L’AI ACT (Regolamento n. 1689 del 13 giugno 2024) è arrivato in Gazzetta Ufficiale europea il 12 luglio 2024. Entrerà parzialmente in vigore il 2 agosto 2024 e la sua piena applicazione è prevista dal 2 agosto 2026. Non mancano però scadenze intermedie a cui fornitori e utilizzatori devono adeguarsi (cfr. scadenzario a fine articolo)
L’intelligenza artificiale (IA) rappresenta una delle innovazioni tecnologiche più rilevanti per le piccole, medie e grandi imprese. L’IA offre opportunità straordinarie per migliorare l’efficienza operativa, ottimizzare i processi aziendali, personalizzare l’offerta ai clienti e prendere decisioni più informate. Tuttavia, l’adozione di questi applicativi non è priva di rischi, tra cui quelli legati alla gestione dei dati, la privacy degli utenti, e l’eventualità di bias (ossia distorsioni o inesattezze nei risultati dei sistemi di decisione automatizzata).
Intelligenza artificiale e le imprese in Italia: i numeri
Le applicazioni di intelligenza artificiale in Italia stanno continuando a crescere. Secondo l’ultimo report dell’Osservatorio Artificial Intelligence del Politecnico di Milano il mercato dell’IA in Italia ha raggiunto un valore di 500 milioni di euro, registrando un aumento del 32% rispetto al 2021. Tra le imprese italiane, il 61% delle grandi aziende ha già avviato un progetto di IA, mentre nelle piccole e medie imprese (PMI) questa percentuale è del 15%. Tuttavia, si prevede un incremento significativo nei prossimi due anni.
AI Act, un passo concreto verso la regolamentazione?
L’obiettivo dell’AI Act (Reg. n. 1689 del 13/6/2024) è garantire che i sistemi di intelligenza artificiale impiegati all’interno dell’Unione Europea siano pienamente conformi ai diritti e ai valori fondamentali dell’UE, assicurando il controllo umano, la sicurezza, la protezione della privacy, la trasparenza, l’assenza di discriminazione e il benessere sociale e ambientale.
La tutela dei diritti fondamentali è un tema centrale anche a livello nazionale. Il Disegno di Legge in tema di Intelligenza Artificiale approvato lo scorso aprile dal Consiglio dei Ministri (C.d.m. n. 78 del 23 aprile 2024) mira, infatti, all’introduzione di specifiche disposizioni da applicare nel nostro territorio, ad integrazione della normativa europea. Prevederà misure come l’introduzione di un’aggravante specifica per i reati facilitati dall’uso dell’AI, l’implementazione di un sistema di fisco automatizzato, l’istituzione di bollini anti-deepfake per contrastare la disinformazione e la destinazione di fondi considerevoli, 150 milioni di euro, estratti dall’ultimo decreto-legge legato al Piano nazionale di ripresa e resilienza (PNRR).
L’AI ACT ha un approccio basato sul rischio, ed infatti sono previste quattro categorie entro cui classificare i sistemi di intelligenza artificiale. Il rischio può essere: inaccettabile, alto, limitato e minimo. Ogni categoria ha requisiti e obblighi specifici, progettati per garantire la sicurezza e il rispetto dei diritti fondamentali sopra menzionati.
- Rischio Inaccettabile: I sistemi di IA che rientrano in questa categoria sono quelli che violano i valori fondamentali dell’Unione Europea, come la dignità umana e la democrazia. Ad esempio, i sistemi che manipolano il comportamento umano per eludere la volontà degli utenti, come quelli utilizzati per il “social scoring” – ossia la pratica di dare un punteggio legato alla buona condotta dei cittadini da parte delle autorità pubbliche – sono vietati. Un esempio pratico di una IA a rischio inaccettabile potrebbe essere un sistema di sorveglianza biometrica in tempo reale che raccoglie dati senza il consenso degli individui.
- Rischio Alto: Questi sistemi possono avere un impatto significativo sui diritti fondamentali o sulla sicurezza delle persone. Prima di essere utilizzati, devono soddisfare i rigorosi requisiti. Ad esempio, i sistemi di IA utilizzati per la selezione del personale o per l’ammissione all’istruzione rientrano in questa categoria. Devono garantire la qualità dei dati e la trasparenza, e gli sviluppatori devono condurre valutazioni del rischio.
- Rischio Limitato: I sistemi di IA in questa categoria possono influire sui diritti degli utenti, ma in modo meno significativo rispetto ai sistemi ad alto rischio. Ad esempio, i chatbot che forniscono assistenza clienti devono informare gli utenti che stanno interagendo con un sistema di IA.
- Rischio Minimo o Nullo: Questi sistemi non hanno impatti diretti sui diritti fondamentali e offrono ampie possibilità di scelta agli utenti. Non sono soggetti a obblighi normativi specifici, il che incoraggia l’innovazione. Un esempio potrebbe essere un videogioco che utilizza IA per migliorare l’esperienza di gioco, o filtri fotografici che abbelliscono le immagini senza particolari implicazioni in tema di privacy.
Come adattare la propria impresa riuscendo ad anticipare la normativa?
