L’AI Act introduce un quadro normativo complesso, ma con vari punti fermi di cui le aziende devono tenere conto per orientarsi nel nuovo scenario regolatorio. Alcune disposizioni stanno entrando progressivamente in vigore, segnando l’avvio di un processo di implementazione graduale. Per fare chiarezza su questi aspetti e offrire un quadro più completo, abbiamo avuto l’opportunità di confrontarci con Gabriele Mazzini, che ha seguito lo sviluppo della normativa dall’interno.
Come Team Leader dell’AI Act presso la Commissione europea fino a luglio 2024, Gabriele Mazzini ha guidato la stesura del regolamento e ha supportato i negoziati legislativi con il Parlamento europeo e il Consiglio.
Quali erano i principali problemi non affrontati dalle normative esistenti prima dell’AI Act?
Le normative precedenti all’AI Act – che riguardano privacy, diritti fondamentali o sicurezza dei prodotti – sono “tecnologicamente neutre”, ossia si applicano a diverse tecnologie senza distinzioni specifiche. Questo approccio è considerato un valore perché garantisce flessibilità e adattabilità.
Tuttavia, l’Intelligenza Artificiale può presentare caratteristiche peculiari, come la forte dipendenza dai dati e l’opacità di alcuni meccanismi di funzionamento, che comportano rischi non adeguatamente regolamentati. L’AI Act nasce proprio per colmare questa lacuna, introducendo un quadro normativo specifico per affrontare queste sfide.
L’AI Act affronta diversi rischi legati all’Intelligenza Artificiale. Puoi farci un esempio concreto di un rischio considerato, con particolare attenzione all’impatto su cittadini e aziende?
Uno dei principali rischi è la discriminazione. Gli algoritmi vengono sempre più utilizzati per supportare decisioni in ambiti delicati, come la concessione di un mutuo, la selezione dei candidati in un processo di assunzione o l’assegnazione degli studenti alle scuole tramite sistemi automatizzati. Quando l’IA interviene in processi decisionali di questo tipo, esiste il rischio che produca risultati iniqui o ingiustificati, basandosi su criteri vietati, come il genere o l’origine etnica.
Nell’Unione Europea esistono già normative che vietano la discriminazione in ambito lavorativo e nell’accesso ai servizi, e si potrebbe pensare che siano sufficienti. Tuttavia, il vero valore aggiunto dell’AI Act è l’introduzione di obblighi orientati alla trasparenza e tracciabilità, che garantiscono maggiore affidabilità e controllo sulle decisioni automatizzate. Senza queste misure, chi utilizza l’algoritmo potrebbe sottrarsi alle proprie responsabilità, attribuendo le decisioni a una “black box” non comprensibile né verificabile.
Questo aspetto riguarda sia i cittadini, che rischiano di subire decisioni discriminatorie, sia le aziende, che hanno tutto l’interesse a evitare l’uso di sistemi che possono produrre risultati potenzialmente illegali o iniqui, con il rischio di conseguenze legali. L’obiettivo del regolamento è quindi promuovere un’Intelligenza Artificiale affidabile e degna di fiducia (trustworthy AI), per evitare un possibile “rigetto” della tecnologia da parte della società.
Quali sono i principi fondamentali dell’AI Act e perché sono stati scelti proprio questi?
L’AI Act si fonda su un approccio basato sul rischio (risk-based approach), che ne costituisce la struttura portante. Questo significa che i requisiti applicabili a un sistema di IA dipendono dal livello di rischio che esso comporta. I sistemi classificati come ad alto rischio devono rispettare una serie di obblighi specifici, tra cui documentazione, tracciabilità, buona governance dei dati, trasparenza, supervisione umana, sicurezza informatica, accuratezza e robustezza.
Questi principi non sono stati scelti arbitrariamente, ma derivano dal lavoro svolto dall’High Level Expert Group on Trustworthy AI, un gruppo di esperti che nel 2019 ha elaborato le linee guida etiche per l’Intelligenza Artificiale.
La Commissione Europea, nel passaggio dal quadro etico alla normativa, ha selezionato e adattato questi principi in un’ottica regolatoria, escludendo quelli già coperti da altre normative. Ad esempio, la privacy, che era uno dei requisiti individuati dal gruppo di esperti, non è stata inclusa perché già regolata dal GDPR.
L’obiettivo finale di questi requisiti è garantire che i sistemi di IA siano più prevedibili e affidabili, riducendo il rischio di conseguenze inattese. Nel 2019-2020 vi era un ampio consenso a livello internazionale sull’importanza di questi principi per costruire un’Intelligenza Artificiale meritevole di fiducia.
