AI Sigil Logo
Contact Us
Back to all insights
A broken chain link symbolizing the fight against discrimination

Sections

Governance dell’IA nell’era della regolamentazione: Prepararsi per l’AI Act

I sistemi di intelligenza artificiale stanno trasformando rapidamente i settori industriali, promettendo maggiore efficienza e soluzioni innovative. Tuttavia, l’adozione diffusa dell’IA comporta anche sfide significative, in particolare per quanto riguarda le considerazioni etiche, la privacy dei dati e i potenziali impatti sociali. Stanno emergendo nuove normative per affrontare direttamente queste preoccupazioni, costringendo le organizzazioni ad adattarsi e a garantire che le loro pratiche di IA siano responsabili e conformi. Questa indagine approfondisce l’intricata rete della governance dell’IA, offrendo spunti cruciali per le aziende che si sforzano di sfruttare la potenza dell’IA mitigando al contempo i suoi rischi intrinseci ed esplorando l’impatto e i cambiamenti sulla funzione di audit.

Qual è l’obiettivo principale della legislazione sull’AI Act?

L’obiettivo primario dell’AI Act dell’UE è quello di salvaguardare i diritti fondamentali e i dati personali nel contesto dell’intelligenza artificiale. Allo stesso tempo, la legislazione mira a promuovere l’innovazione e a favorire la fiducia nelle tecnologie di IA in tutta l’Unione Europea.

Principali preoccupazioni normative affrontate dall’AI Act:

  • Considerazioni Etiche: Garantire che i sistemi di IA siano sviluppati e utilizzati in modo non discriminatorio, promuovendo l’uguaglianza e incoraggiando la diversità culturale.
  • Gestione del Rischio: Classificare i sistemi di IA in base al loro livello di rischio, con obblighi e requisiti che aumentano di conseguenza. Si va dai sistemi a rischio minimo senza requisiti specifici ai sistemi a rischio inaccettabile che sono proibiti.
  • Trasparenza: Richiedere trasparenza nell’uso dell’IA, in particolare per i sistemi che generano contenuti sintetici o interagiscono con gli individui.

Implicazioni Pratiche per le Organizzazioni:

  • Progetti di Conformità: Considerare la conformità all’AI Act come un progetto simile ad altri in termini di valutazione del rischio, audit dei processi e valutazione della governance.
  • Alfabetizzazione sull’IA: Garantire un livello sufficiente di comprensione dell’IA tra il personale che si occupa di sistemi di IA.
  • Inventario e Classificazione: Mantenere un inventario aggiornato dei sistemi di IA, classificati in base alle categorie di rischio dell’AI Act.
  • Consapevolezza del Ruolo: Comprendere il ruolo dell’organizzazione nella catena del valore dell’IA (ad es. fornitore, utilizzatore, distributore), poiché i requisiti variano in base a questo ruolo. Un utilizzatore può, attraverso modifiche di un sistema di IA, diventare un fornitore, il che innesca requisiti diversi in base a questo nuovo ruolo.

Come possono le organizzazioni prepararsi per soddisfare i requisiti di conformità ai sensi dell’AI Act?

L’AI Act dell’UE, ora in vigore, presenta un approccio a più livelli basato sul rischio che ha un impatto sulle organizzazioni che distribuiscono sistemi di IA all’interno del mercato europeo. Le aziende devono prepararsi in modo proattivo per un’implementazione graduale, adeguando le strategie in base al loro ruolo specifico nella catena del valore dell’IA e al livello di rischio associato ai loro sistemi di IA.

Passaggi chiave per la preparazione

Le organizzazioni possono affrontare la conformità all’AI Act come un progetto di conformità standard, concentrandosi sul processo e sulla governance. Ecco una roadmap:

  • Alfabetizzazione IA: assicurarsi che il personale che interagisce con i sistemi di IA possieda una comprensione adeguata.
  • Inventario IA: compilare un elenco completo di tutti i sistemi di IA utilizzati all’interno dell’organizzazione e delle sue filiali.
  • Classificazione del rischio: classificare i sistemi di IA in base alle categorie di rischio dell’AI Act, comprendendo che si tratta di definizioni giuridiche.
  • Sistemi proibiti: cessare immediatamente l’uso di sistemi di IA ritenuti rappresentare un “rischio inaccettabile”. Rimuovere tali sistemi di IA dal mercato dell’UE.
  • Implementazione delle politiche: stabilire politiche solide per valutare correttamente i futuri sistemi di IA.

Navigare nelle tempistiche

L’implementazione dell’AI Act prevede scadenze scaglionate, ognuna delle quali introduce specifici obblighi di conformità. Ecco un riepilogo semplificato per i revisori interni per guidare la preparazione della loro organizzazione:

  • 2 febbraio 2025: Iniziano le restrizioni sui sistemi di IA proibiti. I responsabili della distribuzione devono cessarne l’uso e i fornitori devono rimuoverli dal mercato dell’UE
  • 2 agosto 2025: Entrano in vigore le normative relative ai modelli di IA per scopi generali (GPAI) e alla governance/applicazione pubblica. I fornitori di GPAI con rischio sistemico devono notificare alla Commissione e attuare politiche di conformità. Sia i fornitori che i responsabili della distribuzione necessitano di meccanismi di trasparenza adeguati.
  • 2 agosto 2026: Si applica la maggior parte dell’AI Act (eccetto l’articolo 6, paragrafo 1). I fornitori e i responsabili della distribuzione devono stabilire sistemi di valutazione del rischio, gestione del rischio e responsabilità per i modelli ad alto rischio e mettere in atto politiche di trasparenza per i sistemi di IA a rischio limitato.
  • 2 agosto 2027: Si applica l’articolo 6, paragrafo 1. Le misure GPAI stabilite nel 2025 si estendono a tutti i sistemi. I fornitori di prodotti con componenti di IA (ai sensi del capitolo 6, paragrafo 1) devono garantire la conformità agli obblighi per l’IA ad alto rischio.

