L’AI Act è in vigore: gli impatti sui software applicativi
L’Unione Europea ha approvato la prima legislazione al mondo specificamente mirata all’intelligenza artificiale, l’AI Act, che è entrata in vigore ieri, giovedì 1 agosto 2024. Questa legge ha lo scopo di regolamentare lo sviluppo e l’uso dell’IA, bilanciando l’innovazione con la protezione dei diritti fondamentali dei cittadini.
L’importanza dell’AI Act è sottolineata anche dalle recenti previsioni di McKinsey, secondo cui entro il 2030 il 70% delle aziende utilizzerà tecnologie di IA, generando un impatto economico globale di circa 13mila miliardi di dollari e aumentando il PIL mondiale dell’1,2% annuo. Le reazioni all’AI Act sono state contrastanti: alcuni temono che possa far perdere all’UE opportunità economiche, mentre altri ritengono che non vada abbastanza lontano nella protezione dei cittadini.
Ciò che è certo è che molti aspetti dell’implementazione della legge sono ancora incerti. L’introduzione della legge sarà graduale, con diverse scadenze per diversi tipi di IA e applicazioni.
Le prime attività a dover conformarsi saranno quelle che l’AI Act vieta, come i sistemi di categorizzazione biometrica basati su caratteristiche sensibili, la raccolta indiscriminata di immagini facciali, il riconoscimento delle emozioni in contesti lavorativi ed educativi e il punteggio sociale.
Dal 2025, i modelli di IA general-purpose come ChatGPT dovranno rispettare una serie di requisiti, tra cui la valutazione dei rischi sistemici e la segnalazione di incidenti gravi. A partire invece da agosto 2026, i sistemi di IA considerati ad alto rischio, inclusi quelli utilizzati in settori critici come infrastrutture, istruzione e occupazione, dovranno conformarsi alla legge.
Questo avrà un impatto significativo sul software aziendale e sulle enterprise application, e in particolare sulle HR Application, i software per la gestione delle risorse umane, che probabilmente rientrerà nella categoria ad alto rischio.
La testata The Register ha intervistato al proposito alcuni esperti. Nils Rauer, partner di Pinsent Masons, sottolinea che le grandi aziende tecnologiche si stanno preparando da tempo, ma le aziende più piccole e meno esperte in tecnologia potrebbero trovarsi in difficoltà. La conformità, infatti, richiede principalmente un onere amministrativo, con la necessità di documentare il processo di addestramento dei modelli di IA e il funzionamento dell’elaborazione.
Secondo Tanguy Van Overstraeten, partner di Linklaters, le aziende dovranno trovare un equilibrio tra la trasparenza richiesta dalle autorità e la protezione dei loro segreti commerciali. Molti dettagli sull’implementazione della legge sono ancora incerti, con diverse strutture amministrative ancora da costituire e linee guida da pubblicare. Gli obblighi variano tra sviluppatori e utenti di tecnologie IA, con i primi soggetti a requisiti più stringenti.
Le aziende devono anche fare attenzione all’uso non autorizzato di strumenti IA general-purpose per compiti ad alto rischio. Nonostante la scadenza del 2026 per la conformità dei sistemi ad alto rischio, gli esperti consigliano alle aziende di iniziare a prepararsi subito, data la complessità degli obblighi previsti dalla legge. Ci sono anche preoccupazioni nel settore tecnologico che l’AI Act possa soffocare l’innovazione in uno dei mercati più ricchi del mondo, con critiche alla regolamentazione dei modelli di base.
Le aziende si trovano poi di fronte a messaggi contrastanti: da un lato sono spinte a utilizzare l’IA per rimanere competitive, ma dall’altro rischiano pesanti sanzioni se la usano in modo sbagliato, con multe che possono arrivare fino al 7% del fatturato globale.
Come anticipato, nel suo lungo articolo, The Register si sofferma in modo particolare sull’impatto significativo che l’AI Act avrà sui software applicativi, in particolare su quelli considerati ad alto rischio.
I fornitori di software applicativi dovranno infatti documentare in modo dettagliato come funzionano i loro modelli di IA. Questo include spiegare come l’IA prende decisioni, ad esempio perché raccomanda un candidato invece di un altro in un processo di selezione. Le aziende dovranno inoltre trovare un equilibrio tra la necessità di essere trasparenti per conformarsi alla legge e la protezione dei loro segreti commerciali e metodologie proprietarie.
Gli obblighi imposti dell’AI Act saranno diversi per chi sviluppa il software e chi lo utilizza. I fornitori avranno le responsabilità più onerose, ma anche le aziende che acquistano e modificano significativamente il software potrebbero essere considerate “fornitori” ai sensi della legge. Le aziende dovranno anche formare i loro dipendenti sull’uso appropriato degli strumenti IA all’interno delle applicazioni, per evitare violazioni involontarie della legge.
Oltre all’ambito delle risorse umane, le applicazioni in settori come l’istruzione, le infrastrutture critiche e i servizi essenziali pubblici e privati saranno probabilmente considerate ad alto rischio e quindi soggette a regolamentazione più stringente.