📰 Tutti i modi in cui i leader dell’IT possono affrontare l’AI Act
Nachrichtenbereich: 📰 IT Security Nachrichten
🔗 Quelle: cio.com
L’AI Act dell’Unione Europea, una normativa che mira a garantire che l’intelligenza artificiale sia affidabile e incentrata sull’individuo, è a un passo dal diventare realtà. Si prevede che il documento sarà pubblicato sulla Gazzetta Ufficiale all’inizio di giugno ed entrerà in vigore 20 giorni dopo.
Questa regolamentazione, che si prospetta come la prima legge completa al mondo sull’IA, è progettata per mantenere un equilibrio tra l’incoraggiamento del progresso tecnologico e la protezione dei diritti dei consumatori europei.
“Stiamo regolamentando il meno possibile e il più possibile, con misure proporzionate per i modelli di intelligenza artificiale”, afferma il Commissario per il Mercato Interno Thierry Breton, aggiungendo che la legge sull’IA “sarà un trampolino di lancio per le startup dell’UE, che guideranno la corsa globale a un’IA affidabile”, e andrà anche a beneficio delle piccole e medie imprese. “Stiamo facendo dell’Europa il posto migliore al mondo per l’IA affidabile”, ha dichiarato.
L’AI Act riguarda principalmente gli sviluppatori di strumenti di intelligenza artificiale, nonché i distributori di sistemi di IA ad alto rischio, e si applica a organizzazioni pubbliche e private all’interno e all’esterno dell’Unione Europea, a condizione che i loro sistemi di questo tipo siano utilizzati o venduti nel mercato europeo o riguardino cittadini europei. Salvo alcune eccezioni, si applicherà in tutti gli Stati membri dell’UE 24 mesi dopo la sua entrata in vigore, ed entro la fine di quest’anno dovranno essere rispettate le regole che ne vietano alcune pratiche.
Inoltre, i regolamenti sui modelli di intelligenza artificiale di uso generale, sulla governance e sulle sanzioni inizieranno 12 mesi dopo l’entrata in vigore della normativa, mentre i requisiti per i sistemi ad alto rischio inizieranno 36 mesi dopo.
“Prima di entrare in ‘modalità panico’, le aziende devono capire quali sono le cose che cambieranno, effettivamente, con questa legislazione”, precisa il co-relatore Dragoș Tudorache, che è stato il negoziatore principale della legge al Parlamento europeo insieme a Brando Benifei. “La stragrande maggioranza dell’IA in circolazione non verrebbe toccata dal provvedimento, perché avviene in aree che non sono identificate dalla normativa”.
I sistemi di IA su cui si concentra il documento rientrano nelle categorie di rischio inaccettabile e di rischio elevato. La prima include le applicazioni IA vietate, come quelle che valutano gli individui in base allo status socioeconomico. L’UE vieta anche alle forze dell’ordine di eseguire l’identificazione biometrica remota in tempo reale negli spazi pubblici, ed è anche contraria al riconoscimento delle emozioni sul posto di lavoro e a scuola. Quest’ultima categoria comprende aree come le infrastrutture critiche, la valutazione degli esami, la chirurgia assistita da robot, la valutazione del credito che potrebbe negare i prestiti, e il software di selezione dei curriculum.
Le imprese che lavorano con sistemi ad alto rischio e sanno che saranno interessate da questa regolamentazione dovrebbero iniziare a prepararsi. “Se si tratta di un’azienda che sviluppa sistemi di IA, si possono anticipare tutti gli obblighi relativi alla documentazione tecnica e alla trasparenza dei set di dati”, prosegue Tudorache.
Inoltre, le aziende che cercano di incorporare l’intelligenza artificiale nel loro modello di business dovrebbero assicurarsi di fidarsi della tecnologia che integrano, comprendendo prima a fondo i sistemi che implementano per evitare complicazioni.
L’errore più grande che le imprese possono commettere è quello di non prendere sul serio la legge, perché è dirompente e influenzerà in modo massiccio molti modelli aziendali. “Mi aspetto che l’AI Act crei delle ripercussioni maggiori rispetto al GDPR”, dice Tim Wybitul, responsabile della privacy e partner di Latham & Watkins in Germania.
Adattarsi a un obiettivo in movimento
Mentre la legge sull’IA inizia a rimodellare il panorama della tecnologia europea, i leader del settore stanno cercando di comprendere tra le sue implicazioni. Danielle Jacobs, CEO di Beltug, la più grande associazione belga di CIO e leader della tecnologia digitale, ha discusso l’AI Act con i suoi colleghi e ha identificato diverse sfide e azioni-chiave.
Molti CIO belgi, per esempio, vogliono educare i propri dipendenti e creare programmi di sensibilizzazione incentrati sull’esplorazione dei modi più efficaci di utilizzare l’intelligenza artificiale.
Quando si tratta di questa tecnologia, ogni azienda è un early adopter, dice Jacobs, perché il panorama è in continua evoluzione. “Non esistono best practice o piani IT consolidati”, spiega, il che complica i preparativi.
Alcuni dei suoi colleghi hanno espresso preoccupazioni per la sicurezza e per la privacy dei sistemi alimentati dall’intelligenza artificiale tipicamente utilizzati nell’ambiente aziendale, come quelli per la trascrizione delle riunioni. Altri ritengono che gli strumenti di terze parti utilizzati dai dipendenti non siano sempre segnalati.
Beltug raccomanda alle imprese di iniziare con la classificazione dei dati, e con l’attento esame delle autorizzazioni associate alle applicazioni IA che utilizzano, aggiunge Jacobs.