Obblighi basati sul rischio e sul ruolo

I requisiti di conformità variano in base alla categoria di rischio del sistema di IA e al ruolo dell’organizzazione all’interno della catena del valore dell’IA. I ruoli chiave includono fornitore, responsabile della distribuzione, distributore, importatore e rappresentante autorizzato.

I revisori interni devono valutare la conformità lungo l’intera catena del valore ed essere particolarmente vigili nei confronti dei cambiamenti di ruolo. Un responsabile della distribuzione potrebbe diventare un fornitore se modifica in modo significativo un sistema di IA o lo commercializza con il proprio marchio, innescando così obblighi di conformità più severi.

Trasparenza e documentazione

I fornitori e i responsabili della distribuzione di sistemi GPAI devono contrassegnare chiaramente i contenuti generati dall’IA (ad esempio, immagini, deepfake, testo) con indicatori leggibili dalla macchina. Devono inoltre fornire informazioni ai responsabili della distribuzione con le capacità e le limitazioni del modello e condividere pubblicamente un riepilogo dei contenuti utilizzati per la formazione.

La documentazione tecnica del modello, del suo processo di addestramento e test e dei risultati della sua valutazione deve essere redatta e tenuta aggiornata.

Quali sono gli obblighi e i requisiti chiave per i soggetti ai sensi dell’AI Act?

L’AI Act dell’UE introduce un approccio graduale alla regolamentazione dell’IA, classificando i sistemi in base ai livelli di rischio: inaccettabile, alto, limitato e minimo. Gli obblighi per le organizzazioni variano in modo significativo in base a questa classificazione e al loro ruolo nella catena del valore dell’IA come fornitori (coloro che sviluppano e immettono sistemi di IA sul mercato), utilizzatori (coloro che utilizzano i sistemi di IA) o altri ruoli come importatori e distributori.

Obblighi chiave in base al rischio

  • Sistemi di IA a rischio inaccettabile: sono vietati del tutto. Gli esempi includono i sistemi di IA che manipolano il comportamento umano per causare danni, o quelli coinvolti nel social scoring o nell’identificazione biometrica in spazi pubblici.
  • Sistemi di IA ad alto rischio: questi sistemi devono affrontare i requisiti più stringenti. Questa categoria comprende l’IA utilizzata nelle infrastrutture critiche, nell’istruzione, nell’occupazione, nell’applicazione della legge e nei servizi essenziali come le assicurazioni e il credit scoring. Gli obblighi principali includono:
    • Stabilire e mantenere un sistema di gestione dei rischi durante tutto il ciclo di vita del sistema di IA.
    • Rispettare rigorosi standard di governance dei dati, garantendo la qualità e riducendo al minimo la distorsione nei set di dati di formazione, convalida e test.
    • Sviluppare una documentazione tecnica completa prima della distribuzione.
    • Mantenere registri dettagliati (log) per la tracciabilità.
    • Fornire ai distributori informazioni trasparenti per comprendere e utilizzare in modo appropriato l’output dell’IA.
    • Implementare meccanismi di supervisione umana.
    • Garantire accuratezza, robustezza e sicurezza informatica.
    • Stabilire un sistema di gestione della qualità per garantire la conformità continua.
    • Cooperare con le autorità e dimostrare la conformità su richiesta.
    • Eseguire una valutazione della conformità ed elaborare una dichiarazione di conformità UE.
    • Apporre il marchio CE per dimostrare la conformità, che deve essere registrata nella banca dati dell’UE prima dell’immissione sul mercato.
    • Eseguire una valutazione dell’impatto sui diritti fondamentali.
    • Designare persone responsabili e formate per garantire un uso corretto della supervisione, della competenza e dell’autorità.
    • Eseguire il monitoraggio post-commercializzazione utilizzando un piano documentato.
    • Segnalare incidenti gravi alle autorità di vigilanza.
  • Sistemi di IA a rischio limitato: sono soggetti a requisiti di trasparenza. Gli utenti devono essere informati che stanno interagendo con un sistema di IA, soprattutto per i contenuti generati dall’IA. Questo vale per i sistemi di IA che generano contenuti audio, immagini, video o di testo sintetici.
  • Sistemi di IA a rischio minimo: non sono delineati requisiti specifici per i sistemi di IA che presentano un rischio minimo.

Modelli di IA per scopi generali (GPAI)

L’AI Act affronta anche i modelli di IA per scopi generali (GPAI), che sono addestrati su grandi set di dati e possono eseguire un’ampia gamma di attività. I fornitori di GPAI devono ottemperare agli obblighi di trasparenza e rispettare le leggi sul copyright. I modelli GPAI sono classificati al momento del calcolo e soddisfano i requisiti stabiliti nell’art. 42a dell’AI Act.

