Supervisione ed applicazione
L’AI Act dell’UE stabilisce un sistema a più livelli per la supervisione e l’applicazione, che coinvolge sia gli Stati membri che gli organismi a livello UE. A livello di Stato membro, ogni paese deve designare almeno un'”autorità di notifica” responsabile della valutazione e della notifica degli organismi di valutazione della conformità, e almeno un’Autorità di Vigilanza del Mercato (MSA) per supervisionare la conformità generale. Queste autorità nazionali competenti devono essere dotate di risorse adeguate per svolgere i loro compiti, che includono la fornitura di orientamenti, la conduzione di indagini e l’applicazione delle disposizioni dell’AI Act. Le MSA, in particolare, esercitano un potere significativo ai sensi del Regolamento sulla Vigilanza del Mercato, compresa l’autorità di richiedere informazioni, condurre ispezioni, emettere ordini di correzione e, in ultima analisi, imporre sanzioni per le violazioni.
A livello UE, l’Ufficio AI funge da organismo centrale per lo sviluppo di competenze, il coordinamento dell’attuazione e la supervisione dei modelli di IA per uso generale. L’Ufficio AI svolge un ruolo chiave nel fornire orientamento e supporto e funge da autorità di vigilanza per i modelli di IA per uso generale e i loro fornitori. Sta lavorando per incoraggiare la conformità all’AI Act redigendo linee guida e offrendo alle aziende un modo per comprendere meglio i propri obblighi. Un nuovo Comitato AI, composto da rappresentanti di ciascuno Stato membro, consiglia e assiste la Commissione UE e gli Stati membri nel garantire un’applicazione coerente ed efficace dell’AI Act in tutta l’Unione. La stessa Commissione UE mantiene responsabilità quali la preparazione della documentazione, l’adozione di atti delegati e la gestione del database dei sistemi di IA ad alto rischio.
Poteri di applicazione e Sanzioni
Il quadro sanzionatorio delineato nell’AI Act prevede sanzioni pecuniarie sostanziali a seconda della gravità e del tipo di infrazione. La non conformità alle norme relative alle pratiche di IA vietate potrebbe comportare sanzioni pecuniarie fino a 35 milioni di euro o al 7% del fatturato annuo totale mondiale. Altre violazioni possono comportare sanzioni fino a 15 milioni di euro o al 3% del fatturato, mentre la fornitura di informazioni errate o fuorvianti potrebbe comportare sanzioni pecuniarie di 7,5 milioni di euro o all’1% del fatturato. Queste sanzioni possono essere applicate in casi specifici, in modo che rimangano coerenti. È importante notare che queste sanzioni si aggiungono a qualsiasi altra penale o sanzione prevista dalle leggi degli Stati membri. L’approccio a due livelli alle sanzioni può aumentare la pressione per avere successo e le aziende devono essere consapevoli non solo della normativa UE generale, ma anche delle potenziali sanzioni aggiunte a quelle delle singole sanzioni degli Stati membri.
L’uso della Guida all’EU AI Act può assistere i professionisti legali.
Questa guida è progettata come una risorsa pratica per i professionisti legali interni che affrontano le complessità dell’EU AI Act. Si concentra sulla fornitura di informazioni e strategie prontamente applicabili per aiutare le aziende a comprendere e rispettare le nuove normative. La guida delinea le aree chiave dell’AI Act che hanno maggiori probabilità di influenzare le imprese, prestando molta attenzione ai distinti obblighi imposti ai fornitori e ai responsabili dell’implementazione di AI. Strutturando il suo contenuto attorno ai passaggi pratici di conformità che le imprese dovrebbero considerare, consente ai professionisti legali di tradurre in modo efficiente i requisiti dell’AI Act in politiche e procedure interne attuabili.
All’interno di ogni sezione, la guida non solo spiega i requisiti legali imposti dall’AI Act, ma esplora anche le implicazioni pratiche per le imprese. Una caratteristica centrale della guida è la sua attenzione ai dettagli nel delineare le misure di conformità che le imprese possono considerare di adottare, colmando così il divario tra comprensione legale e implementazione pratica. Inoltre, riconoscendo l’intricata relazione tra l’AI Act e il GDPR, la guida include una discussione specifica della loro interazione, consentendo ai professionisti legali di sfruttare i programmi di conformità esistenti e potenzialmente semplificando il processo di conformità.
