M&A: la conformità all’AI Act entra nella fase di due diligence
Il 1° agosto 2024 il Regolamento dell’Unione Europea sull’Intelligenza Artificiale (AI Act) è ufficialmente entrato in vigore, con un’implementazione graduale prevista tra il 2025 e il 2026. Dal 2 febbraio 2023 sono in vigore le regole sulle pratiche di intelligenza artificiale insostenibili e sugli obblighi di alfabetizzazione; dal 2 agosto 2023 le regole sui modelli generali di Intelligenza Artificiale (GPAI); e entro il 2 agosto 2024 le regole sull’Intelligenza Artificiale ad Alto Rischio (con un’estensione per alcuni prodotti fino al 2027) saranno operative.
Questo nuovo quadro normativo basato sul rischio trasforma l’IA da tecnologia innovativa a oggetto di regolamentazione precisa, introducendo requisiti di tracciabilità, controllo umano e responsabilità, con multe previste fino a 35 milioni di euro o il 7% del fatturato globale.
Implicazioni e rischi
È stata promulgata in Italia una legge in linea con l’AI Act, che rafforza i principi di umanità, trasparenza e sicurezza, con particolare attenzione ai settori critici. La legge impone la tracciabilità delle decisioni algoritmiche, il controllo umano e una maggiore protezione dei minori, oltre a obblighi informativi specifici e alla criminalizzazione di pratiche illegali come i deepfake.
Da un anno l’intelligenza artificiale è diventata un fattore regolamentato di grande rilevanza nelle transazioni straordinarie, oggetto di valutazione nell’analisi dei contratti e dei rischi durante la due diligence. L’evoluzione è da una due diligence tecnologica a una due diligence sul rischio IA: non basta più verificare se l’obiettivo utilizza sistemi di IA, ma è necessario mappare i loro tipi, scopi, il ruolo dell’azienda (fornitore, integratore o utente), la catena di fornitura tecnologica, i modelli e i set di dati utilizzati, i diritti di utilizzo e le dipendenze da terzi.
Nuove bandiere rosse
In questo nuovo contesto normativo emergono nuove bandiere rosse: l’uso di sistemi IA in decisioni critiche senza un adeguato livello di governance e controllo umano; set di dati storici poco documentati in termini di provenienza, licenze e qualità; dipendenza critica da fornitori terzi senza adeguate garanzie contrattuali; e l’assenza di procedure per il monitoraggio e la gestione degli incidenti legati all’IA. Questi problemi critici comportano rischi legali, reputazionali e operativi, influenzando la valutazione degli asset, con possibili sconti di prezzo o l’abbandono totale di un’operazione.
La due diligence sull’IA, inclusi audit dei dati di addestramento, verifica dei consensi, delle licenze e analisi del codice e della documentazione, è ora indispensabile e non può essere rinviata alla fase post-chiusura.
Conclusione
Il lato contrattuale si sta adattando di conseguenza e, oltre alle tradizionali rappresentazioni e garanzie, si aggiungono clausole specifiche quali la corretta classificazione e conformità dei sistemi ai sensi dell’AI Act; la proprietà dei diritti su dati e tecnologie utilizzati; eventuali dipendenze nascoste nella catena di fornitura; e l’assenza di violazioni normative. In presenza di lacune di conformità, si utilizzano covenant di rimedio, condizioni sospensive, aggiustamenti di prezzo o indennità specifiche per allocare il rischio normativo, nonché vincoli di governance pre-chiusura per preservare conformità e valore della transazione.
In conclusione, la conformità all’IA assume il ruolo di leva di valore: riduce sconti e penali, accelera le trattative, aumenta l’attrattiva per gli investitori e migliora la fiducia nel mercato.