Obblighi per ruolo

I fornitori (sia all’interno che all’esterno dell’UE) si fanno carico del peso maggiore dell’onere della conformità. Sono responsabili di garantire che i loro sistemi di IA soddisfino tutti i requisiti pertinenti prima di essere immessi sul mercato dell’UE. Quelli non stabiliti nell’UE devono designare un rappresentante autorizzato all’interno dell’UE.

Gli utilizzatori devono utilizzare i sistemi di IA in modo responsabile e in conformità con le istruzioni del fornitore. Ciò include l’assegnazione della supervisione umana, la garanzia della competenza del personale e il monitoraggio del funzionamento del sistema di IA.

Cronoprogramma di implementazione

L’AI Act sarà implementato in fasi. Le seguenti pietre miliari sono le più importanti:

  • 2 febbraio 2025: si applicano i regolamenti sui sistemi di IA proibiti.
  • 2 agosto 2025: entrano in vigore i regolamenti che si applicano ai modelli GPAI e agli enti pubblici che fanno rispettare l’AI Act.
  • 2 agosto 2026: si applicano la maggior parte delle disposizioni dell’AI Act, ad eccezione dell’articolo 6, paragrafo 1.
  • 2 agosto 2027: si applica l’articolo 6, paragrafo 1, che disciplina la classificazione dei prodotti con componenti di sicurezza dell’IA come ad alto rischio.

Le organizzazioni devono anche considerare come l’AI Act interagisce con la legislazione UE esistente e futura, come DORA e CSRD/CSDDD, in particolare per quanto riguarda i rischi di terze parti, gli impatti ambientali e i problemi di sicurezza informatica.

Come cambiano gli obblighi e i requisiti in base alla categoria di rischio di un sistema di IA?

Come giornalista tecnologico che si occupa di governance dell’IA, sono stato immerso nell’AI Act dell’UE. Ecco una sintesi di come gli obblighi cambiano a seconda del livello di rischio di un sistema di IA, secondo l’AI Act:

Livelli Basati sul Rischio

L’AI Act impiega un approccio basato sul rischio, il che significa che l’onere normativo aumenta con il potenziale danno che un sistema di IA potrebbe causare. Ecco come funziona:

  • Rischio Inaccettabile: Questi sistemi di IA sono vietati del tutto. Si pensi all’IA che manipola le persone per causare danni, consente pratiche discriminatorie o crea database di riconoscimento facciale. L’elenco è nell’articolo 5, quindi controllatelo!
  • Alto Rischio: Questa categoria è soggetta ai requisiti più severi. Questi sistemi hanno un potenziale per causare danni significativi, in aree come infrastrutture critiche, istruzione, occupazione, forze dell’ordine, decisioni relative alle assicurazioni, ecc.

    I sistemi ad alto rischio necessitano di:

    • Un sistema di gestione del rischio.
    • Governance dei dati e controlli di qualità.
    • Documentazione tecnica.
    • Conservazione dei registri (log).
    • Trasparenza e informazioni chiare per i deployer.
    • Meccanismi di supervisione umana.
    • Standard di accuratezza, robustezza e cybersecurity.
    • Un sistema di gestione della qualità.
    • Conservare la documentazione per almeno 10 anni
    • Cooperazione con le autorità competenti.
    • Una dichiarazione di conformità UE.
    • Marchio CE.
    • Valutazione di conformità pre-commercializzazione.
    • Registrazione nel database UE.
    • Monitoraggio post-commercializzazione.
    • Segnalazione di incidenti gravi.
    • Valutazione dell’impatto sui diritti fondamentali.
  • Rischio Limitato: Per i sistemi di IA come i chatbot, l’attenzione principale è sulla trasparenza. Gli utenti dovrebbero sapere di interagire con un’IA. Per contenuti come audio, immagini, video o testo sintetici, i fornitori devono anche fornire un contrassegno leggibile dalla macchina che indichi che è stato generato artificialmente.
  • Rischio Minimo: Ciò include cose come videogiochi abilitati all’IA o filtri antispam. Non ci sono requisiti specifici ai sensi dell’AI Act.

IA per Scopi Generali (GPAI)

L’AI Act affronta anche i modelli GPAI. I requisiti di trasparenza sono definiti per fornitori e deployer, e i modelli GPAI con rischio sistemico sono soggetti a un esame ancora più approfondito.
Un modello GPAI è considerato un rischio sistemico quando la quantità di calcolo utilizzata per la sua formazione è superiore a 10 25 FLOP.

Punti Chiave per la Conformità

Per i professionisti del legal-tech che consigliano i clienti, o per i responsabili della conformità all’interno delle organizzazioni:

  • La Classificazione è Fondamentale: Capire come l’AI Act classifica i sistemi e condurre valutazioni del rischio approfondite. Il metodo di classificazione del rischio è prescritto all’interno dell’AI Act.
  • La Documentazione è Cruciale: Mantenere registri dettagliati dei vostri sistemi di IA, delle loro valutazioni del rischio e delle misure che state prendendo per conformarvi.
  • La Trasparenza Costruisce Fiducia: Essere trasparenti con gli utenti su quando interagiscono con l’IA.
  • Rimanere Aggiornati: L’AI Act è complesso e le interpretazioni si evolveranno. Monitorare continuamente le linee guida della Commissione Europea e di altri organismi di regolamentazione.

Quali sono le distinzioni tra i vari ruoli definiti dall’AI Act e le loro corrispondenti responsabilità?

