categoria: Distruzione creativa
Siamo pronti per la legge europea sull’intelligenza artificiale (IA)?
Post di Jason Albert, Global Chief Privacy Officer ADP –
Con il lancio sul mercato di prodotti e servizi innovativi basati sull’intelligenza artificiale (IA), i governi di tutto il mondo si trovano di fronte alla sfida di bilanciare i benefici e il potenziale di questa tecnologia rivoluzionaria, assicurando al contempo la protezione delle persone dai rischi che ne derivano. In definitiva, è la società che stabilisce le regole d’uso della tecnologia, cercando di trovare l’equilibrio ideale tra innovazione e tutela.
Il 21 maggio scorso, l’Unione Europea ha approvato una legge cruciale sull’intelligenza artificiale, la prima normativa completa di questo tipo al mondo. In passato, l’approccio legislativo dell’UE, come dimostrato nel settore della privacy, ha avuto una forte influenza globale. Tuttavia, è ancora presto per dire se anche la nuova legge diventerà un modello di riferimento a livello internazionale.
La normativa europea adotta un approccio trasversale: copre l’intero ciclo di vita del sistema IA, dall’acquisizione e qualità dei dati, ai test per verificarne accuratezza e imparzialità, fino alla supervisione umana, distribuzione e monitoraggio post-vendita. Le entità coinvolte in tutte le fasi dello sviluppo e utilizzo dell’IA sono soggette alle disposizioni della legge.
Le tre aree di rischio
La normativa affronta tre aree di rischio fondamentali: vietare gli utilizzi inaccettabili dell’IA, come l’identificazione biometrica in tempo reale da parte delle forze dell’ordine in luoghi pubblici; regolamentare i sistemi ad alto rischio, ovvero quelli che potrebbero influenzare i diritti e le opportunità delle persone (es. nell’applicazione della legge, educazione e occupazione); imporre obblighi di trasparenza sui modelli IA generali, come i modelli linguistici di grandi dimensioni, affinché gli utenti siano informati sul loro sviluppo e utilizzo.
Il cuore dell’”EU AI Act” risiede nella gestione del rischio. Le aziende devono identificare chi, al loro interno, ha la responsabilità della gestione dei pericoli. Questa figura deve collaborare con un team multidisciplinare, che includa esperti legali, della privacy, sicurezza e amministrazione, per mappare i sistemi IA e valutarne i potenziali rischi. Il team potrà così determinare le migliori strategie per mitigare o affrontare tali problematiche.
La governance dell’IA
Una buona governance dell’IA è strettamente collegata agli obblighi previsti dalla legge europea. È essenziale garantire l’utilizzo di dati di alta qualità, monitorare le performance del modello per evitare deviazioni e bias, e assicurare sempre la supervisione umana. La governance dell’IA deve essere approcciata in modo integrale e continuo, abbracciando tutte le fasi del ciclo di vita del sistema.
Dal punto di vista strategico, le aziende devono adottare una visione olistica per integrare la governance IA nei propri processi di sviluppo e conformità. Le organizzazioni che sviluppano tali prodotti devono valutare se rientrano nel campo di applicazione della legge e implementare processi per garantire la conformità. Se un’azienda utilizza sistemi IA sviluppati da terze parti, deve assicurarsi di seguirne le istruzioni e garantire la supervisione umana su tutti i risultati generati.
Considerare i rischi specifici dell’IA
Gli obblighi di conformità sono simili a quelli di altre normative, ma è cruciale che le aziende considerino i rischi specifici dell’IA, non ancora affrontati da altri quadri legislativi. Durante l’implementazione della legge, alcune disposizioni potrebbero essere applicate esclusivamente alle offerte sul mercato europeo, come avviene talvolta per il GDPR. Creare un robusto programma di governance IA sarà fondamentale: occorrerà considerare le peculiarità della legge europea, ma, come per la privacy, si tratta di adattamenti che possono migliorare i processi esistenti.
Ci sono diversi strumenti utili per progettare e implementare programmi di governance IA. Il National Institute for Standards and Technology (NIST) degli Stati Uniti ha pubblicato un framework di gestione dei rischi dell’IA, insieme a materiali di supporto per aiutare le aziende nell’identificazione, misurazione e monitoraggio dei rischi. Inoltre, i programmi di gestione del rischio in altre aree, come la privacy, possono fornire un utile modello per la progettazione di un framework per i sistemi IA.
Le scadenze della legge e il monitoraggio della sua applicazione
L’EU AI Act prevede scadenze differenziate per l’attuazione delle sue disposizioni, a seconda del livello di rischio. La legge è entrata in vigore il 10 agosto e diventerà pienamente applicabile dopo due anni. Alcune eccezioni includono: i divieti che entreranno in vigore dopo sei mesi, le norme di governance e gli obblighi per i modelli IA generali dopo 12 mesi, mentre per i sistemi IA integrati in prodotti regolamentati si dovranno attendere 36 mesi.
Come per ogni nuova legge, sarà importante monitorarne l’applicazione. L’AI Act lascia spazio allo sviluppo di standard tecnici, che avranno un impatto significativo sull’implementazione. Sarà interessante vedere come gli organismi normativi degli Stati membri dell’UE interpreteranno e applicheranno la normativa. Tuttavia, la flessibilità insita nella legge permetterà al quadro normativo di evolversi in linea con i futuri progressi tecnologici dell’IA, che avverranno inevitabilmente in modi non ancora previsti.