui:
  • Valutazione dei rischi: i soggetti che sviluppano o utilizzano sistemi di intelligenza artificiale a rischio elevato devono effettuare una valutazione dei rischi per identificare e mitigare i rischi associati ai sistemi.
  • Misure di mitigazione: i soggetti che sviluppano o utilizzano sistemi di intelligenza artificiale a rischio elevato devono adottare misure di mitigazione per ridurre al minimo i rischi identificati nella valutazione dei rischi.
  • Sistema di registrazione: i soggetti che sviluppano o utilizzano sistemi di intelligenza artificiale a rischio elevato devono registrarsi presso un’autorità competente.
• Trasparenza: il regolamento mira a garantire che i sistemi di intelligenza artificiale siano trasparenti, in modo che le persone possano comprenderne il funzionamento e i rischi associati. A tal fine, il regolamento prevede che i sistemi di intelligenza artificiale a rischio elevato siano accompagnati da una serie di informazioni, tra cui:
  • Informazioni sul funzionamento del sistema: le informazioni devono includere una descrizione del funzionamento del sistema, comprese le sue caratteristiche tecniche e le sue modalità di apprendimento.
  • Informazioni sui rischi associati: le informazioni devono includere una descrizione dei rischi associati al sistema, nonché le misure adottate per mitigare tali rischi.
• Non discriminazione: il regolamento mira a garantire che i sistemi di intelligenza artificiale non siano utilizzati per discriminare le persone sulla base di razza, sesso, religione, orientamento sessuale, ecc. A tal fine, il regolamento vieta l’utilizzo di sistemi di intelligenza artificiale per scopi discriminatori.
• Responsabilità: il regolamento mira a chiarire la responsabilità in caso di errore o violazione di legge da parte di un sistema di intelligenza artificiale. A tal fine, il regolamento prevede che la responsabilità sia determinata caso per caso, tenendo conto di una serie di fattori, tra cui:
  • La natura del danno: la natura del danno, in particolare se si tratta di danno fisico, patrimoniale o morale.
  • Il grado di autonomia del sistema: il grado di autonomia del sistema, in particolare se il sistema è in grado di prendere decisioni autonome o se è semplicemente uno strumento utilizzato da un essere umano.
  • Il ruolo dell’essere umano: il ruolo dell’essere umano nel processo decisionale, in particolare se l’essere umano ha potuto intervenire per prevenire il danno.

In particolare, il regolamento prevede che la responsabilità per i danni causati da un sistema di intelligenza artificiale a rischio elevato possa essere attribuita a:

• Il soggetto che ha sviluppato il sistema: il soggetto che ha sviluppato il sistema è responsabile per i danni causati dal sistema se il danno è stato causato da un difetto di progettazione o implementazione del sistema.
• Il soggetto che utilizza il sistema: il soggetto che utilizza il sistema è responsabile per i danni causati dal sistema se il danno è stato causato da un uso improprio del sistema.

Chi sono i destinatari del Regolamento Europeo sull’intelligenza artificiale?

Il Regolamento AI Act stabilisce responsabilità specifiche lungo tutta la filiera dell’intelligenza artificiale. Ogni ruolo, dal fornitore al distributore, fino all’utente finale, ha oneri e responsabilità definiti: 

• I produttori e i fornitori di IA sono responsabili della conformità dei loro prodotti ai criteri stabiliti dall’AI Act, soprattutto in termini di sicurezza, affidabilità e trasparenza, con un’enfasi particolare sui sistemi classificati come ad alto rischio. Questo include l’implementazione di processi di valutazione del rischio, la garanzia dell’etica nell’uso dei dati, e la fornitura di documentazione dettagliata sul funzionamento dei sistemi di IA. 
• I rappresentanti autorizzati, importatori e distributori hanno il compito di assicurare che i sistemi IA che entrano nel mercato europeo rispettino le norme dell’AI Act.
• Le aziende che utilizzano sistemi di IA devono assicurarsi di impiegarli in maniera responsabile e conforme alle normative. Ciò comporta la necessità di monitorare l’uso dell’IA per prevenire rischi, formare il personale su aspetti etici e di sicurezza legati all’IA, e valutare attentamente le decisioni relative all’acquisto o allo sviluppo di nuove tecnologie di intelligenza artificiale. 
• Gli utenti devono utilizzare questi sistemi in maniera conforme, tenendo conto di sicurezza ed etica.