L’AI Act definisce diversi ruoli chiave nella catena del valore dell’IA, ciascuno con responsabilità distinte. Comprendere questi ruoli è fondamentale per la conformità e la gestione del rischio. Questi ruoli possono anche cambiare nel tempo, portando a nuovi obblighi per l’organizzazione.

Ruoli chiave e responsabilità

  • Fornitore (UE): Sviluppa sistemi di IA o modelli di IA per scopi generali e li immette sul mercato dell’UE. Si assume l’onere di conformità più ampio ai sensi dell’AI Act.
  • Fornitore (extra UE): Se situato al di fuori dell’UE, può utilizzare un importatore o un distributore per immettere il modello di IA sul mercato dell’UE.
  • Utilizzatore: Utilizza il sistema di IA, ad esempio fornendolo ai dipendenti o mettendolo a disposizione dei clienti. I loro obblighi sono inferiori, ma includono la garanzia di un uso corretto e il rispetto delle linee guida del fornitore.
  • Rappresentante autorizzato: Una persona all’interno dell’UE, incaricata dal fornitore, di agire per suo conto, fungendo da intermediario tra i fornitori di IA extra UE e le autorità/consumatori europei.
  • Distributore: Aiuta a immettere il modello di IA sul mercato dell’UE.
  • Importatore: Utilizzato dai fornitori per immettere il modello di IA sul mercato dell’UE.

Gli auditor interni devono determinare il ruolo che la loro azienda svolge per ciascun sistema di IA ed essere consapevoli che questi ruoli possono evolvere. Un utilizzatore può diventare un fornitore apportando modifiche significative al sistema di IA o rinominandolo, innescando nuovi requisiti di conformità.

È inoltre importante considerare l’intera catena del valore quando si valuta il processo di IA; gli auditor devono considerare i rischi dell’intera catena del valore.

Qual è la cronologia di implementazione delle normative all’interno dell’AI Act?

Le normative dell’AI Act saranno implementate in fasi. Ecco una ripartizione delle date chiave da segnare sul tuo calendario di conformità:

  • 1° agosto 2024: L’AI Act è entrato ufficialmente in vigore. Consideralo come il colpo di pistola—è ora di mettere in moto la tua strategia di governance dell’IA.
  • 2 febbraio 2025: Iniziano ad applicarsi le normative relative ai sistemi di IA vietati. Ciò significa che qualsiasi IA considerata un “rischio inaccettabile” (che viola i diritti e i valori fondamentali dell’UE) è vietata. È tempo di controllare i tuoi sistemi e garantire la conformità.
  • 2 agosto 2025: Entrano in vigore le normative per i modelli di IA per scopi generali (GPAI) e la governance/applicazione pubblica della legge. Se stai lavorando con grandi modelli di IA, aspettati un maggiore controllo e requisiti di conformità.
  • 2 agosto 2026: Quasi tutte le restanti parti dell’AI Act entrano in vigore, escluso l’articolo 6(1). Ciò comprende la maggior parte delle valutazioni dei rischi, della gestione e delle politiche di responsabilità che la tua organizzazione deve mettere in atto per i modelli di IA ad alto rischio. Ora è il momento di applicare il regolamento sull’IA e di mettere in atto politiche di trasparenza per i sistemi di IA a rischio limitato.
  • 2 agosto 2027: L’articolo 6(1) inizia ad applicarsi. Questo disciplina la classificazione dei prodotti con componenti di sicurezza dell’IA come ad alto rischio. Inoltre, le misure GPAI del 2025 sono ora applicate a tutti i sistemi pertinenti.
  • Nota: I fornitori di modelli GPAI già in uso prima di agosto 2025 devono essere conformi all’AI Act entro/a partire da agosto 2025.

Cosa deve considerare l’Internal Audit nella valutazione del processo di IA?

Gli internal auditor si trovano ora di fronte alla sfida e all’opportunità di valutare i sistemi di IA all’interno delle loro organizzazioni, in particolare alla luce dell’AI Act dell’UE. Non si tratta più solo dei tradizionali rischi finanziari, ma anche di conformità, etica e impatto sociale.

Considerazioni chiave per gli Internal Auditor:

  • Comprensione del panorama dell’IA: Gli auditor devono sviluppare una solida comprensione delle tecnologie di IA. Ciò include i diversi livelli di autonomia nei sistemi di IA, le loro capacità di generare output e come influenzano i diversi ambienti. Sollecitare l’organizzazione su come definisce l’IA e garantisce la coerenza tra tutte le unità aziendali.
  • Categorizzazione del rischio: Concentrarsi su come l’organizzazione classifica i sistemi di IA in base alle categorie di rischio dell’AI Act (inaccettabile, alto, limitato, minimo e IA per scopi generali). Comprendere che queste categorie rappresentano definizioni legali, non solo valutazioni interne del rischio, è fondamentale.
  • Ruoli e responsabilità: Riconoscere i diversi ruoli all’interno della catena del valore dell’IA (fornitore, implementatore, distributore, importatore, ecc.) e i relativi obblighi ai sensi dell’AI Act. Determinare in che modo il ruolo dell’organizzazione per ciascun sistema di IA influisce sui requisiti di conformità. Tenere presente che questi ruoli possono cambiare nel tempo, innescando nuovi obblighi.
  • Conformità come progetto: Trattare la conformità all’AI Act come un progetto con fasi e milestones definite per garantire che l’organizzazione si stia preparando in modo ordinato. Adattare i requisiti di alto livello al contesto specifico dell’organizzazione.
  • Gestione del rischio e responsabilità: Garantire che siano stabiliti sistemi di valutazione del rischio, gestione del rischio e responsabilità per i modelli di IA ad alto rischio. Esaminare attentamente le pratiche di governance dei dati per i dataset di addestramento, convalida e test, con un occhio di riguardo alla qualità dei dati e alla minimizzazione dei bias.
  • Trasparenza e supervisione: Valutare le politiche di trasparenza per i sistemi di IA a rischio limitato e le garanzie sulla supervisione umana. Accertarsi che i fornitori di sistemi GPAI con rischio sistemico notifichino alla commissione e dispongano di politiche di conformità appropriate. Sondare i meccanismi di trasparenza per implementatori e fornitori.

