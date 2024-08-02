La legge sull'AI dell'Unione Europea è entrata in vigore il 1° agosto. L'EU AI Act è una delle prime normative in materia di intelligenza artificiale adottate in uno dei più grandi mercati del mondo. Cosa cambierà per le aziende?
L'Unione Europea (UE) è il primo grande mercato a definire nuove regole per l'AI.
"L'obiettivo è trasformare l'UE in un hub globale per un'AI affidabile", secondo i funzionari dell'UE.
L'AI Act adotta un approccio basato sul rischio, cioè categorizza le applicazioni in base al potenziale rischio per i diritti fondamentali e la sicurezza. Alcune delle disposizioni più importanti includono: il divieto di alcune pratiche di AI ritenute inaccettabili, standard per lo sviluppo e la distribuzione di determinati sistemi di AI ad alto rischio e regole per modelli di AI per scopi generali (GPAI). I sistemi AI che non rientrano in una delle categorie di rischio dell'EU AI Act non sono soggetti ai requisiti previsti dalla legge (sono spesso soprannominati categoria di "rischio minimo"), anche se alcuni potrebbero dover soddisfare obblighi di trasparenza e rispettare altre leggi esistenti.
"Si tratta di una forma di pragmatismo normativo che mira ad adattare i vincoli al livello di rischio", afferma Bruno Massot, Vicepresidente, assistente consulente generale e responsabile legale di IBM® Europe.
In base a queste nuove regole, saranno vietate alcune applicazioni di AI che minacciano i diritti dei cittadini. Tra queste, i sistemi di categorizzazione biometrica basati su caratteristiche sensibili, la raccolta non mirata di immagini facciali da internet o filmati CCTV per creare database di riconoscimento facciale, il riconoscimento delle emozioni sul posto di lavoro e nelle scuole, e la polizia predittiva.
L'AI Act è stato approvato dal Parlamento UE il 22 aprile e dagli Stati membri dell'UE il 21 maggio. È stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 12 luglio ed è entrata in vigore il 1° agosto, con diverse disposizioni della legge che sono entrate in vigore in fasi successive.
L'EU AI Act seguirà un calendario molto veloce.
"Sta accadendo molto rapidamente, ma non è una sorpresa. Le bozze sono note da tempo. È anche importante procedere rapidamente, perché la tecnologia sta avanzando molto rapidamente", osserva Massot.
Al sesto mese, entrano in vigore i divieti sulle pratiche di AI vietate. Al nono mese, i codici di condotta diventano applicabili. Al dodicesimo mese, entrano in vigore le regole sull'AI per scopi generali, inclusa la governance. Dopo 24 mesi entreranno in vigore le regole per i sistemi AI a rischio elevato. Infine, 36 mesi dopo l'entrata in vigore, si applicheranno le regole per i sistemi di AI che sono prodotti o componenti di prodotti regolamentati da specifiche leggi UE.
Il mancato rispetto della legge può comportare multe ingenti, di fino a 35 milioni di euro o pari al 7% del fatturato annuo di un'azienda.
"C'è un senso di urgenza," osserva Dasha Simons, consulente responsabile dell'AI affidabile di IBM. "Due o tre anni potrebbero sembrare lunghi perché alcune cose siano pronte. Ma se si tratta di un'organizzazione internazionale o multinazionale con molti sistemi di AI in tutto il mondo, non è un tempo così lungo."
Quindi, da dove cominciare? Il primo passo, afferma Simons, è stabilire quali regole si applicheranno alla tua attività.
"L'AI Act definisce regole e definizioni diverse per i distributori, i fornitori e gli importatori. A seconda del ruolo che si ricopre in azienda, sarà necessario soddisfare requisiti diversi", spiega Simons. "Acquisti modelli e ne fai una specie di rebranding senza modificare il modello stesso? O stai effettivamente perfezionando il modello di un bel po'? Questo è davvero il primo passo."
Il secondo passo sarebbe determinare quali sistemi di AI vengono utilizzati all'interno della tua organizzazione e quali sono i livelli di rischio associati a ciascuno di essi.
"La cosa importante è sapere innanzitutto su cosa ci si vuole concentrare", afferma Simons. "Molte aziende non sanno nemmeno che tipo di sistemi e modelli di AI hanno in produzione o in fase di sviluppo."
Questa valutazione aiuterà le aziende a stabilire le proprie priorità, valutando prima i sistemi vietati e poi quelli ad alto rischio.
"Questo aiuterà a determinare quali processi è necessario mettere in atto quando vengono lanciati nuovi sistemi di AI e ad assicurarsi che siano già conformi all'AI Act in modo proattivo, e non a posteriori."
Simons ritiene che le normative delineino la necessità per le aziende di essere strategiche con l'AI e per i vertici aziendali di essere fortemente coinvolti in questa conversazione.
"Serve competenza tecnica, forse anche l'esperienza di un Chief Privacy Officer che ha implementato il GDPR. "È necessario che queste conoscenze siano presenti, ma anche la responsabilità e la direzione dovrebbero essere definite a livello dirigenziale", afferma Simons.
L'ambizione dell'Unione Europea è stabilire uno standard per lo sviluppo dell'AI e agire come modello di esempio per il resto del mondo. L'UE ha già emanato una legge completa sulla privacy dei dati e sulla sicurezza nel 2018 con il GDPR.
L'AI Act è "il primo regolamento al mondo a tracciare un percorso chiaro verso uno sviluppo dell'AI sicuro e incentrato sull'uomo", ha dichiarato Dragoș Tudorache, membro del Parlamento e negoziatore principale per l'AI Act, durante una conferenza stampa.
In tutto il mondo, si stanno adottando molte normative riguardo all'utilizzo dell'AI.
"La coerenza è importante, perché sarebbe complicato [per le aziende] sviluppare sistemi diversi con vincoli divergenti", ritiene Massot.
Hans-Petter Dalen, leader aziendale dell'area EMEA di IBM per watsonx e l'AI incorporabile, osserva che un cambiamento interessante sarà la necessità per le organizzazioni e le aziende che operano nell'UE di educare i loro utenti o dipendenti sull'AI.
"Curiosamente, nell'EU AI Act c'è un articolo sull'alfabetizzazione AI. Quindi, ogni azienda o organizzazione nel mercato unico dell'UE che utilizza l'AI avrà l'obbligo di educare i propri utenti e dipendenti a un certo livello. Non sappiamo ancora quale sia il livello, ma è molto positivo aumentare il livello base di cosa sia l'AI," spiega Dalen.
"Un esempio in questo ambito sono i sistemi HR che già oggi sono dotati della capacità di esaminare CV e suggerire candidati. Si tratta di un caso d'uso ad alto rischio e prevede sette requisiti essenziali da rispettare. "In qualità di acquirente di quel software, sei sufficientemente preparato sull'AI per comprendere le domande che devi porre sugli algoritmi?" chiede Dalen.
Ci sono ancora molte incognite sugli standard tecnici che saranno richiesti dall'AI Act.
"Ci sono sette requisiti essenziali per conformarsi ai casi d'uso ad alto rischio, formulati in modo piuttosto vago nella legge stessa. E questi sette requisiti hanno portato a dieci richieste di standard tecnici che due delle organizzazioni decisionali europee stanno ora sviluppando", spiega Dalen. "Gli standard tecnici ci daranno chiarezza su quali siano i requisiti effettivi del regolamento e ci aspettiamo chiaramente che l'implementazione degli standard tecnici sia il modo più veloce ed economico per ottenere la conformità."