AI Pact: come semplificare la compliance all’AI Act per tutte le imprese

L’AI Act è entrato in vigore il 1 agosto dell’anno appena passato. Alcune disposizioni sono già applicabili, ma la maggior parte lo diverrà alla fine di un periodo di transizione che terminerà ad agosto del 2026. Due anni di tempo per la compliance sono quanto mai necessari, evidenziano i CIO, gli esperti e i dirigenti delle aree Legal e Politiche Pubbliche delle imprese, concordi nell’affermare che la legge europea sull’intelligenza artificiale è molto estesa e complessa e richiede un grande sforzo in termini di conoscenza e risorse impiegate per essere compresa e integrata nelle prassi quotidiane.

La Commissione Europea non è ignara di queste problematiche: ha dato vita a un AI Office, centro di competenza sull’intelligenza artificiale, e ha avviato l’AI Pact, un tavolo di lavoro a cui tutte le imprese possono aderire, su base volontaria, per collaborare con l’AI Office nel chiarire i tanti aspetti del regolamento, suggerire semplificazioni e proporre best practice che facciano da modello per la compliance, soprattutto per le piccole e medie imprese.

“L’auspicio è avere delle linee guida condivise e regole armonizzate: poche norme, chiare e lungimiranti”, afferma Marco Valentini, Group Public Affairs Director di Engineering, azienda italiana che aderisce all’AI Pact. “Speriamo di lavorare a stretto contatto con l’AI Office per raggiungere questi obiettivi. L’UE ha portato a compimento un’iniziativa molto importante approvando una delle prime norme al mondo in materia di AI, in funzione antropocentrica, tutelando i diritti fondamentali e garantendo l’innovazione”, prosegue Valentini. “Per questo motivo, l’AI Act è un regolamento molto articolato e un’iniziativa come l’AI Pact dovrebbe aiutare le imprese a chiarirne l’applicazione concreta, perché porta ad anticipare la conformità su alcune disposizioni fondamentali”.

“Ci sono tante leggi sul digitale che la precedente Commissione Europea ha approvato: la nuova Commissione è consapevole della vastità dell’impianto e ha tutta l’intenzione di aiutare le aziende nella compliance”, afferma Matteo Quattrocchi, Head of EU AI Policy di Cisco, azienda che pure è entrata nell’AI Pact. “L’AI Act è complesso in quanto è la prima legge trasversale sull’AI nel mondo e le aziende dovranno per la prima volta dedicare un focus specifico sull’AI, ma con intersezioni con il Data Act, il GDPR e altre leggi ancora. Non è semplice dominare questo impianto e l’AI Pact può aiutare anche grazie agli indirizzi forniti dall’AI Office”.

Secondo Alessandro Proietti, Customer Experience and Innovation Director di The Adecco Group Italia (anche il gruppo Adecco è nell’AI Pact), l’AI Act è una legge “complessa, ma necessaria: l’UE è giustamente intervenuta per regolare l’AI non in modo da bloccarla ma per definire il perimetro entro il quale si può usare”. 

Molte aziende si avvicinano all’AI cercando subito di capire come applicarla ai loro processi, ma bisogna prima conoscere il quadro normativo e sapere che cosa è possibile fare e che cosa no, spiega Proietti. “Informare e formare” e semplificare sono le parole chiave e l’AI Pact serve proprio a questo.  

AI Pact: l’iniziativa europea per semplificare la compliance all’AI Act

L’AI Pact, spiega la Commissione Europea [in inglese], nasce per aiutare gli stakeholder a prepararsi per l’implementazione dell’AI Act. Il Patto è strutturato intorno a due pillar. Il primo consiste nello scambio di informazioni all’interno della rete dell’AI Pact. Questo pilastro è aperto a tutti i portatori di interesse (aziende, Ong, università, funzionari pubblici, eccetera); i partecipanti contribuiscono alla creazione di una comunità collaborativa che scambia conoscenze ed esperienze, per esempio, tramite webinar organizzati dall’AI Office in cui si forniscono ai partecipanti chiarimenti sull’AI Act, sulle loro responsabilità e su come prepararsi alla conformità. A sua volta, l’AI Office raccoglie informazioni sulle best practice e sulle difficoltà incontrate dai partecipanti. In questo contesto, chi partecipa all’iniziativa può condividere le proprie prassi e policy interne che ritiene possano servire agli altri nel loro percorso verso la compliance. Tali best practice potrebbero essere anche pubblicate su una piattaforma online dell’AI Office.