Passaggi pratici di conformità e interazione con il GDPR
Ogni sezione offre riquadri dedicati ai “Passaggi pratici di conformità”, fornendo azioni concrete che le aziende possono intraprendere per adempiere ai propri obblighi. Inoltre, i riquadri “Interazione” evidenziano la relazione tra l’AI Act e il GDPR, offrendo approfondimenti sui programmi di conformità GDPR esistenti che possono essere adattati per la conformità all’AI Act. Vengono utilizzate icone per indicare visivamente il livello di sovrapposizione, inclusa una sovrapposizione sostanziale (che richiede uno sforzo aggiuntivo minimo), una sovrapposizione moderata (che funge da punto di partenza) e nessuna sovrapposizione (che richiede misure completamente nuove). Questo approccio consente ai professionisti legali di valutare in modo efficiente l’impatto dell’AI Act sulle proprie organizzazioni e sviluppare strategie di conformità appropriate.
La Legge UE sull’IA propone importanti modifiche normative per le imprese.
La Legge UE sull’IA introduce sostanziali modifiche normative che interessano le imprese che operano all’interno dell’Unione Europea, nonché quelle che distribuiscono o forniscono sistemi o modelli di IA nel mercato UE, indipendentemente dalla loro ubicazione fisica. La Legge impone obblighi a vari attori dell’ecosistema dell’IA, inclusi fornitori, distributori, importatori e distributori di sistemi di IA. A seconda del tipo di sistema di IA impiegato, la Legge specifica tempistiche di conformità che vanno dai 6 ai 36 mesi successivi alla sua entrata in vigore, richiedendo ai team legali interni di valutare rapidamente il potenziale impatto della Legge e di sviluppare strategie di implementazione efficaci. La mancata gestione proattiva di questi nuovi obblighi potrebbe lasciare le imprese impreparate, portando potenzialmente a vincoli di risorse durante la fase di implementazione della conformità.
L’impatto sulle imprese dipende dal loro ruolo di fornitori o distributori di particolari tipi di sistemi di IA e/o modelli di IA per scopi generali. Alcuni sistemi di IA sono ora considerati del tutto vietati a causa dei loro rischi intrinseci per i diritti fondamentali. Altri sistemi di IA, come quelli utilizzati nelle infrastrutture critiche, nell’occupazione o nei servizi pubblici, sono classificati come ad alto rischio e sono quindi soggetti a requisiti rigorosi dettagliati nella Legge sull’IA. Inoltre, la Legge include regolamenti specifici per i modelli di IA per scopi generali, a seconda che siano ritenuti presentare un rischio sistemico. Le imprese devono quindi effettuare un’analisi approfondita dei loro sistemi di IA per determinare se sono soggetti ai regolamenti. Ciò include la conduzione di valutazioni del rischio appropriate, l’implementazione di misure di sicurezza tecniche, la garanzia della supervisione umana e il mantenimento di una documentazione trasparente.
Obblighi pratici per tutte le imprese
Al di là dei requisiti specifici del settore e a livelli di rischio, la Legge UE sull’IA impone un cambiamento fondamentale per tutte le imprese, indipendentemente dal loro specifico coinvolgimento nello sviluppo o nella distribuzione dell’IA, stabilendo obblighi di alfabetizzazione sull’IA. L’articolo 4 stabilisce che sia i fornitori che i distributori di sistemi di IA devono garantire un livello adeguato di alfabetizzazione sull’IA tra il loro personale, tenendo conto dei rispettivi ruoli e dell’uso previsto dei sistemi di IA. Ciò include, a titolo esemplificativo ma non esaustivo, la fornitura di formazione e istruzione continua ai membri del personale. L’intenzione è quella di promuovere una comprensione delle tecnologie di IA, dei loro potenziali rischi e dei requisiti normativi imposti dalla Legge sull’IA. Ciò garantisce lo sviluppo, la distribuzione e l’uso responsabili dei sistemi di IA, salvaguardando la salute, la sicurezza e i diritti fondamentali.
Le principali tappe della cronologia dell’AI Act sono chiaramente definite.
