L’AI Act dell’UE è entrato nel vivo: dal 2 febbraio sono scattati gli obblighi di eliminazione delle pratiche vietate (art. 5) e di formazione e aggiornamento delle competenze interne sull’intelligenza artificiale, la cosiddetta AI Literacy o alfabetizzazione in materia di AI (art. 4). Si tratta delle prime disposizioni che diventano attuative: gradualmente ne entreranno in attuazione altre, nel corso di un periodo di transizione che terminerà ad agosto del 2026. Questi due anni di tempo per la compliance sono quanto mai necessari a detta di CIO, esperti e dirigenti delle aree Legal e Politiche Pubbliche delle imprese, perché la legge europea sull’intelligenza artificiale (qui il testo completo e la guida dell’UE sulla conformità [in inglese]) è molto estesa e complessa e richiede un grande sforzo in termini di conoscenza e risorse impiegate per essere compresa e integrata nelle prassi quotidiane.
“L’entrata progressiva in efficacia dell’AI Act”, evidenzia l’Avvocato Giangiacomo Olivi, Partner, Europe Co-Head of Intellectual Property, Data and Technology di Dentons Europe, “è stata prevista per dare tempo alle aziende di dotarsi di una governance dell’AI. Ma, prima di arrivare a disegnare una strategia, è fondamentale definire l’uso che si fa dell’AI internamente realizzando una mappatura dell’AI presente – di cui a volte non c’è piena consapevolezza- e degli use case. Anzi, la strategia migliore parte proprio da qui: definire gli usi strategici”.
AI Act, attivi gli obblighi su sistemi vietati e formazione
Le pratiche vietate includono: le tecniche di manipolazione subliminale o ingannevole, lo sfruttamento delle vulnerabilità (ovvero l’uso dell’AI per sfruttare vulnerabilità legate a età, disabilità o condizione socio-economica), i sistemi di social scoring (che valutano le persone sulla base di comportamenti sociali o caratteristiche personali), l’identificazione biometrica in tempo reale, le valutazioni del rischio che una persona commetta un reato, la categorizzazione biometrica per dedurre caratteristiche sensibili come orientamento sessuale, convinzioni religiose o opinioni politiche, il riconoscimento delle emozioni in ambito lavorativo, la creazione o ampliamento di banche dati di riconoscimento facciale mediante scraping non mirato.
Per quanto riguarda l’obbligo di garantire un adeguato livello di alfabetizzazione all’AI per il personale, questo ha a che fare con tutti coloro che utilizzano qualunque sistema di intelligenza artificiale, non solo quelli proibiti o ad alto rischio. E riguarda in ugual modo fornitori e utilizzatori. “Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf”, recita l’Art. 4. Ovviamente i CIO si chiedono che cosa si intenda esattamente per un “assicurare il più possibile un livello sufficiente di alfabetizzazione AI”.
Consapevole di queste difficoltà nel realizzare la compliance, la Commissione Europea ha dato vita a un AI Office, centro di competenza sull’intelligenza artificiale, e ha avviato l’AI Pact, ovvero un tavolo di lavoro a cui tutte le imprese possono aderire, su base volontaria, per collaborare con l’AI Office nel chiarire i tanti aspetti del regolamento, suggerire semplificazioni e proporre best practice.
Che cosa fare ora per la compliance
Nella pratica, ecco i passi essenziali che le imprese devono compiere oggi per la conformità all’AI Act: formare il personale sull’uso dell’AI e i suoi rischi, esaminare l’uso interno dell’AI per verificare l’eventuale impiego di sistemi vietati, mappare tutti i casi d’uso per migliorare o adeguare la governance di AI e dati e verificare i fornitori.
“Anche se un’azienda potrebbe non usare in modo massiccio l’AI, i suoi fornitori lo fanno, in particolare le big tech Usa, e questo deve portare a rivedere i contratti con i fornitori”, afferma l’Avv. Olivi. “Infatti i servizi che si fondano su sistemi AI richiedono un diverso bilanciamento di alcune clausole, per esempio sugli aspetti assicurativi o sugli obblighi di trasparenza, aspetti che finora nei contratti di servizi tradizionali erano disciplinati i modo meno puntuale”.
Un altro tema è l’enfasi sempre più mirata sulla sicurezza, perché, anche se l’intelligenza artificiale è un aiuto nella difesa contro le cyber-minacce, a sua volta, è anche un’arma per i cybercriminali e può portare a nuovi rischi sia di attacco che di compliance.
“È molto importante svolgere un data privacy impact assessment e avere un approccio sulla accountability o responsabilizzazione, ovvero sapere, se si usa un sistema AI, quale ragionamento è stato fatto dal sistema e chi ne è responsabile”, afferma l’Avv. Olivi. “Nei contratti occorre definire tutti questi aspetti”.
Il ruolo del CIO è più complesso. Ma cruciale
In questo scenario, il ruolo del CIO è sempre più complesso: data governance, cybersicurezza ed AI rendono il CIO sempre più centrale e responsabilizzato, primo punto di riferimento e interlocutore per i vertici aziendali.
