Sistemi di IA a rischio: cosa sono e cosa devono fare i datori di lavoro interessati?
Il Regolamento sull’IA dell’UE è la prima legislazione al mondo che regola i sistemi di intelligenza artificiale. Questo atto crea obblighi basati sul livello di rischio associato a specifici utilizzi dei sistemi di IA. Le disposizioni relative agli usi di IA considerati i più rischiosi sono entrate in vigore il 2 febbraio 2025, mentre l’intero atto sarà operativo entro il 1° agosto 2026. L’intento del Parlamento europeo è quello di aumentare la sicurezza, la trasparenza e la sostenibilità, prevenendo pratiche discriminatorie nell’IA.
Negli ultimi anni, le capacità dell’IA sono accelerate notevolmente, creando sfide legali ed etiche. Dati di addestramento incompleti e parziali hanno portato a sistemi di IA che valutano discriminatoriamente i CV, etichettano erroneamente le immagini e identificano in modo errato i sospetti criminali. L’IA solleva anche preoccupazioni relative alla privacy e alla trasparenza, come nel caso in cui le informazioni personali degli utenti vengano estratte da siti pubblici senza la loro conoscenza.
Si applica alla tua azienda?
Il Regolamento si applica ai fornitori di sistemi di IA sul mercato dell’UE, indipendentemente da dove siano stabiliti, e agli utenti di sistemi di IA situati al di fuori dell’UE, se l’output del sistema di IA sarà utilizzato nell’UE. Pertanto, non sono solo le aziende situate nell’UE a dover essere consapevoli delle implicazioni del Regolamento. Ad esempio, se utilizzi uno strumento di reclutamento basato su IA nel Regno Unito per la selezione di personale in tutta l’UE, questo rientrerà nell’ambito di applicazione del Regolamento.
Categorie di rischio
Il Regolamento classifica gli usi dell’IA in diverse categorie di rischio, che aumentano in gravità da “rischio minimo” e “rischio limitato” a “rischio elevato” e “rischio inaccettabile”. I sistemi di IA considerati di “rischio minimo” (che includono la maggior parte dei sistemi di IA attualmente disponibili sul mercato dell’UE) rimarranno non regolamentati. I sistemi di “rischio limitato” saranno soggetti a obblighi leggeri per garantire che gli utenti sappiano e comprendano di stare interagendo con un’IA. Il Regolamento impone regolamenti molto più severi per i sistemi di “rischio elevato” e “rischio inaccettabile”. La sanzione massima per la non conformità è pari al maggiore tra 35 milioni di euro o fino al 7% del fatturato annuale totale dell’azienda per l’anno finanziario precedente.
Sistemi di IA di “rischio elevato”
I sistemi di IA di “rischio elevato” includono quelli utilizzati per categorizzare le persone in base ai loro dati biometrici (ad esempio, IA utilizzata nella videosorveglianza), per l’istruzione e la formazione (ad esempio, IA utilizzata per rilevare comportamenti anomali degli studenti durante gli esami), nell’occupazione (ad esempio, IA utilizzata nelle decisioni HR o durante i processi di assunzione) e per amministrare la giustizia (ad esempio, IA utilizzata nella risoluzione alternativa delle controversie).
Un sistema sarà classificato come ad alto rischio solo se comporta un rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali. Un sistema che esegue solo un compito procedurale ristretto o è destinato a migliorare il risultato di un’attività umana precedentemente completata, ad esempio, sarà considerato non comportante un rischio significativo di danno e cadrà al di fuori della classificazione di alto rischio.
Sistemi di IA di “rischio inaccettabile”
Il Regolamento ha vietato i sistemi di IA di rischio inaccettabile dal 2 febbraio 2025. Ci sono otto sistemi di IA che sono stati banditi sotto il Regolamento per costituire una minaccia significativa nei confronti degli utenti e della società in generale. Questi includono sistemi che comportano la valutazione sociale delle persone (ad esempio, classificare utenti o gruppi di utenti in base a tratti della personalità e comportando un trattamento dannoso o sfavorevole), il riconoscimento delle emozioni nei luoghi di lavoro o nelle istituzioni educative e l’uso di informazioni biometriche per sistemi di categorizzazione che inferiscono attributi sensibili (ad esempio, genere, religione, etnia).
Cosa devono fare i datori di lavoro?
Se la tua azienda, o parte di essa, rientra nell’ambito di applicazione del Regolamento, dovresti intraprendere azioni ora per garantire di adempiere ai tuoi obblighi:
- Audit: Considera di condurre un audit dei sistemi di IA che utilizzi attualmente per verificare se rientrano nelle categorie di “rischio inaccettabile” o “rischio elevato”. Se viene identificato un AI in tali categorie, dovresti eliminarlo o modificarlo immediatamente per evitare le conseguenze della non conformità.
- Politiche: Implementa politiche di governance dell’IA per delineare chiaramente come i dipendenti dovrebbero utilizzare responsabilmente l’IA in conformità con il Regolamento.
- Formazione: Considera di fornire formazione sull’uso dell’IA per aiutare i dipendenti a comprendere le sfide, i rischi e le opportunità presentate dall’IA e il loro ruolo e responsabilità.
- Conformità dei fornitori: Se utilizzi fornitori terzi per i tuoi sistemi di IA (ad esempio, per l’IA nel reclutamento), assicurati che il fornitore di IA rispetti il Regolamento e rivedi i tuoi contratti con i fornitori per garantire che la responsabilità per la non conformità ricada su di loro.
Adottando misure positive ora per garantire la conformità al Regolamento, i datori di lavoro possono mantenere una cultura lavorativa incentrata sulle persone ed evitare multe sostanziali, oltre a ripercussioni reputazionali.