Il percorso dell’AI Act dell’UE dalla proposta all’applicazione è stato caratterizzato da tappe chiaramente definite. La consultazione pubblica iniziale si è conclusa il 6 agosto 2021, preparando il terreno per l’azione legislativa. La Commissione europea ha pubblicato formalmente la proposta di AI Act il 21 aprile 2021, definendo il quadro per la regolamentazione dell’IA. Il Parlamento europeo ha adottato la sua posizione negoziale il 14 giugno 2023, segnalando le sue priorità per l’Atto. Il Consiglio ha adottato la sua posizione comune/approccio generale il 6 dicembre 2022, indicando l’allineamento tra gli Stati membri. Fondamentalmente, il 9 dicembre 2023, il Parlamento europeo e il Consiglio hanno raggiunto un accordo provvisorio. Questi parametri di riferimento mostrano la natura collaborativa e iterativa del processo legislativo dell’UE, garantendo a tutte le parti coinvolte una strategia strutturata verso la governance dell’IA.
Date di implementazione e applicazione
Dopo aver raggiunto un accordo politico, le fasi formali verso l’implementazione hanno incluso il lancio dell’AI Office il 21 febbraio 2024. Il Parlamento europeo ha dato la sua approvazione finale il 13 marzo 2024, seguita dall’approvazione del Consiglio il 24 maggio 2024. L’AI Act è stato pubblicato nella Gazzetta ufficiale dell’UE il 12 luglio 2024, prima di entrare formalmente in vigore il 1° agosto 2024. Le diverse categorie di sistemi di IA hanno date di applicazione scaglionate, consentendo alle aziende di adeguarsi strategicamente. I sistemi identificati come proibiti e i programmi di alfabetizzazione sull’IA sono entrati in vigore il 2 febbraio 2025. Gli obblighi relativi ai modelli di IA per scopi generali sono entrati in vigore il 2 agosto 2025, seguiti dalla maggior parte degli obblighi aggiuntivi (compresi i sistemi di IA ad alto rischio di cui all’allegato III) due anni dopo l’entrata in vigore dell’Atto, il 2 agosto 2026. I sistemi di IA ad alto rischio inseriti nell’allegato I entreranno in vigore il 2 agosto 2027. Queste scadenze offrono una strategia graduale su misura per fornitori e utilizzatori, a seconda del tipo di sistema di IA.
Comprendere l’ambito di applicazione dell’AI Act è essenziale per le imprese.
L’ambito territoriale dell’AI Act si estende oltre i confini fisici dell’UE, impattando le aziende a livello globale. L’applicabilità territoriale è determinata da tre criteri chiave: l’ubicazione dell’entità, l’immissione sul mercato del sistema o modello di IA e l’uso geografico dell’output del sistema di IA. Se un’azienda è stabilita o situata all’interno dell’UE e implementa un sistema di IA, si applica l’AI Act. Inoltre, la legge comprende i fornitori – indipendentemente dalla loro ubicazione – che immettono sistemi di IA sul mercato dell’UE o li mettono in servizio all’interno dell’UE. Ciò include i sistemi di IA impiegati dai produttori di prodotti con il proprio marchio. Fondamentalmente, l’AI Act si rivolge anche ai fornitori e agli utilizzatori i cui output dei sistemi di IA sono utilizzati all’interno dell’UE, indipendentemente dal luogo in cui sono stabiliti, e protegge le persone all’interno dell’UE interessate dall’uso dei sistemi di IA. Questa ampia portata richiede che le aziende, indipendentemente dalla loro base geografica, accertino meticolosamente i loro obblighi ai sensi dell’AI Act per garantire la conformità, evitare potenziali sanzioni e mantenere l’integrità operativa all’interno del mercato dell’UE.
Oltre all’ambito territoriale, la comprensione dell’ambito personale e materiale dell’AI Act è cruciale. Gli obiettivi primari della legge sono i fornitori e gli utilizzatori di sistemi di IA, ognuno dei quali ha responsabilità distinte. Tuttavia, la definizione di “fornitore” può estendersi a importatori, distributori e persino produttori di prodotti a determinate condizioni. In particolare, se tali entità appongono il proprio marchio a un sistema di IA ad alto rischio, lo modificano sostanzialmente o ne alterano lo scopo previsto per classificarlo come ad alto rischio, assumono gli obblighi di un fornitore. Ciononostante, la legge prevede diverse eccezioni, come ad esempio per gli utilizzatori che sono persone fisiche che utilizzano sistemi di IA per attività puramente personali e non professionali, e per i sistemi di IA sviluppati esclusivamente per la ricerca e lo sviluppo scientifico. Anche un ambito temporale graduale influisce sulla comprensione dell’AI Act. Gli obblighi di conformità sono introdotti gradualmente, da sei a trentasei mesi dall’entrata in vigore della legge, a seconda del tipo di sistema di IA. I sistemi di IA ad alto rischio già sul mercato prima del 2 agosto 2026 rientrano nell’ambito di applicazione della legge solo a seguito di modifiche significative alla progettazione. Questa complessità sottolinea la necessità per le aziende di valutare attentamente i propri ruoli e i tempi applicabili per una pianificazione completa della conformità.