AI Act, i 4 livelli di rischio

La classificazione dei rischi nell’AI Act è un principio fondamentale che ha un impatto significativo sulle aziende che utilizzano l’intelligenza artificiale. Questa classificazione determina il livello di regolamentazione e di conformità richiesto per i vari sistemi di IA, influenzando direttamente come le aziende sviluppano, implementano e gestiscono queste tecnologie.

1. Rischi inaccettabili: al vertice della classificazione ci sono i sistemi di IA i cui rischi sono considerati inaccettabili. Questi includono sistemi che manipolano il comportamento umano in modo dannoso o sistemi di sorveglianza di massa. Tali sistemi sono vietati o fortemente limitati.
2. Alto rischio: i sistemi di IA classificati come ad alto rischio sono quelli utilizzati in settori critici come la sanità, il trasporto, la giustizia e la sicurezza pubblica. Per questi sistemi, sono richiesti standard elevati di sicurezza, trasparenza e affidabilità. Le aziende devono assicurare che questi sistemi siano esaminati attentamente prima dell’uso, che siano facilmente controllabili e che sia garantita una supervisione umana adeguata.
3. Rischio limitato: questa categoria include sistemi come i chatbot, dove è necessaria una trasparenza minima. Gli utenti devono essere informati dell’interazione con un sistema di IA.
4. Rischio minimo o trascurabile: questi sistemi di AI sono soggetti a regolamentazioni minime e includono molte delle applicazioni di IA comuni, come i filtri di IA per le foto.

La classificazione dei rischi nell’AI Act è un elemento chiave per le aziende, in quanto determina in modo diretto i requisiti di conformità necessari. A seconda del livello di rischio assegnato ai loro sistemi di IA, le aziende devono adottare misure adeguate per garantire sicurezza, trasparenza e affidabilità. Questa classificazione influisce anche sulle decisioni di investimento e sviluppo delle aziende, guidando la scelta di quali tecnologie di IA sviluppare o adottare, considerando i potenziali costi e la complessità legati alla conformità. 

Inoltre, la percezione del rischio da parte dei consumatori può variare notevolmente a seconda della categoria di rischio del sistema IA, influenzando la loro fiducia e accettazione dei prodotti. 

La necessità di adottare strategie di gestione del rischio appropriate al livello di rischio dei sistemi di IA richiede alle aziende di variare i loro approcci, spaziando da semplici interventi di monitoraggio fino a processi di verifica e controllo estremamente rigorosi.

Come essere AI compliant?

Per essere conformi all’AI Act, le aziende devono adottare strategie dettagliate in diverse aree:

1. Valutare il livello di rischio: classificare i loro sistemi IA in base ai criteri di rischio definiti dall’AI Act.
2. Implementare standard di sicurezza e trasparenza: assicurarsi che i sistemi IA ad alto rischio soddisfino requisiti rigorosi di sicurezza e trasparenza.
3. Conformità ai dati e alla privacy: garantire che il trattamento dei dati sia conforme al GDPR.
4. Cyber Security: rafforzare le misure di sicurezza per proteggere i sistemi di IA da attacchi informatici e violazioni dei dati
5. Non discriminazione: garantire che gli algoritmi di IA siano privi di pregiudizi e non creino discriminazioni, adottando pratiche di verifica e revisione.
6. Sorveglianza umana: stabilire meccanismi per un’efficace supervisione umana dei sistemi di IA, specialmente quelli ad alto rischio, per prevenire o mitigare eventuali danni. 
7. Documentazione e registrazione: mantenere una documentazione dettagliata dei loro sistemi IA e delle procedure di valutazione del rischio.

Oltre agli aspetti già menzionati, è essenziale per le aziende adottare una politica interna specifica sull’uso dell’IA (IA Policy). Questa dovrebbe includere linee guida chiare su come gli algoritmi di IA vengono sviluppati, utilizzati e monitorati all’interno dell’organizzazione. Inoltre, è importante prestare attenzione alla formazione del personale, al rispetto dei diritti dei lavoratori e dei consumatori, e all’implementazione di processi di revisione e aggiornamento continuo per assicurare che i sistemi di IA rimangano conformi alle normative in evoluzione.