Inoltre, ecco una cronologia che l’Internal Audit dovrebbe tenere a mente:

  • 2 feb 2025 Assicurarsi che sia disponibile materiale di formazione adeguato sull’AI Literacy per il personale, che esista un inventario dei sistemi di IA, che questi siano stati classificati in base al rischio, che i sistemi di IA con rischio inaccettabile siano stati vietati e che vi siano politiche in atto per garantire che i futuri sistemi di IA siano valutati in modo appropriato.
  • 2 ago 2025 Verificare i protocolli di trasparenza dei modelli GPAI. Assicurarsi che l’organizzazione sappia con quali organismi di regolamentazione e supervisione interagirà. I fornitori di modelli GPAI con rischio sistemico devono notificare alla commissione.
  • 2 ago 2026 Verificare le politiche per un’adeguata gestione del rischio, valutazione del rischio e sistemi di responsabilità per i modelli ad alto rischio, nonché valutare le politiche per la trasparenza.
  • 2 ago 2027 Assicurarsi che le misure GPAI pronte dal 2025 siano ora applicate a tutti i sistemi. I fornitori di prodotti con componenti di IA devono garantire che i loro prodotti siano conformi agli obblighi dell’IA ad alto rischio.

Quali azioni specifiche devono essere intraprese dalle organizzazioni riguardo all’IA?

Man mano che i sistemi di IA diventano più diffusi, le organizzazioni si trovano ad affrontare un crescente controllo normativo, in particolare con l’applicazione dell’AI Act dell’UE. Le azioni specifiche richieste dipenderanno dal loro ruolo (fornitore, utilizzatore, ecc.) e dalla classificazione di rischio dei loro sistemi di IA.

Aree di Azione Chiave:

  • Stabilire l’Alfabetizzazione sull’IA:

    Le aziende devono garantire che il personale che si occupa dei sistemi di IA possieda un livello sufficiente di alfabetizzazione sull’IA per comprendere e gestire i rischi associati e garantire la conformità.

  • Mantenere un Registro dell’IA:

    Le aziende dovrebbero creare e mantenere un inventario completo di tutti i sistemi di IA utilizzati all’interno dell’organizzazione e delle sue filiali, classificandoli in base alle classificazioni di rischio dell’AI Act (inaccettabile, alto, limitato, minimo, GPAI).

  • Eseguire Valutazioni del Rischio dell’IA:

    Condurre valutazioni approfondite del rischio su tutti i sistemi di IA, aderendo al metodo di classificazione del rischio prescritto dall’AI Act, non solo all’analisi del rischio tradizionale.

  • Implementare Sistemi di Gestione del Rischio (IA ad Alto Rischio):

    Per i sistemi di IA ad alto rischio, stabilire, documentare, mantenere e implementare un sistema di gestione del rischio per gestire i rischi ragionevolmente prevedibili durante l’intero ciclo di vita del sistema.

  • Garantire Dati e Governance dei Dati (IA ad Alto Rischio):

    Implementare solide pratiche di governance dei dati per set di dati di addestramento, convalida e test, concentrandosi sulla qualità dei dati e sulla mitigazione dei pregiudizi.

  • Preparare la Documentazione Tecnica (IA ad Alto Rischio):

    Redigere una documentazione tecnica esaustiva prima che il sistema venga messo in servizio, come indicato nell’appendice dell’AI Act.

  • Implementare la Conservazione dei Registri (IA ad Alto Rischio):

    Mantenere registri dettagliati degli eventi (log) per garantire la tracciabilità del funzionamento del sistema di IA.

  • Garantire Trasparenza e Fornitura di Informazioni (IA ad Alto Rischio):

    Fornire agli utilizzatori informazioni trasparenti e comprensibili sull’utilizzo dell’output dell’IA.

  • Implementare il Monitoraggio Post-Commercializzazione (IA ad Alto Rischio):

    Implementare un piano che raccolga dati rilevanti sulle prestazioni del sistema di IA per tutta la sua durata.

  • Stabilire la Supervisione Umana (IA ad Alto Rischio):

    Progettare sistemi di IA con disposizioni per un’efficace supervisione umana da parte di persone fisiche.

  • Rispettare le Leggi sul Copyright:

    Le leggi sul copyright devono essere rispettate in conformità con i requisiti del GDPR.

  • Garantire Accuratezza, Robustezza e Cybersicurezza (IA ad Alto Rischio):

    Garantire elevati standard di accuratezza, robustezza e cybersicurezza per prestazioni coerenti del sistema di IA.

