娇色导航

尝鈥�AI Act dell鈥橴E 猫 entrato nel vivo: dal 2 febbraio听sono scattati gli obblighi di eliminazione delle pratiche vietate (art. 5) e di formazione e aggiornamento delle competenze interne sull鈥檌ntelligenza artificiale, la cosiddetta听AI Literacy o alfabetizzazione in materia di AI (art. 4). Si tratta delle prime disposizioni che diventano attuative: gradualmente ne entreranno in attuazione altre, nel corso di un periodo di transizione che terminer脿 ad agosto del 2026. Questi due anni di tempo per la compliance sono quanto mai necessari a detta di CIO, esperti e dirigenti delle aree Legal e Politiche Pubbliche delle imprese, perch茅 la legge europea sull鈥檌ntelligenza artificiale () 猫 molto estesa e complessa e richiede un grande sforzo in termini di conoscenza e risorse impiegate per essere compresa e integrata nelle prassi quotidiane.

鈥湷⑩�檈ntrata progressiva in efficacia dell鈥橝I Act鈥�, evidenzia l鈥橝vvocato Giangiacomo Olivi,听Partner, Europe Co-Head of Intellectual Property, Data and Technology di Dentons Europe, 鈥溍� stata prevista per dare tempo alle aziende di dotarsi di una听governance dell鈥橝I. Ma, prima di arrivare a disegnare una strategia, 猫 fondamentale definire l鈥檜so che si fa dell鈥橝I internamente realizzando una mappatura dell鈥橝I presente 鈥� di cui a volte non c鈥櫭� piena consapevolezza-听e degli use case. Anzi, la strategia migliore parte proprio da qui: definire gli usi strategici鈥�.

AI Act, attivi gli obblighi su sistemi vietati e formazione

Le pratiche vietate includono: le tecniche di manipolazione subliminale o ingannevole, lo sfruttamento delle vulnerabilit脿 (ovvero l鈥檜so dell鈥橝I per sfruttare vulnerabilit脿 legate a et脿, disabilit脿 o condizione socio-economica), i sistemi di social scoring (che valutano le persone sulla base di comportamenti sociali o caratteristiche personali), l鈥檌dentificazione biometrica in tempo reale, le valutazioni del rischio che una persona commetta un reato, la categorizzazione biometrica per dedurre caratteristiche sensibili come orientamento sessuale, convinzioni religiose o opinioni politiche, il riconoscimento delle emozioni in ambito lavorativo, la creazione o ampliamento di banche dati di riconoscimento facciale mediante scraping non mirato.

Per quanto riguarda l鈥檕bbligo di garantire un adeguato livello di alfabetizzazione all鈥橝I per il personale, questo ha a che fare con tutti coloro che utilizzano qualunque sistema di intelligenza artificiale, non solo quelli proibiti o ad alto rischio. E riguarda in ugual modo fornitori e utilizzatori. 鈥淧roviders and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf鈥�, recita l鈥橝rt. 4. Ovviamente i 娇色导航si chiedono che cosa si intenda esattamente per un 鈥渁ssicurare il pi霉 possibile un livello sufficiente di alfabetizzazione AI鈥�.

Consapevole di queste difficolt脿 nel realizzare la compliance, la Commissione Europea ha dato vita a un AI Office, centro di competenza sull鈥�intelligenza artificiale, e ha avviato l鈥�AI Pact, ovvero un tavolo di lavoro a cui tutte le imprese possono aderire, su base volontaria, per collaborare con l鈥橝I Office nel chiarire i tanti aspetti del regolamento, suggerire semplificazioni e proporre best practice.

Che cosa fare ora per la compliance

Nella听pratica, ecco i passi essenziali che le imprese devono compiere oggi per la conformit脿 all鈥橝I Act: formare il personale sull鈥檜so dell鈥橝I e i suoi rischi, esaminare l鈥檜so interno dell鈥橝I per verificare l鈥檈ventuale impiego di sistemi vietati, mappare tutti i casi d鈥檜so per migliorare o adeguare la governance di AI e dati e verificare i fornitori.