Definizione dei concetti cruciali all’interno dell’AI Act.
L’AI Act si basa su una serie di concetti definiti con precisione che ne determinano l’ambito e l’applicazione. Lo stesso termine “sistema di IA” è meticolosamente definito come un sistema basato su macchina progettato per operare con vari livelli di autonomia, capace di adattarsi dopo la distribuzione. Questo sistema deduce dai suoi input come generare output come previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali, esplicitamente o implicitamente. Questa ampia definizione cattura una vasta gamma di tecnologie, richiedendo un’analisi accurata per determinare se un particolare sistema rientra nella sfera di competenza dell’Atto. Anche “Scopo previsto” è fondamentale; si riferisce all’uso per il quale un sistema di IA è progettato dal fornitore, compresi il contesto specifico e le condizioni d’uso, come dettagliato nelle istruzioni per l’uso, nel materiale promozionale e nella documentazione tecnica. Questa definizione enfatizza il ruolo del fornitore nel definire l’ambito degli usi accettabili ed evidenzia l’importanza di una comunicazione chiara e accurata ai responsabili della distribuzione. Comprendere l”Uso improprio ragionevolmente prevedibile’ di un sistema di IA, definito come uso non allineato al suo scopo previsto ma derivante dal comportamento umano previsto o dall’interazione con altri sistemi, è anche un elemento cruciale che inquadra le preoccupazioni relative alla gestione del rischio e alla responsabilità.
Ulteriori perfezionamenti del panorama giuridico sono concetti relativi alla disponibilità sul mercato. “Messa a disposizione sul mercato” si riferisce alla fornitura di un sistema di IA per la distribuzione o l’uso all’interno dell’UE, a pagamento o a titolo gratuito, nel corso di un’attività commerciale. “Immissione sul mercato” indica la prima istanza di messa a disposizione di un sistema di IA all’interno dell’UE. “Messa in servizio” indica la fornitura di un sistema di IA per il suo uso iniziale direttamente al responsabile della distribuzione o per l’uso proprio del fornitore all’interno dell’UE, in linea con il suo scopo previsto. Queste definizioni chiariscono il punto in cui si attivano vari obblighi ai sensi dell’AI Act, in particolare per i fornitori e gli importatori. Infine, l’Atto definisce attentamente cosa costituisce un Incidente Significativo, che è soggetto a specifici obblighi di segnalazione. Un “incidente grave” include eventi come decesso, gravi danni alla salute, gravi interruzioni delle infrastrutture, violazioni dei diritti fondamentali o ingenti danni patrimoniali o ambientali causati da un malfunzionamento del sistema di IA. Queste definizioni stabiliscono un quadro gerarchico per la valutazione del rischio e la determinazione dei corrispondenti obblighi normativi all’interno dell’ecosistema dell’IA.
Applicazioni pratiche per le aziende sono state stabilite.
L’AI Act dell’UE introduce un nuovo paradigma per le imprese che sviluppano, implementano o utilizzano sistemi di IA. Comprendere gli obblighi derivanti da questa legislazione è fondamentale per la pianificazione strategica e la mitigazione dei rischi. Riconoscendo i ruoli e le responsabilità specifici assegnati ai fornitori (provider) e agli utenti (deployer) di IA, le aziende possono affrontare in modo proattivo i requisiti di conformità e integrarli nei loro quadri esistenti. Questa sezione fornisce una panoramica dettagliata delle applicazioni pratiche per le aziende e un’analisi sistematica delle misure che possono essere adottate per la conformità pratica.
