Il 2 febbraio è entrato in vigore l’AI Act, una data importante che mette le organizzazioni di fronte a una regolamentazione apposita per l’intelligenza artificiale. Un corpus che ha visto una lunga gestazione a livello europeo, e che oggi è diventato operativo, ponendo una serie di interrogativi alle aziende che si approcciano per la prima volta a una materia complessa come quella dell’intelligenza artificiale.
Per cercare di fare un po’ di chiarezza, ne abbiamo parlato con Licia Garotti, Avvocata e Partner responsabile del Dipartimento di Diritto delle Tecnologie e Proprietà Industriale, Studio Legale PedersoliGattai, ospite del nuovo appuntamento di AI Talks, il nostro format di interviste alla scoperta dell’intelligenza artificiale.
Dal 2 febbraio è entrato in vigore l’AI Act. Innanzitutto, di quale AI si parla e quali sono gli effetti principali sulle aziende?
L’AI Act, o Artificial Intelligence Act, è la normativa dell’Unione Europea che mira a regolamentare l’uso dell’intelligenza artificiale all’interno del mercato unico europeo. Approvata nel marzo dello scorso anno, dal 2 febbraio di quest’anno sono entrate in vigore le prime disposizioni.
L’intelligenza artificiale rappresenta una delle tecnologie più rivoluzionarie del nostro tempo, con un enorme potenziale di trasformazione per qualsiasi impresa. Quando parliamo di AI in questo contesto, ci riferiamo a sistemi di intelligenza artificiale che possono variare da algoritmi di machine learning a sistemi di intelligenza artificiale più complessi e utilizzati in vari settori, come i trasporti e la logistica, il settore manifatturiero, la sanità, la finanza, la sicurezza, ma anche l’editoria e i media e, non ultimo, il settore della moda e del lusso in ogni sua declinazione. È definita intelligenza artificiale, ma è realmente “intelligente”?
Secondo quanto riferito da molti tecnologi, la tecnologia non comprende il significato delle informazioni che elabora né il contesto in cui opera. Come (bene!) spiega Massimo Chiriatti in Incoscienza Artificiale, l’AI è priva di coscienza e intenzionalità: riconosce schemi e correlazioni nei dati, ma non ha consapevolezza. È un insieme di algoritmi che simula comportamenti intelligenti, ma senza comprendere realmente ciò che fa. In sostanza, l’AI calcola, non pensa. Ciò non toglie che gli effetti e gli impatti sulle imprese sono di estrema importanza e decisamente trasversali.
La legge parla di sistemi di AI classificati per tipologia di rischi: cosa significa?
L’AI Act ha adottato un’impostazione cosiddetta risk-based approach allo scopo di bilanciare innovazione e tutela dei diritti. È un approccio estremamente innovativo: classifica i sistemi AI in funzione del rischio che questi rappresentano per i diritti fondamentali, la sicurezza e la società.
Sono quattro le categorie principali: rischio inaccettabile, alto, limitato e minimo. I sistemi a rischio inaccettabile, come il riconoscimento facciale in tempo reale negli spazi pubblici o il cosiddetto social scoring (vale a dire la valutazione delle persone in base ai loro comportamenti online), sono vietati. Quelli ad alto rischio, come l’AI usata in ambito sanitario o nei processi di selezione del personale, sono ammessi, ma soggetti a requisiti rigorosi di trasparenza, sicurezza e supervisione umana. I sistemi a rischio limitato devono fornire informazioni chiare agli utenti, mentre quelli a rischio minimo, come chatbot o filtri spam, sono quasi esenti da obblighi specifici.
Quali accorgimenti devono osservare le aziende che vogliono adottare sistemi di AI o che li hanno già in uso?
Dipende a seconda del grado di rischio che implica l’uso di un determinato sistema di AI. Per le società che già impiegano sistemi di intelligenza artificiale – in particolare quelli classificati come ad alto rischio – è divenuto obbligatorio adottare un quadro strutturato di gestione del rischio, come previsto dall’AI Act. In pratica, le imprese devono effettuare una valutazione preliminare dei rischi connessi all’uso dell’AI, predisponendo una documentazione tecnica che tracci e specifichi l’intero ciclo di vita del sistema, dallo sviluppo alla sorveglianza post-distribuzione.