Ai Act, sanzioni

Dall’entrata in vigore del Regolamento, le aziende avranno 2 anni di grace period per adeguarsi. Dopo di che le imprese che non rispettano le norme dell’AI Act saranno passibili di sanzione. L’AI Act suddivide le sanzioni in tre categorie:

• 1. Sanzioni fino a 30 milioni di euro o il 6% del fatturato annuo globale per violazioni gravi come l’inosservanza dei requisiti relativi ai dati e pratiche illecite.
• 2. Sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale per la fornitura di informazioni false, inesatte o incomplete.
• 3. Sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale per altre tipologie di non conformità.

Queste fasce sanzionatorie enfatizzano l’importanza del rispetto delle normative dell’AI Act per le aziende.

AI Act: verso la responsabilizzazione dell’AI o dell’essere umano?

L’AI Act è un regolamento complesso che ha il potenziale per portare a importanti cambiamenti nell’utilizzo dell’intelligenza artificiale. In particolare, il regolamento mira a responsabilizzare sia l’AI generativa che l’essere umano.

Da un lato, l’AI Act impone una serie di requisiti e misure che i soggetti che sviluppano o utilizzano sistemi di intelligenza artificiale a rischio elevato devono rispettare. Questi requisiti e misure mirano a garantire che i sistemi di intelligenza artificiale siano progettati, implementati e utilizzati in modo sicuro e responsabile.

Ad esempio, l’AI Act richiede che i sistemi di intelligenza artificiale a rischio elevato siano trasparenti, in modo che le persone possano comprenderne il funzionamento e i rischi associati. Inoltre, l’AI Act vieta l’utilizzo di sistemi di intelligenza artificiale per scopi discriminatori.

Questi requisiti e misure mirano a responsabilizzare l’AI generativa, in quanto rendono più difficile che i sistemi di intelligenza artificiale a rischio elevato siano utilizzati in modo dannoso o discriminatorio.

Dall’altro lato, l’AI Act riconosce che l’essere umano è sempre responsabile delle proprie azioni, anche quando utilizza sistemi di intelligenza artificiale. In particolare, il regolamento prevede che la responsabilità per i danni causati da un sistema di intelligenza artificiale a rischio elevato possa essere attribuita sia al soggetto che ha sviluppato il sistema che al soggetto che utilizza il sistema.

Questa previsione mira a responsabilizzare l’essere umano, in quanto lo rende consapevole del fatto che deve assumersi la responsabilità delle proprie azioni, anche quando utilizza sistemi di intelligenza artificiale.In conclusione, l’AI Act è un regolamento che mira a promuovere un utilizzo sicuro e responsabile dell’intelligenza artificiale. Il regolamento responsabilizza sia l’AI generativa che l’essere umano, in modo da garantire che l’intelligenza artificiale sia utilizzata a beneficio di tutti.

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in intelligenza artificiale che potrebbero interessarti

Visualizza tutti gli articoli

Intelligenza artificiale e diritto d’autore, problematiche e casi studio

3 Gennaio 2024

Il diritto d’autore tutela le opere generate dall’intelligenza artificiale? L’Intelligenza artificiale generativa viola il diritto d’autore?

Leggi altro

La Valutazione d’Impatto sui Diritti Fondamentali (FRIA) prevista dall’AI Act

22 Marzo 2024

Mentre la DPIA è uno strumento consolidato dal GDPR per identificare e minimizzare i rischi per la privacy derivanti dal trattamento dei dati personali, la FRIA è un meccanismo volto a garantire che l’implementazione di sistemi AI ad alto rischio rispetti i diritti fondamentali oltre la privacy, come la non discriminazione e il diritto alla libertà di espressione.

Leggi altro

AI generativa, problematiche legali dell’intelligenza artificiale

9 Dicembre 2023

L’AI generativa non si limita a replicare o modificare il contenuto esistente, ma crea qualcosa di completamente nuovo, aprendo un mondo di possibilità creative ed economiche, ma anche di complesse sfide legali. Le domande sulla proprietà intellettuale, sulla protezione dei dati, sulla responsabilità per i contenuti generati e sulla conformità normativa sono solo alcune delle questioni che le aziende devono affrontare in questo nuovo panorama.

Leggi altro