La tua organizzazione utilizza sistemi di intelligenza artificiale? Una guida Q&A alla compliance
A partire dal 2 febbraio 2025 cominceranno a divenire applicabili alcuni degli obblighi previsti dal c.d. “AI ACT”, il nuovo Regolamento europeo sull’intelligenza artificiale (IA). Fra i vari obiettivi perseguiti dalla norma, vi rientra la definizione di regole armonizzate anche in relazione all’utilizzo dei sistemi di intelligenza artificiale.
Tutte le organizzazioni sono chiamate a verificare se stanno già utilizzando, o se hanno intenzione di utilizzare sistemi di IA e ad attivarsi per la compliance.
Quali obblighi dovranno rispettare gli utilizzatori dei sistemi di IA? Quali conseguenze in caso di mancato adeguamento? Una guida all’applicazione dell’AI ACT sottoforma di Q&A.
Cosa prevede la norma?
Il Regolamento (UE) 2024/1689 (c.d. Regolamento sull’Intelligenza Artificiale o “AI Act”), entrato in vigore il primo agosto 2024, mira a promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile. A tal fine introduce regole e requisiti specifici applicabili sia ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA, sia ai c.d. “deployer” dei sistemi di IA, ovvero i singoli utilizzatori di tali sistemi.
Chi rientra nella nozione di deployer?
La norma definisce “deployer” ogni persona fisica, persona giuridica, ente, autorità pubblica o altro organismo che utilizza un sistema di intelligenza artificiale sotto la propria autorità, per finalità professionali, istituzionali o aziendali. Sono espressamente esclusi dalla nozione di deployer i soggetti privati e gli utenti finali che utilizzano un sistema di intelligenza artificiale esclusivamente per scopi di natura personale / non professionale.
Così definiti, i deployer, enti ed imprese che già utilizzano o che intendono introdurre sistemi di IA all’interno della propria organizzazione, sono chiamati a rispettare una serie di obblighi imposti dalla norma, i quali variano in funzione della tipologia di sistema di intelligenza artificiale utilizzato.
Di quali sistemi di IA stiamo parlando?
Ai sensi del Regolamento, per sistema di IA si intende “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
L’ampiezza della definizione consente di qualificare come IA molteplici tecniche computazionali che simulano il comportamento umano. La norma suddivide tali tecniche in base al livello di rischio, inteso come “la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso”.
Livello di rischio | Esempi |
Minimo | Algoritmi di raccomandazione; sistemi di IA che analizzano le e-mail per identificare e bloccare lo spam o il phishing; algoritmi che ottimizzano l’uso della batteria o migliorano le performance di un’applicazione; etc. |
Limitato | Chatbot avanzati per assistenza alla clientela; sistemi di IA che interagiscono direttamente con le persone come gli agenti conversazionali o sistemi che generano o manipolano contenuti; sistemi che analizzano il comportamento di acquisto degli utenti per proporre pubblicità o offerte personalizzate; etc. |
Elevato | Sistemi biometrici basati su IA; sistemi di IA destinati a essere utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale o nella fornitura di acqua, gas, riscaldamento o elettricità; sistemi di IA utilizzati nell’ambito dell’istruzione e formazione professionale; sistemi di IA destinati all’utilizzo nel contesto dell’occupazione, gestione dei lavoratori e accesso al lavoro autonomo; sistemi utilizzati per valutare l’affidabilità creditizia, la determinazione dei prezzi delle assicurazioni; etc. |
Inaccettabile | Tecniche subliminali che agiscono senza che una persona ne sia consapevole; tecniche volutamente manipolative o ingannevoli aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone; tecniche che sfruttano le vulnerabilità delle persone; scoring sociale; sorveglianza di massa; etc. |
In base al tipo di sistema e al corrispondente livello di rischio discendono specifici obblighi in capo ai deployer. Pertanto, per comprendere quali sono i requisiti che legittimano l’utilizzo di un determinato sistema, è essenziale, dapprima:
- effettuare una ricognizione interna di tutti i sistemi utilizzati o dei sistemi che si intendono adottare;
- procedere con la valutazione del rischio effettivo derivante dall’utilizzo di tali sistemi.
Come valutare il rischio?
