EU AI Act, c’è l’accordo. Ecco che cosa cambia adesso per i CIO

Manca ancora il testo definitivo dell’AI Act, ma l’accordo provvisorio c’è: la presidenza del Consiglio dell’Ue e i negoziatori del Parlamento europeo hanno trovato un’intesa sulla legge europea che regola l’intelligenza artificiale. E adesso è il momento per le imprese e i loro CIO di mettersi al passo.

L’accordo è arrivato dopo negoziati contrastati, all’interno di un iter legislativo che è iniziato due anni fa e che, nel frattempo, ha dovuto fare i conti con una novità dirompente: l’intelligenza artificiale generativa. La posizione del Parlamento europeo orientata alla tutela contro i rischi si è scontrata con quella di alcuni Paesi membri – tra cui l’Italia e la Francia – inclini a una normativa a maglie larghe, che lasciasse libertà di sperimentare e innovare per provare a creare in Ue dei colossi capaci di fare concorrenza (obiettivo molto ambizioso) ai big che oggi dominano il settore dell’IA, in particolare le aziende statunitensi.

“L’intelligenza artificiale è uno strumento sempre più importante per la competitività delle imprese”, afferma Eleonora Faina, direttore generale di Anitec-Assinform. “La regolazione è positiva per il mercato se vengono introdotte regole chiare e attuabili, ma vogliamo dire con forza che le sole regole non bastano. Ora abbiamo bisogno che i policymaker si impegnino per politiche che sostengano gli investimenti in IA e favoriscano la diffusione di competenze”.

“L’accordo raggiunto sulla bozza del Parlamento europeo rappresenta uno dei maggiori sforzi dei regolatori dell’Ue di trovare un equilibrio tra regole e innovazione in un ambito tecnologico strategico, non solo per l’economia”, osserva Giangiacomo Olivi, Partner, Europe Co-Head of Intellectual Property, Data and Technology di Dentons (studio legale internazionale). “I punti fermi sulla tutela dei diritti sono necessari e l’AI Act, da questo punto di vista, va giudicato positivamente. Altrettanto importante è aver definito degli standard che dovranno essere applicati anche dalle aziende soggette a giurisdizioni esterne all’Unione europea, ma che offrono servizi in Europa. Tuttavia, è altrettanto vero – aggiunge Olivi – che regolamentare fortemente il settore dell’IA può creare un ostacolo per le imprese europee, perché in altri Paesi, inclusi gli Stati Uniti, non vigono regole altrettanto stringenti. Alzare troppo l’asticella normativa potrebbe creare uno svantaggio competitivo – fermo restando che l’Ue potrebbe non avere la medesima capacità di investire di Stati Uniti e Cina”.

L’AI Act che potrebbe rivelarsi “oneroso”

Il commento di Anitec-Assinform riflette questa spaccatura: un giudizio positivo sulle tutele, ma perplessità sull’impianto normativo stringente.

“L’accordo provvisorio sull’AI Act rappresenta un passo significativo verso un’IA responsabile, evidenziato dall’adozione di un approccio basato sul rischio dove le applicazioni di IA più critiche dovranno essere certificate per garantirne qualità e sicurezza”, afferma Faina. Al tempo stesso, “Abbiamo osservato, insieme anche ad associazioni europee come Digital Europe, che sostenere i costi di compliance all’AI Act potrebbe rivelarsi una sfida significativa per le piccole e medie imprese e le start-up, e ciò può rallentare la capacità innovativa del nostro Continente”.

Un discorso simile viene fatto per le norme che saranno introdotte per i Foundation Models (FM, modelli fondazionali), vale a dire i modelli di IA che stanno alla base delle applicazioni di IA generativa, come GPT per ChatGPT: “Qui la regolazione ha provato a rincorrere il progresso tecnologico: le norme sui FM sono state introdotte successivamente alla presentazione della proposta di regolamento e sono state negoziate senza che ci sia stata una valutazione d’impatto come per il resto del testo”, evidenzia Faina. “Il rischio di questo processo è di introdurre regole sproporzionate e poco fattibili dal punto di vista tecnico rendendo più difficile sviluppare e investire in IA in Europa”.

Ad ogni modo, l’AI Act non sarà operativo “dall’oggi al domani”, ma richiederà una lunga fase di emanazione di atti delegati, individuazione di best practices e scrittura di standard specifici. “Possiamo quasi dire che la sua struttura richiami più una direttiva che un regolamento”, nota Faina. “È poi cruciale assicurare che l’AI Act si integri senza creare conflitti con altre normative esistenti, in particolare con il GDPR, ma è un discorso che vale per tutto il corpus legislativo europeo sul digitale”.

Gli standard proteggono le imprese Ue. Ma sono un’arma a doppio taglio

Proprio il GDPR (General Data Protection Regulation) stimola una riflessione di interesse per i CIO.

“Molti hanno definito la legge dell’Ue sulla protezione dei dati un modello, imitato da altre giurisdizioni, e questo è parzialmente vero”, evidenzia Olivi di Dentons. “Il regolamento europeo ha il merito di aver portato a una maggiore attenzione verso la tutela dei dati personali. Tuttavia, c’è il rischio di una ricaduta meno vantaggiosa: la concorrenza sulla privacy e una sorta di protezionismo sui dati. Ciò limita la condivisione che è, invece, centrale nel progresso tecnologico. Se altri Paesi, sul modello europeo, emaneranno regole stringenti sull’IA si potrebbe finire ad avere politiche di controllo che rendono più difficile accedere ai dati, bloccando la capacità delle organizzazioni di fare innovazione”.