  • Implementare un Sistema di Gestione della Qualità (IA ad Alto Rischio):

    Implementare un SGQ per garantire la conformità all’AI Act.

  • Trasparenza per l’IA a Rischio Limitato:

    Informare gli utenti finali che stanno interagendo con un sistema di IA.

  • Contrassegnare i Contenuti Generati dall’IA:

    Fornitori e Utilizzatori devono contrassegnare i contenuti IA per esempi di immagini e video

Le aziende devono garantire la conformità all’AI Act attraverso controlli interni o valutazioni del sistema di gestione della qualità, potenzialmente coinvolgendo organismi notificati. I fornitori devono creare una dichiarazione di conformità UE e apporre la marcatura CE. Anche gli utilizzatori hanno delle responsabilità, tra cui garantire un utilizzo responsabile dell’IA con la necessaria formazione, competenza e autorità.

Inoltre, se i fornitori hanno motivi per sospettare una non conformità all’AI Act, devono intraprendere azioni correttive.

Qual è lo scopo principale del questionario e dell’indagine?

Il questionario e l’indagine descritti in dettaglio in questo documento servono a uno scopo specifico e critico: valutare il panorama dell’adozione dell’IA e delle pratiche di audit all’interno delle aziende, in particolare nel contesto dell’AI Act dell’UE. Queste informazioni sono fondamentali per capire quanto le organizzazioni siano preparate ai requisiti dell’AI Act e per identificare potenziali lacune nei loro quadri di governance dell’IA.

L’indagine mira a:

  • Comprendere l’applicazione dell’AI Act all’interno delle organizzazioni.
  • Valutare l’attuale utilizzo dell’IA in vari processi aziendali.
  • Valutare gli attuali approcci di audit interno verso i sistemi di IA.

Dettagli dell’indagine e profilo dei partecipanti

L’indagine ha incluso risposte da oltre 40 aziende, con una parte significativa (39%) operante nel settore finanziario (banche, assicurazioni) e una vasta maggioranza (70%) con operazioni esclusivamente o anche in Europa. Dato che il 70% delle aziende che hanno risposto aveva piccoli team di audit interno (meno di 10 FTE), con quasi la metà di queste aziende priva di auditor IT specializzati, si pone una chiara enfasi sulla maggiore necessità di rafforzare le capacità IT all’interno delle suddette funzioni di audit interno.

Principali risultati attuabili

  • L’adozione dell’IA è diffusa: un sostanziale 57% delle aziende ha già implementato o sta attivamente implementando sistemi di IA.
  • Divario di alfabetizzazione sull’IA: mentre la maggioranza (85%) degli intervistati ha una buona o discreta comprensione dell’IA, una percentuale inferiore (71%) comprende specificamente l’audit dell’IA e solo il 56% riflette una visione chiara dell’AI Act dell’UE, il che implica una necessità generale di una formazione più approfondita sull’AI Act dell’UE in modo che i reparti di audit possano svolgere efficacemente i processi di assurance dell’IA.
  • Sforzi di conformità in corso: Il 60% delle aziende interessate dall’AI Act sta avviando progetti per garantire la conformità ai nuovi requisiti normativi.
  • Basso utilizzo dell’IA nell’audit interno: la maggioranza (72%) dei reparti di audit interno non sta utilizzando attivamente sistemi di IA nei propri processi di audit. Quando l’IA viene utilizzata, è principalmente per la valutazione del rischio (33%).
  • Adozione dell’IA generativa: il 64% delle aziende sta utilizzando o implementando sistemi di IA generativa e il 44% ha regolamenti interni che ne disciplinano lo sviluppo e l’utilizzo.

Questi dati evidenziano la necessità per le organizzazioni di migliorare i propri sforzi di conformità, fornire un’adeguata formazione sull’AI Act e considerare l’integrazione dell’IA nei propri processi di audit interno. Per gli auditor interni, l’indagine sottolinea l’importanza di sviluppare framework per valutare e controllare l’uso dell’IA all’interno delle loro organizzazioni, offrire vantaggi e ridurre efficacemente i rischi.

Quali sono le principali scoperte riguardanti l’adozione dell’IA aziendale in base ai risultati del sondaggio?

Un recente sondaggio fa luce sullo stato attuale dell’adozione dell’IA all’interno delle aziende, in particolare nel contesto dell’EU AI Act. I risultati rivelano un utilizzo pervasivo dell’IA, ma evidenziano anche aree di preoccupazione riguardanti la preparazione alla conformità e le capacità di audit interno.

Tassi di adozione dell’IA e aree di interesse

  • Adozione diffusa: Circa il 57% delle aziende intervistate ha già implementato sistemi di IA (39%) o ha progetti di implementazione in corso (18%).
  • Necessaria consapevolezza sull’AI Act: Sebbene la maggioranza siano società finanziarie che operano in Europa e quindi soggette all’AI Act (60%), la comprensione dei requisiti dell’EU AI Act rimane bassa (56%). Ciò presenta la necessità di iniziative di formazione dedicate all’interno delle organizzazioni.
  • Slancio dell’IA generativa: C’è un notevole interesse per l’IA generativa, con il 64% delle aziende intervistate che utilizzano o implementano questi sistemi. Circa il 44% di queste aziende ha installato regolamenti interni che si occupano della tecnologia.
  • Supporto ai processi: Sia i sistemi di IA standard che quelli generativi vengono implementati principalmente per supportare:
    • Servizio clienti, vendite e marketing.
    • Business Intelligence e Analytics, Finanza e contabilità.
    • IT e Cybersecurity (più prominente con l’IA generativa).