鈥淎nche se un鈥檃zienda potrebbe non usare in modo massiccio l鈥橝I, i suoi fornitori lo fanno, in particolare le big tech Usa, e questo deve portare a rivedere i contratti con i fornitori鈥�, afferma l鈥橝vv. Olivi. 鈥淚nfatti i servizi che si fondano su sistemi AI richiedono un diverso bilanciamento di alcune clausole, per esempio sugli aspetti assicurativi o sugli obblighi di trasparenza, aspetti che finora nei contratti di servizi听tradizionali听erano disciplinati i modo meno puntuale鈥�.

Un altro tema 猫 l鈥檈nfasi sempre pi霉 mirata sulla sicurezza, perch茅, anche se l鈥檌ntelligenza artificiale 猫 un aiuto nella difesa contro le cyber-minacce, a sua volta, 猫 anche un鈥檃rma per i cybercriminali e pu貌 portare a nuovi rischi sia di attacco che di compliance.

鈥溍� molto importante svolgere un data privacy impact assessment e avere un approccio sulla accountability o responsabilizzazione, ovvero sapere, se si usa un sistema AI, quale ragionamento 猫 stato fatto dal sistema e chi ne 猫 responsabile鈥�, afferma l鈥橝vv. Olivi. 鈥淣ei contratti occorre definire tutti questi aspetti鈥�.

Il ruolo del 娇色导航猫 pi霉 complesso. Ma cruciale

In questo scenario, il ruolo del 娇色导航猫 sempre pi霉 complesso: data governance, cybersicurezza ed AI rendono il 娇色导航sempre pi霉 centrale e responsabilizzato, primo punto di riferimento e interlocutore per i vertici aziendali.听

Una听survey di Dentons听ha rilevato che le aziende in Italia tendono ad affidare i compiti di guida della compliance relativa all鈥橝I Act al DPO, estendendone il ruolo rispetto alla sola privacy e ampliandone l鈥檌nterazione听con il 娇色导航e la funzione IT. Ma, in alternativa, l鈥橝I viene fatta ricadere nei compiti del CIO.

鈥淚 娇色导航sono pronti ad occuparsi anche delle questioni AI e stanno spingendo verso un maggior coordinamento con le altre funzioni e un maggior coinvolgimento a livello di board, portando a una governance diffusa e trasversale鈥�, evidenzia l鈥橝vv. Olivi. 鈥淪e all鈥檌nizio le imprese hanno pensato a istituire un AI Board 鈥� sulla falsariga del Data Protection Board per la privacy e il GDPR -, adesso si tende a creare funzioni di riferimento diffuse, che fanno da raccordo sui temi AI nei vari dipartimenti, con vari check point鈥�.

I 娇色导航italiani sono consapevoli del loro ruolo e, in parte, si trovano pronti alle sfide dell鈥橝I Act. A pesare 猫 pi霉 l鈥檌nsieme di norme, che cominciano ad essere numerose, come evidenzia Marco Foracchia, 娇色导航di AUSL Reggio Emilia.

鈥湷⑩�橝I Act fornisce una serie di prescrizioni in qualche modo simili al听Regolamento europeo sui dispositivi medici听(MDR) e, quindi, ci trova preparati. Chi non ha familiarit脿 con questa normativa pu貌 vedere l鈥橝I Act come un鈥檌mposizione, ma per noi, che siamo un鈥檃zienda pubblica del settore sanitario, 猫 naturale dover monitorare la tecnologia nei suoi effetti, nella sua efficacia, nei rischi, e cos矛 via鈥�, commenta Foracchia. 鈥淧er noi l鈥橝I Act si affianca a procedure gi脿 in atto o prescrive delle nuove prassi che comunque avevamo in cantiere, come la validazione delle tecnologie AI che vogliamo introdurre. Certo, pesa l鈥檃ccumulo di tante norme, dal GDPR alla NIS2, dal Data Act all鈥橝I Act, anche se comprendiamo la ragione dietro questo impianto legislativo鈥�.