La valutazione del rischio dei sistemi di IA si basa su criteri oggettivi e specifici, che prendono in considerazione una serie di fattori, tra cui:
- la destinazione d’uso del sistema,
- la quantità di dati trattati,
- la natura dei dati trattati,
- la partecipazione umana nel processo decisionale,
- la possibilità di correggere i risultati forniti dal sistema,
- la dipendenza delle persone dai risultati del sistema,
- l’esistenza di squilibri di potere fra utilizzatore del sistema e soggetti interessati,
- l’impatto potenziale sugli individui e sui diritti fondamentali,
- etc.
Quali obblighi si applicano?
Una volta determinato il livello di rischio, i deployer sono tenuti a valutare l’applicazione degli obblighi previsti dall’AI ACT. Fra questi vi rientrano i seguenti.
Categoria | Dettaglio degli obblighi |
Obblighi di monitoraggio / controllo sui sistemi
|
|
Obblighi relativi alla sicurezza |
|
Obblighi di trasparenza
|
|
Obblighi di alfabetizzazione / formazione
|
|
Obblighi di cooperazione
|
|
Obblighi relativi alla protezione dei dati e dei diritti delle persone
|
|
Gli obblighi riportati in tabella non costituiscono un elenco esaustivo: a questi si aggiungono, ad esempio, gli ulteriori requisiti applicabili in caso di utilizzo di specifici sistemi, fra cui sistemi di IA ad alto rischio per l’identificazione biometrica remota a posteriori, sistemi di riconoscimento delle emozioni o di categorizzazione biometrica, sistemi di IA che generano o manipolano immagini o contenuti audio o video che costituiscono un «deep fake», etc.
Quando gli obblighi diverranno applicabili?
Gli obblighi esaminati diverranno applicabili in modo graduale, in base al rischio intrinseco ai sistemi utilizzati.
In particolare, i divieti, le definizioni e gli obblighi relativi all’alfabetizzazione in materia di IA si applicheranno a partire dal 2 febbraio 2025. Gli obblighi relativi a sistemi di IA per finalità generali e le norme in materia di governance diverranno applicabili esattamente 12 mesi dopo l’entrata in vigore del Regolamento, ovvero il 2 agosto 2025.
La priorità deve essere quindi data alle attività di formazione, al fine di istruire il personale ed i collaboratori sulle corrette modalità di utilizzo dei sistemi in esame.
Quali conseguenze in caso di mancato adeguamento?
Il mancato rispetto degli obblighi previsti dal Regolamento espone le organizzazioni a sanzioni amministrative pecuniarie che possono raggiungere l’importo di 35 milioni di euro o, se superiore, il 7% del fatturato mondiale annuo.
In particolare, la non conformità agli obblighi dei deployer, a norma dell’articolo 26 dell’AI ACT, e agli obblighi di trasparenza per i fornitori e i deployer, a norma dell’articolo 50 dell’AI ACT, è soggetta a sanzioni amministrative pecuniarie fino a 15 milioni di euro o, se superiore, il 3% del fatturato mondiale annuo.
In aggiunta, le Autorità competenti possono disporre la sospensione temporanea o definitiva dell’utilizzo del sistema di intelligenza artificiale aziendale e ordinare il ritiro dal mercato del sistema o del prodotto che lo integra, con conseguenti gravi danni economici, d’immagine e reputazionali.
Come conformarsi?
Oltre a prevenire sanzioni, avviare sin da subito il processo di adeguamento al Regolamento sull’Intelligenza Artificiale e, quindi, conformarsi prima che gli obblighi diventino applicabili, è di importanza cruciale per tutte le organizzazioni. La compliance all’AI ACT, infatti, tutela i diritti fondamentali delle persone, garantisce la sicurezza degli utenti e, attraverso monitoraggio e alfabetizzazione, previene il verificarsi di incidenti derivanti da un utilizzo non presidiato o poco consapevole dei sistemi.
L’ampio framework normativo e la complessità degli adempimenti, che si posizionano in maniera trasversale fra legal e IT, richiedono un solido presidio interno dell’AI e il supporto di consulenti esperti nella compliance.
Se non sai da che parte iniziare rivolgiti al nostro Team AI Desk Italy.