Il secondo pillar ruota intorno agli impegni di implementazione dell’AI Act presi dalle singole aziende. Lo scopo è fornire un quadro che favorisca l’attuazione in anticipo di alcune delle misure del provvedimento e incoraggiare le organizzazioni a rendere pubblici prassi e processi che stanno attuando per arrivare alla conformità prima ancora della scadenza fissata per legge.In particolare, le aziende che usano i sistemi di intelligenza artificiale possono condividere i loro impegni volontari alla trasparenza e al controllo dei rischi. Tali impegni prendono la forma di “pledges” (dichiarazione degli obiettivi e delle tempistiche) pubblicati sul sito dell’AI Office.  

Un supporto alla compliance

Gli impegni volontari dell’AI Pact si basano sulla richiesta della Commissione UE di ottemperare ad almeno tre compiti fondamentali. Il primo è adottare una strategia di governance dell’AI che ne favorisca l’uso in azienda e prepari il terreno alla compliance con l’AI Act; il secondo è individuare e mappare i sistemi AI che potrebbero ricadere nella categoria “ad alto rischio” ai sensi della legge; il terzo è promuovere la conoscenza della tecnologia AI e dei requisiti dell’AI Act tra il personale, assicurando uno sviluppo etico e responsabile dell’intelligenza artificiale. Almeno metà degli attuali firmatari dell’AI Pact (che sono più di 130) hanno preso impegni ulteriori, come mitigazione del rischio, supervisione umana e trasparenza nei contenuti dell’AI generativa.

I tre requisiti per entrare nell’AI Pact – che coprono aspetti tecnici, etici e legali – sono, di per sé, già la base della compliance all’AI Act per tutte le aziende. In particolare, è essenziale mappare i sistemi di intelligenza artificiale che si usano per capire se ricadono in quelli inaccettabili o rischiosi in base all’AI Act e fare formazione per il personale sull’uso etico e sicuro dell’AI, un requisito che entrer àin vigore già a febbraio 2025. L’AI Readiness Index Cisco, in cui sono stati intervistati i business leader, CIO inclusi, in UE, rivela che solo il 9% delle aziende si sente pronta sui talenti AI (contro il 24% nel mondo): la formazione è un elemento cruciale. 

“L’AI Pact è un supporto anche per noi, per aiutarci nella compliance, nonché un’opportunità per mostrare all’esterno come ci muoviamo sull’AI responsabile”, afferma Quattrocchi di Cisco. “Inoltre, l’AI Pact è una rete tra aziende che permette di scambiare idee e anche questo è utile. Già abbiamo tenuto dei workshop per parlare delle attività in corso e ci siamo incontrati con i rappresentanti dell’AI Office per chiarire che cosa si aspetta l’UE dall’applicazione dell’AI Act”.  

L’esperienza delle aziende firmatarie

Il Gruppo Adecco ha aderito all’AI Pact ormai più di un anno fa, con un’iniziativa a livello globale voluta dalla casa madre di Zurigo.

“Noi abbiamo aderito subito al Pact perché Adecco è uno dei primi utilizzatori: il settore HR e staffing è molto impattato dall’AI”, dichiara Proietti. “Abbiamo creato un Responsible AI Team per promuovere, appunto, la cultura dell’AI responsabile nell’azienda con azioni formative e informative, per far capire che cosa fosse l’AI Act e rendere le persone consapevoli di che cosa significhi usare l’AI in modo responsabile”. 

Questa iniziativa ha avuto in impatto non solo sui team che lavorano sull’AI che viene implementata nei prodotti Adecco, ma anche su tutte le persone che usano quotidianamente applicazioni AI nel loro lavoro. Adecco ha mappato tutti i casi d’uso interni sulla base del livello di rischio, proprio come delineato dall’AI Act, per assicurarsi di non portare avanti attività con un rischio non accettabile.

“Non vogliamo impedire l’uso dell’AI, ma creare una governance globale che si rifletta sulle varie country, segnalando le applicazioni fornite dall’azienda e quelle che non lo sono”, afferma Proietti. “Su questa base si innesta la scelta di aderire all’AI Pact, che dà delle linee guida e aiuta a capire le regole della legge”. 

Superare le sfide della conformità

Secondo Quattrocchi, la parte più complessa dell’AI Act è la tempistica. La legge è in vigore da agosto e impone una serie di scadenze che si susseguiranno: da febbraio di quest’anno dovranno essere aboliti gli usi proibiti, da agosto saranno effettive le regole sui General Purpose LLM e, dall’agosto del 2026, quasi tutte le disposizioni saranno attuate. 