Le aziende dovrebbero iniziare conducendo un audit completo dell’IA per identificare tutti i sistemi di IA in uso e classificarli in base al loro livello di rischio. Ciò comporta l’identificazione del fatto che il sistema di IA sia proibito, ad alto rischio o soggetto a semplici requisiti di trasparenza. Successivamente, i sistemi di IA dovrebbero essere ulteriormente classificati in base al fatto che l’azienda si qualifichi come fornitore di IA o come utente di IA, secondo il quadro di rischio. Comprendere l’interazione tra le responsabilità del fornitore e dell’utente è essenziale poiché le organizzazioni potrebbero assumere entrambi i ruoli. Questa attenta classificazione delineerà gli obblighi precisi e informerà le strategie specifiche richieste per il loro contesto unico.
Obblighi del Fornitore
I fornitori di sistemi di IA ad alto rischio devono adottare un approccio proattivo e olistico. Devono stabilire un sistema completo di gestione dei rischi per identificare e mitigare i rischi ragionevolmente prevedibili durante l’intero ciclo di vita dell’IA, compresa la gestione della qualità dei dati, la documentazione tecnica, la tenuta dei registri e le azioni correttive. Devono inoltre garantire la trasparenza agli utenti e definire misure di supervisione umana. Per i fornitori di sistemi, il monitoraggio post-commercializzazione e la gestione degli incidenti diventano essenziali. I requisiti di trasparenza si estendono all’informazione degli individui sull’interazione con un sistema di IA e alla marcatura di conseguenza dei contenuti generati dall’IA. Per i fornitori di IA di modelli di IA per scopi generali, questa politica deve essere conforme ai severi requisiti del diritto d’autore dell’UE. Rispettare gli standard armonizzati aiuta a dimostrare la conformità ai requisiti dell’AI Act.
Obblighi dell’Utente
Gli utenti devono garantire l’allineamento con le istruzioni per l’uso del fornitore e assegnare una supervisione umana competente. Se un utente ha il controllo sui dati di input, deve assicurarsi che i dati siano appropriati. Deve monitorare i sistemi di IA e segnalare gli incidenti in modo appropriato. Quando si implementano sistemi di IA sul posto di lavoro, la trasparenza con i dipendenti è obbligatoria. Inoltre, i requisiti di trasparenza si estendono all’informazione degli individui sull’interazione con un sistema di IA e all’informazione se questo arriva ad assistere nel prendere decisioni che coinvolgono detto individuo. In alcuni casi, gli utenti devono effettuare valutazioni d’impatto sui diritti fondamentali o chiarire in altro modo le politiche di IA relative al trattamento dei dati.
Vengono offerte linee guida pratiche per tutte le imprese da adottare per conformarsi alla legge.
L’AI Act dell’UE impone diverse misure pratiche per tutte le imprese, indipendentemente dal loro ruolo specifico come fornitori o utilizzatori di sistemi di IA. Un requisito fondamentale è il raggiungimento di un livello sufficiente di alfabetizzazione sull’IA tra il personale e il personale pertinente. Ciò richiede misure per garantire che le persone coinvolte nel funzionamento e nell’uso dei sistemi di IA possiedano le necessarie conoscenze tecniche, esperienza, istruzione e formazione. Il livello appropriato di alfabetizzazione dipenderà dal contesto in cui vengono utilizzati i sistemi di IA e dal potenziale impatto su individui o gruppi. Pertanto, le imprese devono investire attivamente in programmi di alfabetizzazione sull’IA su misura per i diversi ruoli e responsabilità all’interno dell’organizzazione, promuovendo una comprensione sia dei potenziali benefici sia dei rischi intrinseci associati alle tecnologie di IA.
Le imprese dovrebbero valutare quali sistemi di IA forniscono o utilizzano e accertarsi che il loro personale sia adeguatamente preparato a lavorare con questi sistemi. Un solido programma di formazione sull’IA, che sia continuamente aggiornato, sarà essenziale per conformarsi a questa disposizione. I programmi di istruzione e formazione sul GDPR possono essere utilizzati, ma probabilmente richiederanno aggiornamenti o nuovi processi (alcuni tecnici) per garantire la conformità ai criteri specifici di qualità dei dati dell’AI Act per i dati di formazione, convalida e test in relazione allo sviluppo di sistemi di IA. Le imprese potrebbero essere in grado di sfruttare alcuni sforzi di accountability del GDPR nel processo di preparazione della documentazione tecnica, ad esempio per la descrizione delle misure di sicurezza informatica applicabili. I requisiti di registrazione si sovrappongono parzialmente ai requisiti di sicurezza dei dati e alle migliori pratiche ai sensi del GDPR, ma sono più specifici e richiedono un’implementazione tecnica. Si prevede che le organizzazioni svilupperanno e implementeranno capacità tecniche e processi specifici per conformarsi a questo requisito. Anche i fornitori dovranno considerare il periodo di conservazione dei registri nei loro programmi di conservazione dei dati.
