Artificial Intelligence Act (AI Act) – una breve analisi dal punto di vista della compliance e della pubblica amministrazione – Settembre 2023
a cura del Dr. Salvatore D’Ambra, LL. M, MBA,MBA*
Abstract
Il nuovo regolamento dell’Unione europea (UE) sull’ intelligenza artificiale (IA) crea un quadro normativo armonizzato per l’uso dell’IA nel settore pubblico e privato. Si basa su un approccio basato sul rischio che prevede normative diverse a seconda del livello di rischio (risk-based approach). Il regolamento offre opportunità per tutto il settore privato e per la modernizzazione del settore pubblico, ma richiede un’attenta analisi del quadro giuridico e l’attuazione a livello nazionale. Un’attuazione riuscita consentirà di creare uno spazio di sperimentazione giuridicamente sicuro e di aumentare la fiducia nell’IA.
La legislazione inoltre richiede una governance che renda gestibili i rischi dei sistemi di IA durante l’intero ciclo di vita. L’implementazione presenta sfide, ma anche opportunità per le organizzazioni. Con il giusto approccio, possono migliorare la qualità dell’IA, dimostrare la propria responsabilità sociale ed essere all’ avanguardia nella trasformazione digitale con l’IA.
Risk-based approach
Il regolamento europeo adotta un approccio basato sul rischio che mira ad analizzare e classificare i sistemi di IA in base al rischio che rappresentano per gli utenti (no risk, limited risk, high risk e sistemi vietati). A seconda del livello di
rischio, i sistemi di IA sono soggetti a diversi gradi di regolamentazione. Nel settore pubblico, ad esempio, i sistemi di IA offrono enormi opportunità e possibilità, soprattutto nel contesto delle città intelligenti (smart cities). Analizzando i dati raccolti dai sistemi in rete, i sistemi di IA possono imparare cose nuove, ottimizzare i loro algoritmi e prendere decisioni “migliori”. Dato il potenziale di rischio di queste azioni amministrative e governative collegate in rete in modo intelligente, è probabile che debbano essere sottoposte a una valutazione completa ai sensi delle disposizioni del regolamento sull’IA. È ipotizzabile che una progettazione legalmente conforme di tali sistemi richieda una forte limitazione del potere decisionale autonomo del sistema di IA. Ad esempio, potrebbe offrire solo suggerimenti per miglioramenti e soluzioni che richiedono la revisione e la convalida umana. Inoltre, i sistemi di IA come i chatbot e gli assistenti vocali personali, utilizzati anche nel settore finanziario, possono accelerare e migliorare notevolmente i processi interni e amministrativi. Secondo la proposta di regolamento, tali sistemi di IA devono solo garantire la conformità ai requisiti di trasparenza e legalità (limited risk).
Modello di governance e requisiti di compliance
L’AI act è una proposta della Commissione Europea per un regolamento UE che stabilisce regole armonizzate per i sistemi di IA, ancora in fase di negoziazione tra le istituzioni dell’UE. Si prevede che il regolamento preveda un periodo di transizione di 24 mesi entro il quale le organizzazioni dovranno implementare i requisiti, e la mancata conformità potrebbe comportare multe significative e rischi di responsabilità (analogo al regolamento di base sulla protezione dei dati GDPR).
I sistemi di intelligenza artificiale sono suddivisi in quattro categorie in base alle loro caratteristiche di rischio, che possono essere non limitate, consentite a determinate condizioni o vietate. L’oggetto centrale del regolamento sono i sistemi di IA ad alto rischio, i cosiddetti high-risk systems, che devono soddisfare requisiti completi di documentazione, monitoraggio e qualità. Gli utenti e i fornitori di sistemi di IA ad alto rischio sono i principali destinatari dei requisiti.
Oltre alla regolamentazione generale dell’IA attraverso la legge europea sull’IA, esistono altri requisiti rilevanti per i casi di utilizzo dell’IA: Quelli orizzontali, come il GDPR o la proposta di legge UE sui dati, e quelli verticali o settoriali, come per esempio il regolamento UE sui dispositivi medici (MDR) e le normative come la CRR/CRD nell’ambito bancario (in particolare per quanto riguarda la gestione del rischio e il sistema di controllo interno).
