INDICE:
2. Che cos’è l’AI Act e perché rappresenta uno spartiacque
3. Le premesse che hanno portato all’AI Act
4. Quali sono gli obiettivi del regolamento
5. Le aziende al centro del nuovo framework
6. Categorie di rischio e requisiti per l'uso dell'intelligenza artificiale
7. Le sanzioni previste dal regolamento
8. L'impatto dell'AI Act, come prepararsi per raggiungere la compliance
L'AI Act, il regolamento europeo che disciplina lo sviluppo e l'utilizzo dell'intelligenza artificiale nell'Unione a 27, è entrato nel vivo. Le organizzazioni coinvolte a vario titolo dal framework devono non solo cominciare a pianificare le strategie e le mosse per adeguarsi sotto il profilo della conformità (i cui obblighi, rispetto a tutte le parti del regolamento, saranno vincolanti entro il 2 agosto 2027), ma anche a ripensare drasticamente i processi in funzione dell'impatto che la nuova tecnologia può avere su persone, servizi e prodotti.
Anche se può non sembrare così, il tempo stringe, soprattutto perché si tratta di una materia estremamente complessa e in continuo divenire. L'AI Act, prima iniziativa nel suo genere a livello mondiale, ha infatti l'ambizioso obiettivo di porre una serie di vincoli intorno alle applicazioni di artificial intelligence per preservarle come soluzioni al servizio dell'essere umano, evitando che si trasformino in minacce per la società e gli individui. Questo è sostanzialmente il motivo per il cui il regolamento è stato concepito con un approccio risk based, ed è anche il motivo per cui le imprese che fanno leva sull'AI dovranno riscrivere la propria mappa dei rischi. Possibilmente, in tempi brevi.
L’AI Act sancisce che l’intelligenza artificiale debba essere implementata e adoperata in modo sicuro, etico e rispettoso dei diritti fondamentali dell'essere umano, oltre che dei valori europei.
Il regolamento rappresenta in effetti uno dei pilastri della strategia digitale dell’Unione, che punta a trovare un punto di equilibrio tra il sostegno all'innovazione e alla competitività degli Stati membri, e la tutela dei consumatori, dei lavoratori e dei cittadini.
Del resto, nonostante quello dell'intelligenza artificiale europea sia ancora un mercato giovane, il giro d'affari legato a questa tecnologia sta crescendo in modo impetuoso: secondo le stime di Gartner, è proprio l'AI a trainare la spesa IT nel vecchio continente, che nel complesso quest'anno raggiungerà i 1.280 miliardi di dollari, segnando un incremento dell'8,7% rispetto al 2024 (esercizio che, sempre secondo Gartner, dovrebbe essersi chiuso a 1.180 miliardi di dollari). I soli servizi IT legati all’intelligenza artificiale cresceranno in valore da 78 miliardi di dollari nel 2024 a 94 miliardi di dollari nel corso dei prossimi mesi.
Le proiezioni di Statista parlano di 61,76 miliardi di dollari nel 2025 per le applicazioni di AI pura, e nel 2030 il mercato europeo dell'AI dovrebbe arrivare a quota 209,5 miliardi di dollari, mettendo a segno una crescita annuale (CAGR 2025-2030) del 27,67%. La quota maggiore di investimenti sarà assorbita dalle piattaforme di machine learning e dagli strumenti di Natural Language Processing.
In questo senso, l'AI Act guarda con lungimiranza a un settore che solo ora sta cominciando a muovere i primi passi, ponendosi come un vero spartiacque tra due ere digitali differenti.
Per quanto ci si riferisca spesso alla burocrazia di Bruxelles come a una macchina farraginosa, l'iter di approvazione dell'AI Act è stato relativamente breve. Nato come proposta di regolamento presentata dalla Commissione Europea il 21 aprile 2021, il framework ha assunto da subito il respiro di un quadro normativo armonizzato e proporzionato per l’intelligenza artificiale nell’Unione.
Per questa ragione, la proposta è stata formulata prevedendo una classificazione dei sistemi di AI basata sul loro livello di rischio per la sicurezza e i diritti delle persone. Da qui discendono direttamente definizioni, requisiti e obblighi per i fornitori e gli utenti di tali sistemi.
La seconda data importante lungo l'iter approvativo dell'AI Act è il 14 giugno 2023, quando il Parlamento Europeo ha adottato la propria posizione negoziale sul Regolamento. In data 9 dicembre 2023, poi, il trilogo costituito da rappresentanti del Parlamento Europeo, del Consiglio dell’Unione Europea e della Commissione Europea ha raggiunto un accordo provvisorio sul testo del regolamento.
Il 21 gennaio 2024 è stata presentata dalla Commissione, in una riunione tecnica, la versione finale del testo, e il 2 febbraio 2024 c’è stato il via libera all’unanimità di tutti gli ambasciatori degli Stati membri.