Questi passaggi possono aiutare a comprendere chiaramente dove e come viene utilizzata l’intelligenza artificiale e la chiarezza, qui, è fondamentale perché la maggior parte delle aziende sottovaluta l’ampia gamma di sistemi che si applicano all’AI Act. “Spesso si concentrano su ciò che percepiscono come ‘IA classica’ e trascurano i plugin e le altre funzioni integrate”, riferisce Wybitul.
Raccomanda, inoltre, alle imprese di leggere attentamente la normativa nella sua interezza. “Non è facile, perché è molto complessa e spesso vaga”, aggiunge. “E i numerosi riferimenti ad altre leggi dell’UE non facilitano il compito”.
Ma la vaghezza del testo è una caratteristica, non un difetto, dice Tudorache, perché consente la flessibilità. “Ci siamo resi conto di non avere abbastanza conoscenza ed esperienza, data la fase iniziale della tecnologia, per sapere esattamente come misurare la conformità di questi modelli, quindi abbiamo introdotto la flessibilità nell’implementazione”, spiega. “Abbiamo pensato che sarebbe stato bene consentire l’interazione tra l’ente regolatore e gli sviluppatori, e costruire un codice di pratiche che in seguito sarà implementato dalla Commissione Europea, e ciò non lo si ritrova in molti altri atti legislativi a livello di Unione”.
Oltre all’AI Act, le aziende devono rimanere aggiornate con altre leggi e direttive discusse nell’UE. La Commissione Europea ha presentato una proposta di direttiva sulla responsabilità dell’intelligenza artificiale nel settembre del 2022, che non sarà adottata da questo Parlamento, ma sarà probabilmente una priorità per il prossimo, affermano gli esperti di politica europea Rob van Kranenburg e Gaelle Le Gars.
Che cosa non include l’AI Act
Sebbene la legge sia lunga centinaia di pagine, non copre tutto ciò che riguarda l’IA. “La cosa più sorprendente è quanto poco il testo affronti la questione-chiave dei sistemi autonomi e semi-autonomi che coinvolgono robot, veicoli e droni”, osserva Kranenburg. “Ci sono solo due menzioni esplicite di sistemi autonomi nell’intero testo”.
Le Gars aggiunge che lei e Kranenburg si aspettavano più misure di protezione nella legislazione, visti i conflitti militari in corso in Europa e altrove.
Tudorache sostiene che, sebbene l’IA diventerà effettivamente una nuova tendenza nella guerra, l’UE ha una capacità limitata di regolamentare i suoi usi militari. “La difesa non è una competenza che l’UE può regolamentare”, afferma. “Rimane una competenza nazionale”, il che significa che gli Stati membri devono stabilire e applicare le proprie regole in modo indipendente. Tudorache aggiunge che la NATO, l’alleanza militare di cui fa parte la maggior parte dei Paesi europei, “ha già iniziato un dibattito molto serio sull’impatto dell’IA sulla guerra”.
Per quanto riguarda i settori civili come l’aviazione, l’industria automobilistica e i dispositivi medici, questi sono già pesantemente regolamentati all’interno dell’UE, aggiunge Tudorache. L’AI Act è progettato per migliorare, non per duplicare, le normative esistenti, quindi la logica è stata quella di integrare il provvedimento con le regole già stabilite, piuttosto che imporre ulteriori livelli legislativi.
Inoltre, il documento include pochissime informazioni sul mercato del lavoro, un settore che sarà profondamente influenzato dall’IA, dal momento che l’UE non ha la competenza per regolare questo settore, tiene a precisare Tudorache. Anche tali decisioni vengono prese a livello statale.
Un avvertimento per non soffocare l’innovazione
Alcuni sostengono che la legge sull’IA potrebbe mettere l’Europa in una posizione di svantaggio competitivo, dato che gli Stati Uniti e la Cina hanno meno barriere per questa tecnologia. L’avvocato specializzato in tecnologia Jan Czarnocki, che opera in Svizzera, un Paese non appartenente all’UE, suggerisce che questa normativa potrebbe scoraggiare le aziende straniere a entrare nel mercato europeo e ostacolare l’innovazione locale.
Contrariamente a queste preoccupazioni, Tudorache sostiene che la regolamentazione dell’IA è essenziale e che la normativa che la riguarda dovrebbe promuovere, non ostacolare, l’innovazione. Infatti, l’errore più grande che le aziende di tutte le dimensioni potrebbero commettere è quello di lasciarsi scoraggiare da questa legislazione e anteporre la conformità all’innovazione, dichiara.
“In primo luogo, dobbiamo essere in grado di innovare, e poi vedere se il progresso si adatta e rispetta le norme o meno”, aggiunge Tudorache. “Subordinare l’innovazione alla conformità, anziché il contrario, sarebbe un errore, perché si creerebbe quasi un atteggiamento di autocensura nei confronti dell’innovazione e della creatività, e questo è esattamente ciò che non vogliamo ottenere con questa regolamentazione”.
Inoltre, Tudorache ha spiegato che normativa è stato elaborato per sostenere la crescita delle PMI in modo responsabile. “Credo che questo acronimo compaia almeno 40 volte nell’AI Act”, rileva. “E compare perché ci sono regole dedicate alle piccole e medie imprese, volte a facilitare il loro accesso gratuito alle sandbox [normative]”. Queste consentono alle aziende di testare prodotti, servizi o modelli di business innovativi sotto la supervisione di un regolatore.
Tudorache sottolinea, inoltre, che la legge europea consentirà un’interazione costante tra le aziende e i futuri regolatori, sia a livello nazionale che europeo.
“Sarà importante far incontrare i due mondi: quelli responsabili dell’attuazione della legislazione e quelli destinati ad applicarla”, conclude. “Dal nostro punto di vista, renderebbe l’implementazione molto più fluida e la conformità molto più facile da gestire”.