Principali preoccupazioni in materia di conformità e regolamentazione

  • Lacune di standardizzazione: Una parte significativa delle aziende (72%) non sfrutta l’IA per audit interni o attività.
  • Preparazione all’audit interno: Solo il 28% ha definito un’architettura tecnologica standard per i sistemi di IA esistenti. Inoltre, il 44% ha implementato una struttura normativa interna per supervisionare l’uso, ma l’85% ha riportato una comprensione buona o discreta dell’IA. Ma nel complesso, solo il 56% degli intervistati ha dichiarato una comprensione da buona a discreta dell’AI Act. Questo rivela potenziali sfide nell’audit dei sistemi di IA senza una struttura solida per la conformità.

Implicazioni pratiche per i responsabili della conformità

  • Imperativo di riqualificazione: Sembra esserci una necessità costante di pianificare e implementare attività di formazione dedicate all’IA per la legislazione europea sull’IA. Ciò è necessario per promuovere un uso responsabile e competente.
  • Potenziamento dell’audit interno: Le competenze degli auditor interni per l’audit dell’IA vengono migliorate attraverso la formazione interna o esterna. Tuttavia, è importante migliorare tali competenze per continuare a conformarsi correttamente alle normative.

Quali sono le principali intuizioni del sondaggio sul ruolo dell’Internal Audit con l’IA?

Un recente sondaggio fa luce sullo stato attuale e sulla direzione futura del coinvolgimento dell’Internal Audit con l’IA, in particolare nel contesto dell’AI Act dell’UE. I risultati rivelano sia opportunità che sfide per i revisori mentre navigano in questo panorama in evoluzione.

Adozione e comprensione dell’IA:

Le principali intuizioni includono:

  • Uso limitato dell’IA nell’auditing: Una maggioranza significativa (72%) dei dipartimenti di Internal Audit attualmente non sfrutta i sistemi di IA per le proprie attività di audit.
  • Casi d’uso specifici: Tra coloro che utilizzano l’IA, la valutazione del rischio è l’attività principale supportata (33%).
  • Comprensione dei concetti di IA: Mentre la maggior parte degli intervistati riferisce una comprensione buona o discreta dei concetti generali di IA (85%) e dell’auditing dei sistemi di IA (71%), la comprensione dell’AI Act dell’UE in particolare è inferiore (56%). Ciò segnala una necessità cruciale di formazione mirata.

Affrontare il divario di competenze:

Il sondaggio sottolinea la necessità di competenze avanzate all’interno dei dipartimenti di audit:

  • Sviluppo delle competenze: I dipartimenti di audit affrontano principalmente le competenze di auditing dell’IA attraverso la formazione interna/esterna (57%) e la condivisione delle conoscenze (29%), con assunzioni dedicate limitate (14%).
  • Piccoli team di audit: Un numero considerevole di intervistati (70%) indica che la propria funzione di internal audit comprende meno di 10 dipendenti a tempo pieno (FTE). Quasi la metà (48%) non dispone di revisori IT specializzati. Insieme alla tecnologia in rapida evoluzione, questi dati evidenziano la necessità di rafforzare i team di internal audit con competenze IT.

L’AI AI Act dell’UE e la conformità:

La ricerca rivela intuizioni fondamentali sull’Atto, sui piani di conformità e sul ruolo dell’Internal Audit:

  • Applicabilità dell’Atto: Il 60% delle aziende riconosce che sarà soggetto al nuovo AI Act.
  • Progetti di conformità: Poco più della metà (53%) delle aziende interessate ha avviato o prevede di avviare un progetto di conformità per aderire alle nuove normative.

Approfondimenti sull’IA generativa:

Approfondimenti specifici sull’uso dell’IA generativa includono:

  • Statistiche di adozione: Il 64% delle aziende utilizza o prevede di implementare sistemi di IA generativa.
  • Regolamenti interni: Il 44% degli intervistati dispone di regolamenti interni specifici per l’IA generativa.
  • Processi supportati: L’applicazione più frequente dell’IA e della GenAI è nel servizio clienti, nelle vendite, nel marketing e nella business intelligence, nell’analisi, nella finanza e nella contabilità.

Questi risultati sottolineano la necessità per le funzioni di Internal Audit di sviluppare in modo proattivo framework di audit dell’IA e aumentare la loro comprensione dell’AI Act. Mentre le organizzazioni corrono per adottare l’IA, i revisori svolgono un ruolo fondamentale nel garantire un uso responsabile dell’IA e la conformità.

L’arrivo dell’AI Act segna un cambiamento significativo nel panorama, richiedendo alle organizzazioni di far evolvere il loro approccio alla governance e alla conformità. Mentre molte aziende stanno già abbracciando l’IA, una chiara comprensione delle sfumature dell’Atto, in particolare nell’ambito normativo, rimane una sfida. È fondamentale che le aziende investano tempo e risorse nella conformità, riconoscendo che il futuro successo dell’IA dipende da una base di considerazioni etiche, una solida gestione del rischio e pratiche trasparenti. L’Internal Audit deve sviluppare rapidamente le conoscenze e gli strumenti necessari per fornire una supervisione cruciale, guidando le proprie organizzazioni verso un’innovazione responsabile all’interno di questo ambiente tecnologico trasformativo.