Gli obblighi derivanti dall’AI Act non si applicano solo ai produttori e fornitori di sistemi di intelligenza artificiale, ma anche chi li utilizza è chiamato a valutare e mitigare i rischi, ad esempio in materia di privacy e diritti umani.
Sei mesi dopo l’entrata in vigore dell’AI ACT scatteranno i primi obblighi, tra cui il divieto assoluto di utilizzo di sistemi a rischio inaccettabile. Ci sono poi altre scadenze da rispettare per adeguare la propria realtà imprenditoriale alla norma, è dunque molto importante intraprendere percorso ragionato e non farsi trovare impreparati:
- Il primo passo è di sicuro la “mappatura” delle tecnologie di IA utilizzate in azienda. Bisognerà valutarne la categoria di appartenenza, dismettendo immediatamente quelle a rischio inaccettabile e informandosi sugli obblighi derivanti dall’AI Act per le altre classi.
Ad esempio, l’utilizzo di un software che sfrutta intelligenza artificiale a rischio alto dovrà essere conforme a regole e valutazioni indicate dal produttore. Il rischio basso comporta, come detto, obblighi di trasparenza informativi: l’utente finale deve essere informato dell’interazione con un sistema di IA.
- Nei contratti con i fornitori di software/beni tecnologici è consigliabile includere clausole che garantiscano la conformità alla nuova normativa. I fornitori dovrebbero infatti dichiarare se il prodotto è un sistema di intelligenza artificiale – specificandone il livello di rischio – e attestare di aver rispettato tutti gli obblighi previsti dalle nuove regole europee relative a tale sistema. È inoltre opportuno prevedere garanzie e strumenti per risarcimenti o sanzioni derivanti dall’uso del sistema di intelligenza artificiale oggetto dell’accordo. La mancata conformità alle normative può comportare sanzioni fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente.
- Occorre formare con specifici training i dipendenti sulle novità e sui punti fondamentali delle nuove regole connesse all’utilizzo dell’IA. Naturalmente, anche in questo caso, l’approccio sarà risk based, quindi rapportato alle tecnologie in uso e alla loro “pericolosità” alla luce dell’AI ACT.
- Oltre alla prevenzione è opportuno valorizzare una vigilanza successiva, che tenga conto delle evoluzioni normative, condotta da professionisti con adeguata esperienza e formazione nel settore legal tech. Nuove Policy Aziendali sono, infine, di centrale importanza per consentire l’uso autonomo da parte dei singoli dipendenti di sistemi di IA nell’attività lavorativa.
Le scadenze da rispettare per produttori e utilizzatori:
Entro il 2 febbraio 2025 (6 mesi dall’entrata in vigore):
- Proibizione dell’uso di sistemi di intelligenza artificiale ad alto rischio inaccettabile. (Articolo 113)
- Entro il 2 maggio 2025 (9 mesi dall’entrata in vigore):
- Devono essere finalizzati i codici di condotta per l’Intelligenza Artificiale a “scopo generale” (GPAI, General Purpose Artificial Intelligence). (Articolo 113)
- Entro il 2 agosto 2025 (12 mesi dall’entrata in vigore):
- Applicazione delle regole per la GPAI. (Articolo 113)
- Nomina delle autorità competenti negli Stati membri. (Articolo 70)
- Revisione annuale della Commissione e possibili modifiche alle proibizioni. (Articolo 112)
- Entro il 1° febbraio 2026 (18 mesi dall’entrata in vigore):
- La Commissione emette atti di esecuzione per creare un modello di piano di monitoraggio post-vendita per i fornitori di AI ad alto rischio. (Articolo 6)
- Entro il 2 agosto 2026 (24 mesi dall’entrata in vigore):
- Applicazione degli obblighi relativi ai sistemi di intelligenza artificiale ad alto rischio elencati specificamente nell’Allegato III del regolamento, che include AI in ambiti come biometria, infrastrutture critiche, istruzione, occupazione, accesso ai servizi pubblici essenziali, forze dell’ordine, immigrazione e amministrazione della giustizia. (Articolo 111)
- Gli Stati membri devono aver implementato norme sulle sanzioni, comprese le multe amministrative. (Articolo 57)
- Revisione e possibile modifica da parte della Commissione dell’elenco dei sistemi di AI ad alto rischio. (Articolo 112)
- Entro il 2 agosto 2027 (36 mesi dall’entrata in vigore):
- Applicazione degli obblighi relativi ai sistemi di intelligenza artificiale ad alto rischio elencati nell’Allegato I. (Articolo 113)
- Obblighi per i sistemi di AI ad alto rischio che non sono prescritti nell’Allegato III ma che sono destinati a essere utilizzati come componente di sicurezza di un prodotto, o che il prodotto stesso è soggetto a valutazione di conformità da parte di terzi secondo le leggi specifiche dell’UE, come i giocattoli, le apparecchiature radio, i dispositivi medici diagnostici in vitro, la sicurezza dell’aviazione civile e i veicoli agricoli. (Articolo 113)
- Entro il 31 dicembre 2030:
- Entrata in vigore degli obblighi per determinati sistemi di intelligenza artificiale che sono componenti di grandi sistemi IT istituiti dalla legge dell’UE nelle aree della libertà, sicurezza e giustizia, come il Sistema di Informazione Schengen. (Articolo 111)