Il testo definitivo è stato approvato a larga maggioranza dall'assemblea di Strasburgo il 13 marzo 2024. Il 21 maggio 2024 il Consiglio dell’UE ha approvato in via definitiva l’AI Act, che è entrato in vigore il 2 agosto 2024.
Tra gli obiettivi chiave dell’AI Act ci sono la creazione di un framework per la protezione dei dati per quel che concerne gli aspetti complementari al GDPR sul fronte dell'intelligenza artificiale, la regolamentazione dei rischi associati all’AI e la promozione di un’innovazione sicura e controllata.
Più nello specifico, l'AI Act punta a definire:
· regole da applicare sia ai sistemi di intelligenza artificiale per finalità generali ad alto impatto comportanti rischi sistemici in futuro, sia ai sistemi di AI ad alto rischio;
· nuovi meccanismi di governance che tengano conto dei poteri di esecuzione europei;
· un elenco più ampliato e meglio contestualizzato dei divieti per quanto concerne i rischi considerati inaccettabili;
· direttrici su cui fondare la protezione dei diritti, con l'obbligo per gli operatori dei sistemi di AI ad alto rischio di effettuare una valutazione d’impatto prima di sviluppare, diffondere e utilizzare qualsiasi applicazione.
L'AI Act coinvolge direttamente tutti gli attori della value chain dell'intelligenza artificiale europea. Ma pone al centro due figure in particolare: i fornitori e gli operatori. Come fornitori di sistemi di intelligenza artificiale, il regolamento identifica i soggetti pubblici o privati che, indipendentemente da dove abbiano sede, abilitano e mettono a disposizione del mercato europeo sistemi di AI. Gli operatori, invece, sono i soggetti responsabili per l’output prodotto dal sistema di intelligenza artificiale utilizzato in Europa, a prescindere dalla loro ubicazione.
A questi si aggiungono naturalmente importatori, distributori, e rappresentanti autorizzati da fornitori e operatori che a vario titolo utilizzano o mettono a disposizione del pubblico piattaforme di AI (escluse quelle che hanno scopi militari, di difesa o di sicurezza nazionale, e quelle dedicate alla ricerca e allo sviluppo scientifico).
Ciascuno di questi soggetti deve quindi seguire le prescrizioni dell'AI Act in base non solo all'utilizzo che fanno della tecnologia, ma anche e soprattutto in funzione del tipo di rischio che comportano i sistemi adottati dall'organizzazione.
Posto che l'AI Act, rifacendosi all'enunciato dell'OCSE, definisce come intelligenza artificiale “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione […]”, viene disegnata una mappa della sua rischiosità che individua quattro fattispecie:
Naturalmente l'AI Act prevede anche una serie di meccanismi sanzionatori. I soggetti che non risultano conformi o che commettono violazioni ai sensi del regolamento possono ricevere anche pene pecuniarie molto rilevanti, visto che le multe variano in funzione alla gravità e alla tipologia di infrazione o difformità individuata dall'Autorità, ma pure in base alla dimensione e al fatturato dei soggetti che si trovano all'interno del perimetro del framework. Il meccanismo sanzionatorio verrà gradualmente esteso nel prossimo biennio, fino al 2 agosto 2027, quando l'AI Act entrerà a pieno regime in tutte le sue parti.
Le sanzioni vengono comminate dalle autorità nazionali competenti, che sono comunque tenute a cooperare tra loro e con la Commissione di Bruxelles, tramite il Comitato europeo per l’intelligenza artificiale.
Il percorso di conformità che ciascuna organizzazione dovrebbe intraprendere prevede non solo l'implementazione di processi di assessment accurati, ma anche lo sviluppo di competenze multidisciplinari. È necessario mettersi nella condizione di superare le tradizionali barriere funzionali e prevedere nuove responsabilità, capaci di integrare gli aspetti tecnologici, tipicamente
appannaggio della direzione IT, con gli elementi su cui si fonda la gestione del rischio operativo e di conformità.
Attenzione però: tutto questo rischia comunque di essere vanificato se all'interno dell'organizzazione non viene instillata la giusta cultura digitale. Non a caso l'AI Act prevede esplicitamente l’adozione di misure ad hoc per garantire l’alfabetizzazione delle persone che si occupano di funzionamento e utilizzo dei sistemi di AI.
Per concludere, un percorso di conformità che possa dirsi adeguato dovrebbe quindi comprendere queste fasi:
Elaborare un piano d'azione coerente e strutturato potrebbe richiedere l'apporto di competenze esterne: questo significa puntare su un partner strategico, capace non solo di integrare know-how di processo, competenze tecnologiche e comprovata esperienza nell'ambito della compliance normativa e del risk management, ma anche di individuare le best practice per ottimizzare i processi esistenti e crearne di nuovi. In piena conformità con il nuovo framework.