Vengono presentati gli obblighi pratici per le imprese riguardanti i fornitori dell’AI Act.
L’AI Act dell’UE impone obblighi pratici significativi alle imprese che sono considerate “fornitori” di sistemi di IA. Questi obblighi variano in base al livello di rischio del sistema di IA, con i requisiti più rigorosi applicati ai sistemi di IA ad alto rischio. I fornitori sono responsabili di garantire che i loro sistemi di IA siano conformi ai requisiti dell’AI Act prima di immetterli sul mercato o metterli in servizio. Gli obblighi riguardano un ampio spettro, tra cui la gestione del rischio, la governance dei dati, la documentazione tecnica, la trasparenza, la supervisione umana e la sicurezza informatica. Un tema centrale è l’implementazione di solidi sistemi di gestione della qualità (SGQ) per garantire la conformità continua durante l’intero ciclo di vita del sistema di IA. Il mancato rispetto di questi obblighi può comportare sanzioni pecuniarie consistenti e danni alla reputazione, sottolineando la necessità di un approccio proattivo e completo alla governance dell’IA.
Per i sistemi di IA ad alto rischio, i fornitori devono stabilire un sistema di gestione del rischio per identificare, analizzare e mitigare i potenziali rischi per la salute, la sicurezza e i diritti fondamentali. Ciò comporta controlli di qualità dei dati, test rigorosi e misure di sicurezza informatica. L’AI Act impone la creazione di una documentazione tecnica che descriva in dettaglio la progettazione, la funzionalità e le prestazioni del sistema. La documentazione deve essere completa e continuamente aggiornata per riflettere eventuali modifiche o modifiche apportate al sistema di IA. I fornitori devono inoltre garantire un’adeguata trasparenza fornendo istruzioni chiare e accessibili per gli utenti, dettagliando le caratteristiche, i limiti e i potenziali rischi del sistema di IA. Per aumentare ulteriormente la fiducia e l’affidabilità degli utenti, il fornitore deve garantire livelli adeguati di supervisione umana al sistema, consentendo agli operatori di prevalere quando necessario.
Modelli di IA per Scopi Generali
Per i modelli di IA per scopi generali, i fornitori devono rispettare una serie di condizioni chiave nell’articolo 53. In primo luogo, coloro che sviluppano i modelli devono mantenere completa e aggiornata la documentazione del sistema, inclusi formazione, valutazione e test pertinenti. La documentazione e i dettagli devono essere trasmessi ad altri sistemi di IA che intendono integrare il modello di IA per scopi generali. Le aziende che creano IA devono implementare politiche per rispettare il copyright, nonché riepiloghi dei contenuti utilizzati per l’addestramento del modello di IA. I modelli di IA per scopi generali che presentano anche un rischio sistemico sono soggetti a obblighi più rigorosi, tra cui valutazioni dei potenziali rischi sistemici a livello dell’UE, mantenimento della sicurezza informatica relativa al modello e una segnalazione senza ritardo di informazioni pertinenti su incidenti gravi e potenziali misure correttive.
Descritte le obbligazioni pratiche per le imprese relative ai “deployer” dell’AI Act.
L’AI Act impone diverse obbligazioni pratiche ai “deployer” di sistemi di IA, in particolare a quelli classificati come ad alto rischio. Uno dei requisiti principali è l’adesione alle istruzioni per l’uso del fornitore. I “deployer” devono implementare misure tecniche e organizzative appropriate per garantire che i sistemi di IA ad alto rischio siano gestiti in conformità con le istruzioni fornite dal fornitore del sistema. Ciò comporta una conoscenza approfondita delle capacità, dei limiti e dello scopo previsto del sistema, nonché l’implementazione di controlli per prevenire l’uso improprio o la deviazione dai parametri operativi prescritti. Per facilitare la conformità, i “deployer” devono mantenere un registro dei sistemi ad alto rischio in uso, insieme alle relative istruzioni. Assegnare la responsabilità del monitoraggio della conformità all’interno dell’organizzazione può anche rafforzare in modo significativo la responsabilità. Inoltre, è fondamentale per i “deployer” rimanere informati su eventuali aggiornamenti o modifiche alle istruzioni attraverso canali di comunicazione consolidati con i fornitori del sistema di IA.