La chiave per la creazione di valore sostenibile con i sistemi di IA sta nel collegare con successo qualità, regolamentazione e scalabilità. A tal fine, sono necessari standard riconosciuti, best practice e strumenti adeguati allo sviluppo e l’operatività sicuri ed efficienti dei sistemi di IA. In particolare, sistemi flessibili di gestione dei dati, dei rischi e del ciclo di vita sono indispensabili per consentire alle organizzazioni di passare con successo i loro sistemi di IA dalla fase pilota a quella operativa.
In sintesi, la governance può essere suddivisa nelle seguenti aree:
– implementazione di un sistema di gestione del rischio (risk management system)
– data e data governance
– documentazione e record keeping
– trasparenza e informazione agli utenti
Anche i requisiti di compliance sono molto ampi, soprattutto per i sistemi ad alto rischio:
- sistemi di gestione del rischio (art. 9)
- governance dei dati (art. 10)
- valutazione della conformità (art. 19)
- documentazione tecnica (art. 11)
- obblighi di registrazione (art. 12)
- supervisione umana (art. 14)
- trasparenza nei confronti degli utenti (art. 13, par. 3)
- sistemi di Quality Management (art. 17)
- segnalazione di incidenti gravi e malfunzionamenti (art. 62)
- requisiti di informazione (art. 22)
- sicurezza informatica (art. 15)
- obblighi di conservazione (art. 18)
- cooperazione con le autorità competenti (art. 23)
Poiché l’IA viene già utilizzata anche nel settore bancario e finanziario in generale (che in molti casi può essere classificato come IA ad alto rischio), i requisiti della compliance aumenteranno ulteriormente in questo settore.
Creazione di uno spazio legalmente protetto
Il regolamento dell’UE mira a rendere i sistemi di IA sicuri, trasparenti, responsabili, non discriminatori, rispettosi dell’ambiente e supervisionati dall’uomo. Questo crea uno spazio sperimentale giuridicamente sicuro che dovrebbe consolidare la fiducia e l’accettazione dell’IA da parte dei cittadini e delle imprese. Ciò è particolarmente importante nel settore pubblico, che non è avverso al rischio. Tuttavia, la fattibilità dell’IA richiede anche un’attenta analisi del quadro giuridico esistente e delle possibilità di progettazione. Ciò comporta sfide fondamentali, tra cui la determinazione della governance della piattaforma legale, la protezione dei dati e la salvaguardia dai rischi di responsabilità. Inoltre, gli interventi basati sull’IA devono essere integrati nel diritto della sicurezza, tenendo conto della protezione dei diritti fondamentali e delle responsabilità delle diverse autorità. Nelle procedure di massa, devono essere garantite le condizioni legali per assicurare la protezione dei dati, l’uguaglianza e procedure amministrative efficienti. Queste sfide dimostrano che la definizione del quadro giuridico per l’IA, anche nel settore pubblico, è un compito complesso. Richiede un attento bilanciamento delle opportunità e dei rischi dell’IA, nonché un continuo adattamento del quadro giuridico agli sviluppi tecnologici.
Attuazione a livello nazionale
Il successo del regolamento AI dipende in larga misura dalla sua attuazione a livello nazionale. Gli stati membri devono adottare misure per istituire, ad esempio, un’autorità di vigilanza competente e un registro nazionale per la trasparenza dell’IA. Inoltre, devono lavorare costantemente allo sviluppo di standard e norme industriali. A queste condizioni, la legge proposta offre buone opportunità al settore pubblico e privato di modernizzarsi all’interno di un quadro giuridico legittimato ma flessibile.
Conclusioni
L’uso crescente dell’IA in tutti i settori sarà sempre più regolamentato in futuro. L’AI Act è il fulcro della regolamentazione sull’IA a livello europeo. La prevedibile pubblicazione del regolamento pone sfide di vasta portata per le organizzazioni regolamentate in Europa. I requisiti sono molto complessi, sia nell’ambito pubblica che privato, ma possono essere implementati in modo favorevole all’innovazione con un’attenzione tempestiva e il giusto approccio.
*Docente presso BH – Banking & Insurance FH JOANNEUM (Bank- und Versicherungswirtschaft – BVW) – Graz, Styria, da novembre 2022 Legal Advisor to the Prime Minister in Liechtenstein, Presidenza del Consiglio dei Ministri, Docente anche all’università di Liechtenstein, Corporate Governance e Compliance, nuovo Master conseguito in Executive Management (MBA)