More Insights

A medical chart

Governanza dell’AI in Salute: Tra Innovazione e Sicurezza

Aprile 20, 2025 Conformité des dispositifs médicaux IA,IA,Innovazione in Medtech,Intelligenza Artificiale,Intelligenza Artificiale nella Sanità
Negli ultimi sei mesi, il panorama normativo sull'IA ha subito cambiamenti monumentali, con una crescente retorica che considera la regolamentazione come un ostacolo all'innovazione. È fondamentale...
Read More
A traffic cone

Regole Ambigue: L’Industria AI Chiede un Rinvio della Legge Fondamentale

Aprile 20, 2025 Governance dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA,Régulation technologique IA,Responsabilità dell'IA
L'industria dell'IA esprime preoccupazioni riguardo agli standard normativi ambigui della legge fondamentale sull'IA, temendo che possano ostacolare la crescita del settore. Recentemente, Huang...
Read More
A magnifying glass

GDPR e AI: Rispettare la Privacy nel Marketing

Aprile 20, 2025 Conformità Regolatoria,Conformità UE,Conformité EU IA,IA,Intelligenza Artificiale,Protezione dei dati,Regolamento dell'IA,Régulation IA EU
Gli esperti di marketing devono affrontare le sfide della privacy dei dati con la conformità al GDPR e il nuovo EU AI Act. Queste normative richiedono trasparenza e consenso chiaro nell'uso dei dati...
Read More
A magnifying glass examining a digital interface

La Piramide del Rischio nell’Atto UE sull’IA

Aprile 19, 2025 Conformità IA dell'UE,Conformité des pratiques IA,Conformité IA EU,Governance dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA EU
Una delle caratteristiche distintive dell'EU AI Act è il suo approccio basato sul rischio. I sistemi di intelligenza artificiale non sono trattati allo stesso modo; come vengono regolati dipende dal...
Read More
A set of building blocks

AI agenti: le nuove frontiere della sicurezza e della regolamentazione

Aprile 19, 2025 Conformità IA,Éthique IA,Etica dell'IA,Governance dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA
Le aziende di intelligenza artificiale affermano che le attuali normative possono governare l'intelligenza artificiale agentica, considerata la prossima evoluzione dell'IA generativa. Gli sviluppatori...
Read More
A shield

Divieto di AI nelle riunioni online: una scelta controversa

Aprile 19, 2025 Conformità IA dell'UE,Conformité EU IA,Governance dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA,Régulation IA EU
La Commissione Europea ha vietato l'uso di assistenti virtuali basati sull'IA durante le riunioni online, nonostante la crescente popolarità di tali strumenti. Questo divieto ha suscitato...
Read More
A set of keys

Riformare le Regole dell’AI: Un Futuro per l’Innovazione in Europa

Aprile 19, 2025 Conformità UE,Conformité IA EU,Governance dell'IA dell'Unione Europea,IA,Impact de la régulation IA sur l'innovation,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA EU
OpenAI sollecita l'Unione Europea a semplificare le normative sull'intelligenza artificiale per evitare di soffocare l'innovazione e la competitività globale. La società afferma che regole...
Read More
A lock and key

Progettare Fiducia nell’AI Responsabile

Aprile 19, 2025 Conformité éthique IA,Éthique IA,Etica dell'IA,Governance dell'IA,IA,Intelligenza Artificiale,Régulation IA,Responsabilità dell'IA
L'integrazione rapida dell'intelligenza artificiale (AI) nella tecnologia quotidiana ha portato a grandi opportunità, ma anche a sfide etiche significative. I progettisti di prodotti stanno...
Read More
A key signifying access to understanding and navigating the complexities of AI regulation and interoperability.

Interoperabilità nell’IA: Un Futuro Senza Fratture

Aprile 19, 2025 Conformità IA,Governance dell'IA,IA,Innovation technologique IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA,Strutture Regolatorie per l'IA
Mentre ci troviamo a un punto critico nello sviluppo dell'IA, emerge una sfida di governance che potrebbe soffocare l'innovazione e creare divisioni digitali globali. L'attuale paesaggio della...
Read More

Ready to become AI compliant?

Take the first steps in your transformation towards international AI compliance.

Book a Discovery Call See Frameworks

Explore

Nessuno

Need More Assistance?

Our expert sales team is here to answer your questions, just leave your email and we’ll get in touch.

Research & Market Studies
A compass
AI Spiegabilità: Una Guida Pratica per Costruire Fiducia e Comprensione
Questo documento di ricerca esplora il concetto cruciale di spiegabilità dell'IA, evidenziando la sua importanza...
A shield symbolizing protection against unregulated AI practices.
Governanza AI: Trasparenza, Etica e Gestione del Rischio nell’Era dell’AI
Questo documento delinea la terza bozza di un Codice di Pratica completo per l'IA a...
A magnifying glass over a document
Audit Etici dell’IA: Dalla Spinta Regolamentare alla Costruzione di un’IA Affidabile
Questo documento di ricerca esplora l'impatto trasformativo dei big data sulla società, evidenziando come le...
A safety helmet
La Promessa e il Pericolo dell’IA: Un Quadro di Vita per un’Innovazione Responsabile
Questa ricerca esplora un approccio completo al ciclo di vita per mitigare i rischi associati...
Latest News on AI Compliance
No posts found.

© 2023 AI Sigil

Medium Envelope