Una survey di Dentons ha rilevato che le aziende in Italia tendono ad affidare i compiti di guida della compliance relativa all’AI Act al DPO, estendendone il ruolo rispetto alla sola privacy e ampliandone l’interazione con il CIO e la funzione IT. Ma, in alternativa, l’AI viene fatta ricadere nei compiti del CIO.
“I CIO sono pronti ad occuparsi anche delle questioni AI e stanno spingendo verso un maggior coordinamento con le altre funzioni e un maggior coinvolgimento a livello di board, portando a una governance diffusa e trasversale”, evidenzia l’Avv. Olivi. “Se all’inizio le imprese hanno pensato a istituire un AI Board – sulla falsariga del Data Protection Board per la privacy e il GDPR -, adesso si tende a creare funzioni di riferimento diffuse, che fanno da raccordo sui temi AI nei vari dipartimenti, con vari check point”.
I CIO italiani sono consapevoli del loro ruolo e, in parte, si trovano pronti alle sfide dell’AI Act. A pesare è più l’insieme di norme, che cominciano ad essere numerose, come evidenzia Marco Foracchia, CIO di AUSL Reggio Emilia.
“L’AI Act fornisce una serie di prescrizioni in qualche modo simili al Regolamento europeo sui dispositivi medici (MDR) e, quindi, ci trova preparati. Chi non ha familiarità con questa normativa può vedere l’AI Act come un’imposizione, ma per noi, che siamo un’azienda pubblica del settore sanitario, è naturale dover monitorare la tecnologia nei suoi effetti, nella sua efficacia, nei rischi, e così via”, commenta Foracchia. “Per noi l’AI Act si affianca a procedure già in atto o prescrive delle nuove prassi che comunque avevamo in cantiere, come la validazione delle tecnologie AI che vogliamo introdurre. Certo, pesa l’accumulo di tante norme, dal GDPR alla NIS2, dal Data Act all’AI Act, anche se comprendiamo la ragione dietro questo impianto legislativo”.
Il risvolto positivo, secondo l’Avv. Olivi, è che il CIO diventa sempre più una funzione di creazione del valore.
“Se sa adeguarsi bene alle norme, può essere un motore per il consolidamento di un vantaggio competitivo, o addirittura la creazione di nuove linee di business”, sottolinea l’Avvocato. “Il CIO non è solo il baluardo a difesa dei sistemi aziendali, ma il motore di iniziative che aumentano la produttività, una guida dei processi di innovazione che aumentano la competitività grazie alla capacità di essere conformi alle regole prima e meglio dei concorrenti, favorendo la creazione di un contesto di fiducia nell’AI. Il CIO traduce e rende concreti i desiderata dell’azienda e deve avere consapevolezza delle norme di riferimento nel mondo della tecnologia e del digitale. Noi stessi come studio legale oggi interagiamo molto più con i CIO rispetto al passato, in modo anche costruttivo di creazione del valore e sviluppo di strategie di lungo periodo”.
“Come azienda al momento non usiamo ancora l’intelligenza artificiale, ma stiamo dialogando con diversi partner per sondarne un’adozione futura e stiamo già cercando di assicurarci di essere compliant con l’AI Act”, afferma Massimo Anselmo, Direttore del Sistema Informativo di Karol Strutture Sanitarie. “Per questo mi sto interfacciando con la funzione Legal”.
La prossima sfida: Agentic AI e privacy
Secondo Olivi, l’approccio di governance trasversale dell’intelligenza artificiale sta portando verso un’ulteriore evoluzione legata all’avvento dell’Agentic AI. Infatti, i modelli di governance finora adottati ruotano intorno alla centralità umana, in linea con la visione dell’AI Act che parla di supervisione umana soprattutto sulle decisioni dei sistemi. Ora, con lo sviluppo e la diffusione degli Agenti, si tende progressivamente a intervenire direttamente sul software e tramite software, con conseguente necessità di prevedere una governance per i sistemi AI autonomi.
“Con l’AI Agenziale probabilmente sarà necessario un nuovo intervento del regolatore, integrativo dell’AI Act”, afferma l’Avv. Olivi. “Tuttavia, restano alcune questioni aperte sul rispetto del GDPR e della data privacy di questi sistemi”.
Anche Anselmo evidenzia questa problematica.
“Va bene fare formazione del personale all’uso dell’AI, ma io mi chiedo dove risieda la responsabilità di un prodotto di AI Agenziale nel caso di errore umano”, afferma Anselmo.” Per esempio, se dessi in uso al personale sanitario un AI Agent e il medico per errore caricasse dati sanitari privati sull’agente, vorrei sapere se questi dati sarebbero protetti ed in che modo: ad oggi non ho trovato garanzie sufficienti a riguardo tra i fornitori”.
I CIO dei settori regolati hanno una criticità più forte sulla privacy dei dati e si chiedono come garantire che un dispositivo che incorpora l’AI e la Business Intelligence (come un apparecchio medicale) sia conforme con l’AI Act. Attualmente non esiste un meccanismo chiaro di consenso o rifiuto del consenso come con il GDPR, che obbliga a chiedere all’utente se accetta di condividere i suoi dati, e chissà che il regolatore europeo non decida di intervenire nuovamente con dei correttivi al regolamento.
Read More from This Article: AI Act, sono in vigore i primi obblighi. Ecco perché il CIO è cruciale
Source: News