Inoltre, è richiesto un adeguato sistema di controllo interno volto a monitorare e a mitigare eventuali criticità, garantendo al contempo trasparenza verso gli utenti finali. Gli operatori devono essere in grado di fornire informazioni chiare sul funzionamento del sistema (che non significa rinunciare alla propria proprietà intellettuale, inclusi i segreti commerciali), specificando il ruolo dell’intervento umano e le limitazioni operative dell’algoritmo. Non si tratta solo di conformità normativa, ma di una misura essenziale per tutelare i diritti fondamentali dei cittadini e rafforzare la fiducia nei confronti delle tecnologie emergenti.
Chi invece ancora non ha implementato sistemi di AI, deve anzitutto essere certo di non averli già in uso a propria insaputa! E, aggiungo, usare strumenti che siano affidabili e provengano da fornitori in grado di fornire un’informativa adeguata e chiara circa le modalità di funzionamento, l’uso e la conservazione dei dati impattati.
Si parla anche di previsione di interventi di formazione per il personale nelle aziende: di cosa si tratta? Come le aziende possono dimostrare di essere adempienti su questo punto?
La previsione si inserisce proprio nel quadro di un uso consapevole dell’AI, affinché le imprese che sviluppano o usano l’AI considerino la potenziale pericolosità dei loro sistemi, a seconda della tipologia di rischio che comportano, come il rischio per la privacy o per la sicurezza. In questo contesto, l’obiettivo è creare una cultura interna della sicurezza e della responsabilità, indispensabile per operare in ambito AI e per garantire che l’intelligenza artificiale venga utilizzata in modo responsabile, rispettando i diritti fondamentali e la sicurezza delle persone. Senza una formazione adeguata, il dettato normativo rischia di rimanere lettera morta.
Va in questa direzione l’adozione dell’AI Pact. Si tratta di una serie di presidi che ha ad oggi trovato implementazione su base volontaria nell’ambito delle grandi corporation e PMI proprio per implementare buone pratiche di governance consapevole dello strumento tecnologico.
In che misura le aziende sono responsabili nell’uso di sistemi di AI?
È recente la notizia della revoca della direttiva sull’AI Liability. Questo, stando a quanto si è potuto apprendere dai primi commentatori, poiché la direttiva sulla responsabilità dell’AI sembra stesse perdendo trazione a livello europeo proprio in seguito all’adozione dell’AI Act dell’UE.
Tale iniziativa non elimina tuttavia la necessità per le aziende di affrontare con attenzione i rischi legati all’uso dell’intelligenza artificiale. In assenza di un quadro normativo uniforme, le imprese restano esposte a responsabilità civili basate sulle normative nazionali, spesso frammentarie e in evoluzione.
Che raccomandazione darebbe alle aziende per rendersi adempienti al dettato normativo?
Proprio a fronte del quadro complessivo che si va delineando, la formazione interna sull’uso responsabile dell’AI è cruciale. È essenziale che le imprese italiane investano nella formazione sull’intelligenza artificiale per gestire responsabilmente i rischi legali e operativi. Una preparazione adeguata del personale riduce il rischio di errori e contenziosi, garantendo un utilizzo etico e sicuro delle tecnologie.
Dal punto di vista ESG (Environmental, Social, Governance), la formazione sull’AI rafforza la governance aziendale, promuove la trasparenza nei processi decisionali automatizzati e tutela i diritti degli stakeholder. Prestare attenzione alle implicazioni sociali dell’AI, come il rispetto della privacy e la prevenzione di bias algoritmici, migliora la reputazione aziendale e crea valore sostenibile nel lungo periodo. Si tratta di una scelta strategica che, se affrontata in maniera tempestiva e corretta, consentirà una maggiore efficienza organizzativa e operativa.
