AI Act: l’intervista al co-relatore Brando Benifei. Guida per il CIO a una compliance sostenibile

L’AI Act compie i suoi passi formali finali: il consiglio dell’UE lo ha approvato il 21 maggio e la sua entrata in vigore è prevista a venti giorni di distanza dalla pubblicazione in Gazzetta Ufficiale, con la sua applicazione stabilita 24 mesi dopo l’entrata in vigore, salvo alcune eccezioni: i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore; i codici di best practice (nove mesi dopo); le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi) e gli obblighi per i sistemi ad alto rischio (36 mesi). Per i CIO è, dunque, il momento di agire per l’adeguamento, tenendo conto di ogni aspetto rilevante, che abbiamo raccolto e approfondito con il co-relatore della Commissione per il Mercato Interno del Parlamento europeo, l’Onorevole Brando Benifei.

Il primo punto che l’eurodeputato Benifei ha sottolineato è la differenza dell’AI Act rispetto al GDPR: le due leggi sono state molte volte accostate, ma le differenze sono sostanziali, perché implicano prassi diverse da parte delle aziende in merito alla compliance.

L’AI Act è anche una norma di “prodotto”

“L’AI Act viene spesso paragonato al GDPR, mentre va chiarito che, nonostante le molte similitudini, la sua struttura (e base giuridica) è molto diversa, essendo un Regolamento di armonizzazione tecnica, che tratta i sistemi di IA come prodotti”, afferma Benifei. “Questo implica che, per poterlo rispettare, le aziende (e la Pubblica Amministrazione, qualora sviluppi questi sistemi in-house) devono sì avviare processi di governance interna (come il sistema di gestione della qualità previsto dall’Articolo 17) similmente al GDPR, ma devono anche accertarsi che ogni sistema ad alto rischio che immettono sul mercato risponda – individualmente – a tutti i requisiti previsti, esattamente come avviene per altri prodotti armonizzati (quelli a marchio “CE”), come i giocattoli, i dispositivi medici, i prodotti connessi, eccetera”.

Benifei sottolinea come questo aspetto non sia stato adeguatamente portato alla luce nei commenti, mentre è fondamentale, anche per i futuri addetti alla compliance.

“Naturalmente, rispetto a un normale prodotto armonizzato, che di solito deve assicurare la protezione di salute e sicurezza, si aggiunge con l’IA una dimensione ulteriore e cruciale: quella dei diritti fondamentali (che includono anche la democrazia, lo Stato di diritto e la protezione dell’ambiente, come enfatizzato dall’articolo 1 del Regolamento)”, aggiunge l’eurodeputato italiano. “L’aggiunta di questa dimensione, rafforzata nel testo finale e grazie all’apporto del Parlamento europeo, rende l’AI Act un ibrido tra puro regolamento di armonizzazione e legislazione volta a proteggere i diritti fondamentali, in questo secondo aspetto simile al GDPR”.

Non è prevista – almeno per ora – un’evoluzione del provvedimento per estendere il campo d’azione anche alle categorie di rischio minore, almeno finché il rischio sia, appunto, di basso livello: “L’approccio basato sul rischio è una caratteristica fondamentale dell’AI Act. Ciò non vuol dire che i sistemi a basso rischio operino senza regole, ma quelle esistenti (Sicurezza dei Prodotti, GDPR, eccetera) sono considerate sufficienti a regolarli”, chiarisce Benifei. “Va aggiunto che l’AI Act introduce la possibilità, per i fornitori di questi sistemi, di aderire volontariamente a codici di condotta volti a rispettare alcuni o tutti i requisiti previsti dal Regolamento. Se in futuro determinate applicazioni di IA ora non regolamentate dovessero presentare problemi, la Commissione potrà proporre di aggiungerle ai casi ad alto rischio, tramite atti delegati, quindi con il coinvolgimento del Parlamento”.  

I CIO possono continuare a guidare l’innovazione IA

Un aspetto che, sicuramente, interessa le aziende è la possibilità di continuare a sperimentare e innovare nell’intelligenza artificiale senza che la legge ponga troppi limiti. L’AI Act è stato, da alcune parti, criticato per aver eretto dei paletti allo sviluppo di applicazioni e prodotti, che potrebbero rendere le imprese europee meno competitive, ma Benifei è convinto che la legge mantenga un equilibrio tra la protezione dei diritti e la spinta all’innovazione.

