Il 13 marzo scatta il cronometro per le aziende che fanno o usano l’intelligenza artificiale in Europa: parte il conto alla rovescia infatti per doversi adeguare al regolamento dell’intelligenza artificiale AI Act.
E le aziende dovranno subito capire se e in che modo hanno a che fare con tecnologie regolamentate dall’AI Act, per evitarne le super sanzioni previste.
Prima di tutto bisogna sapere che il quadro giuridico si applicherà a soggetti pubblici e privati all’interno e all’esterno dell’UE, purché il sistema di IA sia immesso sul mercato dell’Unione o il suo utilizzo riguardi persone situate nell’UE.Riguarda sia i fornitori (ad esempio, uno sviluppatore di uno strumento di screening del curriculum) sia gli utilizzatori di sistemi di IA ad alto rischio (ad esempio, una banca che acquista questo strumento di screening). Gli importatori di sistemi di IA dovranno inoltre assicurarsi che il fornitore straniero abbia già eseguito l’appropriata procedura di valutazione della conformità, sia dotato di un marchio di conformità europeo (CE) e sia accompagnato dalla documentazione e dalle istruzioni d’uso richieste.Sono previsti alcuni obblighi per i fornitori di modelli di IA di uso generale, tra cui i modelli di IA generativa di grandi dimensioni.I fornitori di modelli gratuiti e open-source sono esentati dalla maggior parte di questi obblighi. Questa esenzione non riguarda gli obblighi per i fornitori di modelli di IA generici con rischi sistemici. Gli obblighi non si applicano nemmeno alle attività di ricerca, sviluppo e prototipazione che precedono l’immissione sul mercato; né il regolamento non si applica ai sistemi di IA destinati esclusivamente a scopi militari, di difesa o di sicurezza nazionale, indipendentemente dal tipo di entità che svolge tali attività.
Scadenze
I tempi per adeguarsi sono ridotti, sei mesi dopo l’entrata in vigore, per eliminare gradualmente i sistemi vietati dall’AI Act. Entro dodici mesi si applicano gli obblighi per la governance dell’IA per scopi generali. Le aziende dovranno guardare in particolare alla scadenza di 24 mesi, quanto tutte le norme della legge sull’IA diventano applicabili, compresi gli obblighi per i sistemi ad alto rischio, che sono quelli con forte impatto sulle vite delle persone (salute, lavoro, istruzione, polizia…).
Sanzioni
Gli Stati membri dovranno stabilire sanzioni “efficaci, proporzionate e dissuasive”, in relazione alle infrazioni e comunicarle alla Commissione.Il regolamento stabilisce delle soglie che devono essere prese in considerazione:Fino a 35 milioni di euro o al 7% del fatturato totale annuo a livello mondiale dell’esercizio finanziario precedente (a seconda di quale sia il valore più alto) per le violazioni relative alle pratiche vietate o alla non conformità ai requisiti sui dati.Fino a 15 milioni di euro o al 3% del fatturato totale annuo a livello mondiale dell’esercizio finanziario precedente per la mancata osservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento, compresa la violazione delle norme sui modelli di IA per uso generale.Fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale annuo totale dell’esercizio precedente per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta.Per ogni categoria di infrazione, la soglia sarebbe il minore dei due importi per le pmi e il maggiore per le altre aziende.
Le cose da fare subito per le aziende
Il lavoro da fare ora è lungo e complesso, per le aziende impattate. Prima di tutto, “devono fare un censimento del software AI usato per capire quali rientrano nei sistemi ad alto rischio e quali no”, spiega l’avvocato Rocco Panetta. Conferma l’avvocata Anna Cataleta: “è importante che le aziende comprendano il proprio ruolo tra quelli indicati nell’AI Act e che siano consapevoli della tipologia di modelli e sistemi di intelligenza artificiale che producono o utilizzano; devono capire in quale livello di rischio rientrano i sistemi di intelligenza artificiale e quali azioni devono adottare per conformarsi alla normativa”.I fornitori di sistemi considerati “a basso rischio”, per l’Europa, possono scegliere di applicare i requisiti per un’IA affidabile e di aderire a codici di condotta volontari.Tutto cambia per un sistema di IA ad alto rischio: i fornitori devono sottoporlo a una valutazione di conformità, prima di venderlo o renderlo disponibile. Ciò consentirà loro di dimostrare che il sistema è conforme ai requisiti obbligatori per un’IA affidabile (ad esempio, qualità dei dati, documentazione e tracciabilità, trasparenza, supervisione umana, accuratezza, sicurezza informatica e robustezza)
I fornitori devono anche avere sistemi di gestione della qualità e del rischio
Ad alcuni sistemi di intelligenza artificiale sono imposti requisiti specifici di trasparenza, ad esempio quando esiste un chiaro rischio di manipolazione (ad esempio attraverso l’uso di chatbot). Gli utenti devono essere consapevoli che stanno interagendo con una macchina; le immagini fatte da IA devono avere un segno distintivo.“Il consiglio alle aziende e ripartire dal Gdpr, di cui l’AI Act è cugino – aggiunge Panetta. Devono fare evolvere la valutazione d’impatto privacy in chiave di analisi di impatto dell’IA sui diritti fondamentali”. Panetta, Cataleta e altri esperti concordano: il percorso da fare è lungo, la formazione del personale sarà necessaria e complessa; è bene partire subito.
Tratto dal Il Sole 24 ore