Il risvolto positivo, secondo l鈥橝vv. Olivi, 猫 che il 娇色导航diventa sempre pi霉 una funzione di creazione del valore.

鈥淪e sa adeguarsi bene alle norme, pu貌 essere un motore per il consolidamento di un vantaggio competitivo, o addirittura la creazione di nuove linee di business鈥�, sottolinea l鈥橝vvocato. 鈥淚l 娇色导航non 猫 solo il baluardo a difesa dei sistemi aziendali, ma il motore di iniziative che aumentano la produttivit脿, una guida dei processi di innovazione che听aumentano la听competitivit脿 grazie alla capacit脿 di essere conformi alle regole听prima e meglio dei concorrenti, favorendo la creazione di un contesto di听fiducia nell鈥橝I. Il 娇色导航traduce e rende concreti i desiderata dell鈥檃zienda e deve avere consapevolezza delle norme di riferimento nel mondo della tecnologia e del digitale. Noi stessi come studio legale oggi interagiamo molto pi霉 con i 娇色导航rispetto al passato, in modo anche costruttivo di creazione听del听valore e听sviluppo听di strategie听di lungo periodo鈥�.

鈥淐ome azienda al momento non usiamo ancora l鈥檌ntelligenza artificiale, ma stiamo dialogando con diversi partner per sondarne un鈥檃dozione futura e stiamo gi脿 cercando di assicurarci di essere compliant con l鈥橝I Act鈥�, afferma Massimo Anselmo, Direttore del Sistema Informativo di Karol Strutture Sanitarie. 鈥淧er questo mi sto interfacciando con la funzione Legal鈥�.

La prossima sfida: Agentic AI e privacy

Secondo Olivi, l鈥檃pproccio di governance trasversale dell鈥檌ntelligenza artificiale sta portando verso un鈥檜lteriore evoluzione legata all鈥檃vvento dell鈥橝gentic AI. Infatti, i modelli di governance finora adottati ruotano intorno alla centralit脿 umana, in linea con la visione dell鈥橝I Act che parla di supervisione umana soprattutto sulle decisioni dei sistemi. Ora, con lo sviluppo e la diffusione degli Agenti, si tende progressivamente a听intervenire direttamente sul software听e tramite software, con conseguente necessit脿 di prevedere una governance per i sistemi AI autonomi.听

鈥淐on l鈥橝I Agenziale probabilmente sar脿 necessario un nuovo intervento del regolatore, integrativo dell鈥橝I Act鈥�, afferma l鈥橝vv. Olivi. 鈥淭uttavia, restano alcune questioni aperte sul rispetto del GDPR e della data privacy di questi sistemi鈥�.

Anche Anselmo evidenzia questa problematica.

鈥淰a bene fare formazione del personale all鈥檜so dell鈥橝I, ma io mi chiedo dove risieda la responsabilit脿 di un prodotto di AI Agenziale nel caso di errore umano鈥�, afferma Anselmo.鈥� Per esempio, se dessi in uso al personale sanitario un AI Agent e il medico per errore caricasse dati sanitari privati sull鈥檃gente, vorrei sapere se questi dati sarebbero protetti ed in che modo: ad oggi non ho trovato garanzie sufficienti a riguardo tra i fornitori鈥�.听

I 娇色导航dei settori regolati hanno una criticit脿 pi霉 forte sulla privacy dei dati e si chiedono come garantire che un dispositivo che incorpora l鈥橝I e la Business Intelligence (come un apparecchio medicale) sia conforme con l鈥橝I Act. Attualmente non esiste un meccanismo chiaro di consenso o rifiuto del consenso come con il GDPR, che obbliga a chiedere all鈥檜tente se accetta di condividere i suoi dati, e chiss脿 che il regolatore europeo non decida di intervenire nuovamente con dei correttivi al regolamento.