Le regole europee, da un lato, hanno il pregio di creare un level playing field cui sottostanno tutte le imprese attive in Europa: nessuna potrà portare in Ue innovazioni che non rispettano i diritti fondamentali e gli standard imposti dall’Ue. D’altro lato, ciò non equivale a un incentivo per l’innovazione, nota Olivi. “Ci saranno sempre soggetti più rilevanti perché possiedono molti più dati”, afferma l’esperto. “L’AI Act non può arginare il loro potere e i rischi di vendor lock-in. Ma, almeno, mette dei paletti”.  

Che cosa prevede l’AI Act dell’Ue

L’area che ricade nella legislazione europea sull’intelligenza artificiale sono i sistemi di IA (AI Systems), su cui l’AI Act ha adottato lo standard globale sviluppato dall’Ocse. Gli input da cui sono generati gli output dei sistemi di IA possono essere forniti da macchine (per esempio, i sensori) o da persone (come i prompt per ChatGPT). Il contenuto è considerato un tipo di output: questo fa ricadere l’IA Generativa nell’ambito dell’AI Act.

Alcuni sistemi IA sono vietati. Tra questi, lo scraping non mirato delle immagini facciali da internet o dalle riprese di telecamere di sorveglianza per creare database per il riconoscimento facciale, e il riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione.

I legislatori europei hanno concordato un approccio risk-based: più alto il rischio, più rigide le regole. O meglio: più numerosi gli obblighi. In caso di rischio limitato, i sistemi di IA sono soggetti a requisiti di trasparenza. Se i rischi sui diritti delle persone e la società sono maggiori (come nei sistemi HR, nei dispositivi medici, nelle reti delle società dei pubblici servizi, e così via) scattano obblighi sulla data governance e la privacy dei dati, sulla cybersicurezza, la gestione del rischio, la supervisione umana, e altro ancora.

I modelli fondazionali e i sistemi di General Purpose AI (GPAI) sono stati inclusi nei negoziati più recenti con regole dedicate per garantire trasparenza lungo la catena del valore. Al momento in questo ambito ci sono dei codici di condotta, ma l’Ue prevede di pubblicare degli standard armonizzati.

Per favorire l’innovazione, come chiesto con insistenza da alcuni Paesi membri, l’AI Act promuove i sandbox regolatori e il “real-world testing”, istituiti dalle autorità nazionali per sviluppare e addestrare l’IA prima di immetterla sul mercato.

La legge prevede anche una nuova struttura amministrativa intorno all’intelligenza artificiale, tra cui un AI Office, interno alla Commissione Ue, che dovrà supervisionare i modelli IA più avanzati e favorire la definizione di nuovi standard e procedure di test, nonché garantire l’applicazione dell’AI Act. L’ufficio sarà supportato da un panel di esperti indipendenti che forniranno consulenza sui modelli GPAI. Gli Stati membri saranno rappresentati dall’AI Board, organismo di coordinamento e consulenza per la Commissione.

La non-compliance può portare a multe che vanno da 7,5 milioni di euro o l’1,5% del fatturato globale fino a 35 milioni o il 7% del fatturato globale dell’impresa, a seconda delle sue dimensioni e della gravità della violazione.

Il testo definitivo dell’AI Act dovrebbe essere pubblicato sulla Gazzetta Ufficiale dell’Unione europea all’inizio del 2024. La legge sarà applicabile dopo due anni, ma alcune disposizioni specifiche saranno attuate entro sei mesi e le regole sui GPAI entro 12 mesi.

Che cosa possono fare i CIO adesso (non da soli)

Che cosa implica fin da ora per i CIO l’arrivo dell’AI Act? Anche se l’attuazione è prevista nel giro dei prossimi due anni, per Olivi di Dentons il momento di agire è subito: i CIO devono pensare alla governance dell’innovazione e considerare, soprattutto nelle imprese di medio-grandi dimensioni, che, con tecnologie così complesse dal punto di vista degli impatti e dei rischi come sono i sistemi di IA, il CIO non può occuparsi di tutto.

“Il consiglio per le organizzazioni che usano o hanno in piano di usare sistemi IA è di cominciare ora ad affrontare il tema degli impatti mappando i loro processi e valutando il loro livello di compliance alle nuove regole”, afferma Olivi. “Va implementata una strategia di governance dell’IA che deve essere allineata con gli obiettivi di business: in pratica, bisogna capire in quali aree dell’attività aziendale l’IA potrà apportare i maggiori benefici, aiutando a raggiungere gli obiettivi strategici”.

La governance dell’IA va allineata a quella dei dati – personali e non personali – e, quindi, alle relative norme dell’Ue, cominciando dal GDPR. Andrà anche implementato un quadro di procedure interne tale da assicurare che solo “sviluppatori compliant” lavorino sull’IA e che vengano sviluppati e impiegati solo modelli conformi. Occorrono, inoltre, policy di gestione dei rischi (per esempio, la due diligence sui fornitori) e un’attività di monitoraggio e supervisione dei sistemi IA in tutto il loro ciclo di vita. Ciò ha una diretta ricaduta sulle competenze da acquisire con nuove assunzioni o con il reskilling delle persone interne all’azienda. 

È evidente, da questa “lista delle cose da fare” che il CIO deve agire insieme ad altri team aziendali in modo coordinato. I compiti sono tanti, ma volendo mettere le “cose da fare” in ordine di priorità, meglio partire dall’acquisizione delle competenze, sull’IA e su tutti i settori adiacenti, in ottica multidisciplinare. Un’altra raccomandazione che arriva dagli esperti è di continuare a studiare la tecnologia e osservare, insieme al team Legal, che cosa succede a livello globale: all’AI Act potrebbero seguire altre regolamentazioni in altri Paesi che i CIO non potranno ignorare.