Oltre all’adesione alle istruzioni del fornitore, i “deployer” sono obbligati a implementare la supervisione umana. Ciò comporta l’assegnazione di individui con la necessaria competenza, formazione, autorità e supporto per supervisionare l’uso di sistemi di IA ad alto rischio. Questi individui devono possedere una comprensione completa delle capacità e dei limiti del sistema, essere vigili contro il pregiudizio di automazione, interpretare accuratamente i risultati del sistema e avere l’autorità di ignorare, annullare o invertire l’input del sistema quando necessario. Inoltre, i “deployer” che esercitano il controllo sui dati di input per i sistemi di IA ad alto rischio devono garantire che i dati siano pertinenti e sufficientemente rappresentativi alla luce dello scopo previsto del sistema. Ciò richiede un processo di pre-screening per valutare l’idoneità dei dati, inclusa la loro accuratezza e l’assenza di pregiudizi, per garantire che il sistema funzioni in modo efficace ed equo. Gli obblighi permanenti per i “deployer” includono il monitoraggio continuo dei sistemi di IA e, in alcuni casi, il completamento delle valutazioni d’impatto sui diritti fondamentali.
Requisiti specifici di trasparenza
L’atto include anche requisiti di trasparenza per i “deployer” che utilizzano sistemi come il riconoscimento delle emozioni e la categorizzazione biometrica, e quelli che generano o manipolano immagini, audio, video e testo. I requisiti di trasparenza, come quelli inclusi nell’articolo 50 (5) dell’AI Act, creano ulteriori requisiti per i “deployer” al fine di garantire che, al più tardi alla prima interazione, il sistema di IA sia implementato in modo trasparente.
È stato definito il quadro per la supervisione e l’applicazione dell’AI Act.
La supervisione e l’applicazione dell’AI Act saranno gestite sia a livello di Stato membro che a livello UE, con ruoli e responsabilità distinti assegnati a varie autorità. A livello di Stato membro, ogni paese è tenuto a designare almeno una “autorità di notifica” responsabile della valutazione e del monitoraggio degli organismi di valutazione della conformità, e almeno una “Autorità di Vigilanza del Mercato” (AVM) per supervisionare la conformità da parte di fornitori, utilizzatori e altre entità all’interno della catena del valore dell’IA. Alle AVM sono concessi ampi poteri di vigilanza del mercato, indagine e applicazione, inclusa la capacità di richiedere informazioni, condurre ispezioni in loco, emettere ordini di conformità, intraprendere azioni correttive e imporre sanzioni. Gli Stati membri sono inoltre tenuti a istituire un punto di contatto unico per l’AI Act per facilitare la comunicazione e il coordinamento. Tutte le imprese soggette all’AI Act devono cooperare pienamente con queste autorità nazionali competenti.
A livello UE, l’Ufficio AI, istituito dalla Commissione europea, svolge un ruolo chiave nello sviluppo di competenze, nel contribuire all’attuazione del diritto dell’UE sull’IA e nel supervisionare la conformità rispetto ai modelli di IA per scopi generali. L’AI Board, composto da rappresentanti di ciascun Stato membro, consiglia e assiste la Commissione europea e gli Stati membri per garantire un’applicazione coerente ed efficace dell’AI Act. La Commissione europea ha inoltre una serie di responsabilità, come la preparazione della documentazione, l’adozione di atti delegati e la gestione della banca dati per i sistemi di IA ad alto rischio. I poteri di applicazione a disposizione delle AVM includono sanzioni pecuniarie significative per la non conformità, strutturate in base alla gravità della violazione, con le sanzioni più elevate applicabili alle pratiche di IA vietate. Inoltre, individui e organizzazioni hanno il diritto di presentare reclami alla propria AVM nazionale qualora ritengano che si sia verificata una violazione dell’AI Act, promuovendo ulteriormente i meccanismi di responsabilità dell’atto.
Viene compilato un glossario dei termini utilizzati nell’AI Act.