“L’AI Act ha il compito di assicurare che lo sviluppo dell’IA in Europa sia in linea con i nostri valori fondamentali, per aumentare la fiducia dei cittadini in queste tecnologie, ridurre i rischi e aumentarne così la diffusione e l’uso. Tuttavia, l’innovazione non è affatto trascurata nel testo, anzi: vi sono ampie disposizioni per esentare la ricerca, il software open source a determinate condizioni, misure specifiche per aiutare le PMI (canali dedicati di informazione, tariffe ridotte, documentazione semplificata, eccetera) e, soprattutto, la creazione di spazi di sperimentazione normativa (le cosiddette sandbox) e la possibilità di testare le applicazioni in condizioni reali”, indica Benifei. “Le sandbox saranno istituite in ogni Stato membro e consentiranno di testare progetti di intelligenza artificiale in un ambiente controllato sotto la guida delle autorità, per aiutare le aziende verso la compliance, per stimolare l’innovazione e per fornire alle autorità stesse maggiori elementi circa il funzionamento o meno dei requisiti previsti dalla legge. Le sandbox esistono in altri settori innovativi, come il fintech, ma è la prima volta che vengono istituite in un testo legislativo, per segnalare quanto sia importante stimolare l’innovazione in questo settore strategico. Quindi io credo che vi sia un buon equilibrio tra diritti e innovazione”.

In riferimento al rischio che l’Europa possa subire uno svantaggio competitivo sull’IA rispetto a Usa e Cina a causa di una maggiore regolamentazione, Benifei risponde: “È un argomento che sentiamo spesso, ma su cui non sono necessariamente d’accordo. Usa e Cina hanno sistemi e culture giuridiche molto diverse dalla nostra. Gli Stati Uniti seguono il sistema anglosassone di common law, per cui per tradizione codificano meno gli obblighi per legge e lasciano ai tribunali dirimere gran parte delle controversie. In Europa abbiamo bisogno di regole chiare, lasciando ai tribunali soltanto i casi problematici. Questo non vuol dire che teniamo meno all’innovazione. Ma il nodo dello svantaggio competitivo europeo sull’intelligenza artificiale non è dovuto alla regolamentazione (del resto non si capisce perché: non è ancora in vigore il Regolamento, eppure lo svantaggio esiste già, e non da poco tempo). Semmai, l’origine del problema è da riscontrare in un’altra radice, dovuta sia all’ammontare di investimenti, soprattutto pubblici, e alla scarsità di talenti e di capitali nel settore, sia alle caratteristiche dell’ecosistema innovativo europeo, tradizionalmente più distribuito e granulare di quello americano, quindi con molte PMI presenti su tutto il continente, invece di big tech concentrate in poche aree come la Silicon Valley”.

Gli impatti sul lavoro: servirà una legge ad hoc

Relativamente agli oneri per le nostre imprese, l’Onorevole assicura: “Le aziende che saranno toccate dall’AI Act in termini di oneri aggiuntivi saranno relativamente poche, in gran parte fornitrici di sistemi considerati ad alto rischio o, in misura minore, aziende che utilizzino l’intelligenza artificiale sui lavoratori, oppure banche e assicurazioni, che dovranno sottostare a determinati obblighi, anche in termini di valutazione di impatto sui diritti fondamentali nell’uso di questi strumenti per prendere decisioni verso i propri clienti. Quello che mi auguro è che la legge cementi nelle pratiche aziendali, anche in settori non ad alto rischio, pratiche etiche e un uso responsabile dell’IA, che a sua volta renderà la sua diffusione più facile e meno preoccupante per molti cittadini”.

Uno dei timori più diffusi è quello relativo ai posti di lavoro. I sistemi di intelligenza artificiale sostituiranno l’essere umano in un numero tale di mansioni da spopolare gli uffici?