“Due anni per un sistema di compliance effettivo non sono tanti”, sottolinea Quattrocchi. “Per questo servono meccanismi come l’AI Pact che fa da regulatory sandbox: un banco di prova di come funziona la legge”.

La struttura dell’AI Act non è dettagliata sui settori industriali verticali, evidenzia il manager. Pertanto, la Commissione Europea, tramite l’AI Office, creerà dei documenti guida per dare ulteriore certezza, soprattutto per quel che riguarda i prodotti ad alto rischio. Una sfida dell’AI Act per le imprese è anche quella di avere un team interno per rapportarsi con le autorità di vigilanza orizzontale e verticale e l’AI Pact spera di creare un buon network tra le aziende e tra queste e l’AI Office dell’UE.

“Dovrà essere fatto entro la metà del 2026, ovvero in un arco di tempo ristretto, ma Cisco vede solo vantaggi a far parte dell’AI Pact”, sottolinea Quattrocchi. “Noi siamo a favore delle regole sull’intelligenza artificiale così come della semplificazione normativa, raccomandata anche dal Rapporto Draghi, e dell’efficace execution dell’AI Act e di eventuali nuovi strumenti normativi sull’AI”.

Anche per Valentini di Engineering è necessario governare l’AI e trovare un filo conduttore nella complessità dell’impianto regolatorio europeo sull’AI. Tante regole implicano un lungo processo per la conformità che assorbe risorse mentre l’evoluzione tecnologica e i bisogni di innovazione corrono veloci. Un altro punto potenzialmente critico è rappresentato dall’integrazione con eventuali future leggi nazionali in tema di AI, che dovranno essere coerenti con il Regolamento UE. Ma la portata positiva dell’intelligenza artificiale non è in discussione.

“Si tratta di una grande opportunità per l’innovazione”, afferma Valentini. “Va regolamentata in modo intelligente, con la persona al centro e tutte le tutele per scongiurare gli impatti sui diritti fondamentali delle persone, ma le opportunità sono enormi ed è importante che si possa continuare a innovare”.

Nuovi compiti per il CIO

La compliance con l’AI Act coinvolge sicuramente il CIO, che deve coordinarsi con i colleghi del Legal, delle Relazioni governative e dell’HR (per le attività di formazione), nonché con gli enti di sorveglianza.

“Il CIO deve capire dove sta il controllo post-market. La legge è sia orizzontale che verticale, obbliga a creare tante sinergie e tiene conto anche del fatto che l’intelligenza artificiale è complessa e in costante evoluzione”, sottolinea Quattrocchi. “Per esempio, gli LLM in azienda vengono modificati con l’addestramento e il fine-tuning e CIO dovrà assicurarsi di rimanere sempre compliant sia rispetto a quanto fornito dal vendor sia verso i suoi clienti o utenti. Il CIO è importante come tramite tra i vari dipartimenti aziendali nel momento in cui si devono comprare i prodotti AI”. 

Per Valentini è importante che, all’interno delle aziende, venga impostata una AI governance, prevedendo un team dedicato a AI e compliance che coinvolga la cybersecurity, il CIO e altri dipartimenti come quello legale.

“Noi stiamo procedendo in questo modo”, afferma il manager; “in più stiamo anche formando i nostri dipendenti per creare awareness su che cosa è l’AI Act e come impatta il loro lavoro. Credo che anche questo sia un compito essenziale per tutte le aziende”.

Oltre a organizzare i webinar, la Commissione Europea inviterà i partecipanti all’AI Pact a riferire sui loro progressi nel percorso verso la conformità all’AI Act a 12 mesi di distanza dalla pubblicazione degli impegni. Tuttavia molti dei firmatari sottolineano la necessità che la “macchina” dell’UE si muova velocemente snellendo i passaggi, perché questo darà concreta efficacia al Patto.

“L’AI Pact lavora organizzando degli incontri con i firmatari e l’AI Office: ci confronteremo con la Commissione sulle disposizioni e auspichiamo che venga semplificata la compliance. Per esempio, dato un certo fine o risultato prescritto dall’AI Act, il sistema con cui un’azienda potrà ottenerlo deve essere il più lineare e meno ‘burocratico’ possibile”, afferma Valentini. “Ora speriamo che la Commissione acceleri i tempi sui lavori dell’AI Pact. Sicuramente l’iniziativa sta attraendo molto interesse e nuovi aderenti”.

I firmatari sono convinti: se la Commissione Europea farà un buon lavoro con l’AI Pact si potranno creare delle best practice che faranno da esempio per le altre imprese e daranno a tutti delle linee guida per rendere meno complessa la compliance all’AI Act.