L’AI Act dell’UE introduce numerosi termini tecnici e giuridici. La comprensione di queste definizioni è fondamentale affinché le imprese rispettino le disposizioni dell’atto. Sebbene un glossario completo esuli dallo scopo di questa sezione, termini chiave come “sistema di IA”, “modello di IA per finalità generali”, “destinazione d’uso”, “uso improprio ragionevolmente prevedibile”, “messa a disposizione sul mercato”, “immissione sul mercato”, “messa in servizio” e “incidente grave” sono fondamentali per interpretare e applicare i requisiti dell’atto. Queste definizioni, come stabilito nell’articolo 3 dell’AI Act, delineano i confini del suo campo di applicazione e gli obblighi dei vari attori. L’interpretazione coerente di questi termini in tutta l’UE è necessaria per un’applicazione e un’esecuzione uniformi dell’AI Act, garantendo un mercato armonizzato per le tecnologie di IA.
È inoltre essenziale distinguere tra attori chiave come “fornitori” e “utilizzatori”, poiché ogni ruolo comporta responsabilità distinte ai sensi dell’AI Act. Un fornitore è generalmente l’entità che sviluppa o immette un sistema di IA sul mercato, mentre un utilizzatore impiega il sistema di IA nelle sue operazioni. Le responsabilità di ciascuno, articolate in tutto l’atto, sono intrinsecamente collegate. Ad esempio, una chiara comunicazione della destinazione d’uso di un sistema di IA da parte del fornitore all’utilizzatore è fondamentale affinché l’utilizzatore utilizzi il sistema in conformità sia con le istruzioni del fornitore sia con i requisiti più ampi dell’atto. Inoltre, il concetto di “destinazione d’uso” è esso stesso un termine definito, sottolineando l’importanza di interpretare i sistemi di IA e il loro utilizzo in conformità con le informazioni fornite dal fornitore.
Definizioni e concetti chiave
Per promuovere l’alfabetizzazione sull’IA e facilitare ulteriore chiarezza, la Commissione europea ha pubblicato linee guida che specificano ulteriormente la definizione di “sistema di IA” ai sensi dell’AI Act. Oltre alla precisa delineazione fornita da queste definizioni, è importante una più ampia comprensione dei concetti sottostanti, come l’approccio basato sul rischio, la trasparenza e la supervisione umana. Senza una solida comprensione di queste definizioni e concetti critici, la conformità all’AI Act rimane un obiettivo elusivo. La revisione e la comprensione regolari delle linee guida in evoluzione della Commissione europea, dell’AI Office e dell’AI Board saranno fondamentali per mantenere un’interpretazione accurata dei termini e delle definizioni dell’AI Act.
Le sezioni di contatto importanti sono elencate per diversi membri della leadership e team UE/Regno Unito.
Questo documento culmina con sezioni di contatto complete designate sia per il personale di leadership che per i membri dei team UE/Regno Unito. Queste sezioni fungono da risorse essenziali per le persone che cercano competenze specifiche o assistenza relativa alla conformità all’AI Act. Fornendo accesso diretto a individui chiave all’interno dei rispettivi team, il documento mira a facilitare una comunicazione chiara ed efficiente, consentendo alle parti interessate di affrontare le complessità della regolamentazione dell’IA con maggiore facilità. Una corretta comunicazione è fondamentale in questa fase nascente dell’applicazione normativa, poiché sia le autorità che le organizzazioni iniziano a confrontarsi con le implicazioni pratiche dell’AI Act dell’UE.
L’inclusione di informazioni di contatto dettagliate per i membri della leadership sottolinea l’importanza della supervisione esecutiva nella conformità all’AI Act. Questi individui spesso possiedono la visione strategica e l’autorità decisionale necessarie per guidare le organizzazioni attraverso il panorama normativo. Nel frattempo, l’elenco dei membri del team UE/Regno Unito riconosce le distinte sfumature regionali della regolamentazione dell’IA, riconoscendo che le strategie di conformità potrebbero dover essere adattate a giurisdizioni specifiche. Questa dualità garantisce che le parti interessate abbiano accesso sia a una guida strategica di alto livello sia a competenze pratiche rilevanti per le loro particolari circostanze. Nel complesso, queste sezioni danno priorità sia alle informazioni di alto livello che a quelle pratiche per guidare gli utenti con le loro domande legali e di implementazione relative all’atto.