“L’IA può avere un impatto sia positivo che negativo sul lavoro”, risponde Benifei. “Certamente può facilitare di molto la vita di un lavoratore, rendendo molto più rapide operazioni ripetitive e sostituendo anche l’uomo in lavori faticosi. L’intelligenza artificiale generativa, poi, mostra incredibili possibilità in termini di accelerazione del lavoro creativo e intellettuale, purché utilizzata a supporto e non in sostituzione dell’apporto umano. Non si può, tuttavia, negare che l’IA presenti anche svariati rischi, dal rendere apparentemente superflui determinati lavori (e, anche qui, la Gen AI ha mostrato come possano essere sostituibili perfino lavori intellettuali o creativi, che fino a pochi anni fa gli studiosi ritenevano meno impattati dal fenomeno) al permettere un monitoraggio continuo e invasivo del lavoratore fino a disumanizzarlo del tutto (si pensi alla lettura delle emozioni o alle braccia automatiche indossate dai lavoratori Amazon per indirizzarli più rapidamente verso gli scaffali giusti). Nell’AI Act abbiamo in parte affrontato questi rischi di abuso, rendendo obbligatorio informare il lavoratore (e i sindacati) che si sta utilizzando un’intelligenza artificiale su di lui, vietando il riconoscimento emotivo sul lavoro, eccetera, ma abbiamo lasciato la porta aperta ad altri strumenti specifici. La legislazione sul lavoro è infatti competenza condivisa con gli Stati membri e non può essere affrontata in un Regolamento orizzontale come l’AI Act, ma necessita di una Direttiva specifica, che, come Parlamento e come Socialisti e Democratici, chiediamo da tempo e ci aspettiamo per la prossima legislatura”.

AI Act e Gen AI, che cosa deve fare ora il CIO

Le imprese, al momento, sono nella fase di preparazione all’AI Act, e i CIO, evidenzia Benifei, avranno sicuramente un ruolo chiave nel monitorare e coordinare la compliance. La prima cosa che possono fare è “individuare se i sistemi di intelligenza artificiale sviluppati, distribuiti o utilizzati rientrino no tra le categorie ad alto rischio” e capire “il ruolo specifico che la loro azienda ricopre nella catena del valore, in particolare se è fornitore, utilizzatore, importatore o distributore di un’IA ad alto rischio”, afferma l’eurodeputato. “Queste due operazioni sembrano banali, ma costituiscono le due porte di entrata nell’ambito del Regolamento e definiscono i possibili requisiti e obblighi ai quali adempiere nel singolo caso. Attualmente notiamo ancora molti malintesi tra operatori del settore: spesso utilizzatori di sistemi ad alto rischio pensano di dover adempiere a tutti gli obblighi del fornitore mentre ne hanno molti di meno e più relativi al contesto specifico d’uso, oppure aziende sviluppatrici di IA ritengono di rientrare tra i casi ad alto rischio anche quando, in realtà, non lo sono”.

Questi errori, evidenzia Benifei, sono molto comuni e ad essi si aggiunge quello citato prima, ossia “il rischio per i fornitori di immaginare la compliance come un processo interno all’azienda nel suo complesso, mentre si tratta anche di accertarsi che i requisiti siano rispettati (compresa la documentazione tecnica, l’affissione del marchio CE, eccetera) a livello del singolo sistema di intelligenza artificiale immesso sul mercato”. 

I CIO stanno seguendo con molta attenzione anche i veloci progressi dell’IA generativa: i recenti annunci di OpenAI (ChatGPT 4o), di Google (Gemini Advanced e Gemini 1.5 Pro) e la forte spinta delle startup di settore (tra cui Anthropic) mettono i CIO di fronte al compito complesso di studiare le novità e capire se e come portarle in modo proficuo nella loro azienda.

“Di sicuro gli sviluppi della GenAI sono attualmente tra i più dirompenti e interessanti nel campo dell’IA, aprendo a possibilità sempre più incredibili (dalla multimodalità estrema alla capacità di intervenire in tempo reale sui suoni)”, è il commento di Benifei. “Non a caso l’AI Act introduce requisiti e obblighi per i modelli a rischio sistemico pensando anche a questi grandi player, per evitare che eventuali problemi si propaghino lungo l’intera catena del valore, mettendo quindi a rischio i piccoli operatori che decidano di utilizzarli per sviluppare sistemi di intelligenza artificiale da immettere a loro nome sul mercato”.