L’AI Act si applica a tutte le aziende o riguarda solo alcuni settori e specifiche funzioni?
L’AI Act introduce disposizioni che riguardano tutte le aziende, ad esempio vietando alcuni utilizzi dell’IA, come la categorizzazione biometrica. Ci sono però settori più esposti ai requisiti stringenti del regolamento, perché è più probabile che utilizzino sistemi di IA classificati come ad alto rischio. Tra questi rientrano la sanità, la pubblica sicurezza, la giustizia, il mondo del lavoro e l’educazione.
Questo non significa che la normativa si applichi indistintamente a tutte le aziende di questi settori. L’AI Act definisce le regole in base all’uso specifico dell’IA: un’azienda è soggetta agli obblighi per i sistemi ad alto rischio solo se sviluppa o utilizza una applicazione di IA esplicitamente classificata come tale.
Un aspetto cruciale è quindi la distinzione tra tecnologia IA e applicazione IA. Il primo è l’insieme di algoritmi, dati e procedure che ne permettono il funzionamento: una tecnologia di base che può essere utilizzata in diversi contesti. L’applicazione di IA, invece, è l’uso specifico a cui una data tecnologia è dedicata in un determinato settore o per una particolare finalità. L’AI Act, almeno nella sua bozza iniziale, intendeva concentrarsi esclusivamente sulle applicazioni di IA, perché è solo l’uso di una particolare tecnologia in un determinato contesto che consente di valutare i rischi che tale uso può potenzialmente generare.
Prendiamo, ad esempio, un sistema di riconoscimento facciale: si tratta di una tecnologia generica, che può essere impiegata in modi molto diversi. Se usata per sbloccare un telefono personale, rientra tra le applicazioni che non generano nessun rischio particolare. Se invece viene adottata per la identificazione biometrica in tempo reale in uno spazio pubblico per motivi di pubblica sicurezza, diventa un’applicazione vietata in linea di principio (salvo specifiche eccezioni previste dalla normativa).
Comprendere questa distinzione è essenziale per definire le regole applicabili e valutare quando un sistema di IA può presentare criticità.
Come può un’azienda garantire una governance responsabile dell’IA?
Un’azienda che sviluppa o utilizza sistemi di IA e deve conformarsi all’AI Act può adottare alcune buone pratiche tra cui:
- mappare l’uso dell’IA, creando un inventario dei sistemi per capire dove e come vengono impiegati;
- valutare il rischio, classificando i sistemi in base alle categorie previste dall’AI Act. In particolare, se un sistema è potenzialmente ad alto rischio, è necessaria maggiore attenzione, ad esempio documentando i processi, registrando le decisioni prese e le fonti dei dati utilizzati;
- garantire supervisione e controllo, con meccanismi di monitoraggio e intervento umano;
- monitorare e aggiornare, riesaminando periodicamente l’uso dell’IA per garantirne la conformità.
Seguire questi passaggi può aiutare le aziende a gestire l’IA in modo responsabile e trasparente.
Ad oggi l’AI Act non fornisce sempre tutti i dettagli necessari perché le aziende possano facilmente implementare le sue disposizioni. L’UE sta lavorando alla elaborazione di standard tecnici e di linee guida per supportare le aziende nel processo di adeguamento.
Esistono strumenti di supporto per aiutare le aziende a conformarsi all’AI Act?
Come accennato, l’Unione Europea sta lavorando a linee guida per aiutare le aziende a orientarsi nella normativa. Tuttavia, l’AI Act rimane una regolamentazione complessa e uno dei principali timori è che le aziende più strutturate abbiano le risorse per avvalersi del supporto di associazioni di categoria, consulenti e avvocati, mentre le realtà più piccole rischiano di essere disincentivate, rinunciando a investire nell’IA per evitare difficoltà di conformità.
È importante, però, non lasciarsi scoraggiare perché l’IA costituirà sempre più un fattore significativo per la produttività. L’AI Act rappresenta certamente una sfida importante, ma anche un incoraggiamento per le aziende a rafforzare la fiducia nei propri prodotti e servizi.
Ciò che può fare davvero la differenza, soprattutto in questa prima fase applicativa, è adottare un approccio proattivo e strutturato alla compliance, cercando di misurarsi sin da subito in modo consapevole con i requisiti normativi e identificare soluzioni tecniche adeguate, ricercando la trasparenza nei processi decisionali e nell’utilizzo dell’IA.
In questo modo, le aziende potranno affrontare con maggiore sicurezza l’entrata in vigore della normativa e trarre vantaggio da un utilizzo responsabile dell’IA.