Continuano a porsi, tuttavia, altre problematiche di sostenibilità etica e ambientale, prosegue Benifei.

“Le enormi quantità di capitali, ma anche di risorse naturali che l’addestramento di questi grandi modelli richiedono (dall’energia all’acqua per raffreddare i data center), unite alla forte competizione nell’immettere sul mercato modelli sempre più performanti e strabilianti, di sicuro creano problemi di vario tipo, dalla concorrenza all’ambiente, all’amplificazione di discriminazioni, errori e hallucination che vediamo sempre più emergere. La competizione per raggiungere a tutti i costi l’AGI, l’intelligenza artificiale generale, in grado di sorpassare il cervello umano, mi sembra molto rischiosa, perché non solo non vi sono evidenze che un tale sorpasso possa realmente avvenire – quindi appare più che altro una trovata commerciale -, ma, soprattutto, non può essere demandato alle aziende stesse di decidere quando sia stata raggiunta. Il potere che i big del settore ricercano con questa corsa all’AGI è molto pericoloso e va controllato, prima che queste perdano il controllo di quanto hanno creato”. 

Lo scenario globale: l’AI Act come legge strategica

L’AI Act europeo è, nel suo genere, una legge apripista sul panorama globale. Ma anche Stati Uniti e Cina hanno le loro norme sull’intelligenza artificiale e sul suo sviluppo e impiego “responsabile”. Ogni Paese procede in base ai propri valori e al proprio concetto di sostenibilità ed è una naturale conseguenza, secondo Benifei, che ognuno abbia legiferato in modo autonomo.

“Gli approcci regolatori dei tre blocchi riflettono le rispettive caratteristiche e priorità politiche ed economiche”, dichiara l’Onorevole. “Gli Stati Uniti hanno sicuramente optato per un approccio più leggero, settoriale e meno centralizzato, con l’Executive Order, l’autoregolamentazione affidata alle aziende, il quadro dei vari principi etici come quelli introdotti dal NIST (istituto per la standardizzazione) e, va aggiunto, l’attuale fiorire di leggi introdotte da singoli Stati. La Cina ha introdotto negli ultimi anni varie leggi per uno sviluppo sicuro dell’IA, da misure sulla concorrenza e sui sistemi di raccomandazione che possono essere paragonate al DMA e DSA europei, a misure sulla Gen AI e i contenuti sintetici. Queste leggi rispondono certamente a una volontà da parte di Pechino di essere in prima linea nella regolamentazione dell’intelligenza artificiale e a considerazioni geopolitiche, di mantenimento dei valori cinesi e del controllo statale sulla popolazione, ma introducono comunque salvaguardie e buone pratiche che, pur perseguendo l’interesse nazionale, presentano alcune similitudini con gli approcci americano ed europeo. L’IA è una risorsa troppo strategica per pensare di regolarla a livello internazionale senza prima aver chiari gli approcci nazionali o continentali. Ciononostante, sono in atto molteplici iniziative multilaterali per fissare principi comuni, da quelli dell’OCSE al processo di Hiroshima del G7, alla Convenzione del Consiglio d’Europa, aperta a firmatari esterni, al lavoro attualmente in corso presso le Nazioni Unite”.

A ciò si unisce il processo di standardizzazione, “che sta procedendo attualmente a livello internazionale nell’ambito dell’ISO e in cui, per esempio, la Cina ha fin da subito mostrato un forte attivismo, per poterne influenzare i processi”, prosegue Benifei. “Sicuramente un livello di assunzione di responsabilità internazionale e la fissazione di principi comuni è fondamentale nell’IA, anche per favorirne lo sviluppo e la sicurezza e aprire possibilità sui mercati internazionali. Tuttavia, mantenere un proprio approccio è attualmente considerato una priorità strategica dalle varie potenze, sia per mantenere la sovranità tecnologica, sia per favorire la competitività delle rispettive aziende”.