L’impatto silenzioso dell’AI Act europeo sui ruoli aziendali
Negli ultimi dieci anni, l’Unione Europea si è presentata come custode della civiltà digitale. Se Silicon Valley ha costruito i motori e Shenzhen ha perfezionato la replica, Bruxelles ha scritto il regolamento. Dopo che il Regolamento generale sulla protezione dei dati (GDPR) ha cambiato il modo in cui il mondo pensa alla privacy dei dati, l’UE ha ora svelato il suo prossimo grande esperimento legislativo: l’Artificial Intelligence Act (“AI Act”).
A prima vista, l’AI Act sembra una questione continentale, un tentativo europeo di domare gli algoritmi all’interno dei propri confini. Tuttavia, la sua portata è molto più ambiziosa poiché le sue obbligazioni si applicano a qualunque sistema di intelligenza artificiale che tocchi il mercato europeo – sia che sia costruito in California, distribuito a New York o codificato a Bangalore. Proprio come il GDPR è diventato un modello globale, l’AI Act si diffonderà, plasmando contratti, quadri di conformità e pratiche di governance in tutto il mondo.
Implicazioni per la governance aziendale: un cambiamento nei ruoli
L’AI Act ridefinisce i doveri di tre attori spesso trascurati nella governance aziendale: segretari di consiglio, responsabili della conformità e consiglieri legali interni. Il loro lavoro determinerà se la governance dell’IA diventerà una pratica aziendale significativa o rimarrà un esercizio formale.
Tradizionalmente, i segretari di consiglio sono stati custodi dei verbali, garanti delle procedure e facilitatori delle deliberazioni del consiglio. Sotto l’AI Act, saranno responsabili dell’integrazione della supervisione dell’IA nel consiglio. Consideriamo un’impresa multinazionale americana che utilizza strumenti di scoring creditizio basati sull’IA in Europa. Sotto l’AI Act, tali sistemi sono considerati ad alto rischio e devono sottoporsi a valutazioni di conformità, documentazione dei rischi e monitoraggio. Qualcuno deve garantire che questi requisiti raggiungano effettivamente i direttori. Questo compito spesso ricade sul segretario, il cui ruolo si espande dal registrare ciò che viene deciso a plasmare ciò che deve essere discusso.
Sotto la legge del Delaware, i direttori violano il loro dovere di lealtà se ignorano consapevolmente i rischi “mission critical”. Rendendo la gestione del rischio dell’IA un obbligo statutario, l’AI Act rende essenzialmente la supervisione algoritmica “mission critical”. Pertanto, il segretario diventa responsabile di garantire che le divulgazioni relative all’IA, le valutazioni d’impatto e i risultati degli audit siano regolarmente inseriti nell’agenda del consiglio.
Per quanto riguarda i responsabili della conformità, l’AI Act assegna loro responsabilità sia ampie che, a volte, paradossali. Devono garantire che i sistemi di IA siano continuamente valutati per i rischi, monitorati per malfunzionamenti e documentati con precisione. È il classico dilemma della regolamentazione moderna: responsabilità senza controllo. Peggio ancora, i sistemi di IA evolvono. Un algoritmo di rilevamento delle frodi addestrato durante la notte su nuovi dati potrebbe non assomigliare più al modello inizialmente approvato. Pertanto, i responsabili della conformità devono costruire quadri capaci di auditare non solo un prodotto, ma un obiettivo in movimento.
Per le aziende americane, i rischi sono raddoppiati. Un rapporto di incidente presentato in Europa – un malfunzionamento, una scoperta di pregiudizio, una sanzione normativa – non rimane in Europa. Si trasferisce. Gli avvocati delle class action sui titoli a New York potrebbero riformulare quella divulgazione come un’omissione materiale ai sensi della Regola 10b-5. I querelanti nel Delaware potrebbero utilizzarla come prova di un segnale d’allerta Caremark. Pertanto, il responsabile della conformità opera in una situazione in cui un rapporto a Bruxelles potrebbe diventare un documento in una causa legale negli Stati Uniti.
Infine, l’AI Act trasforma il ruolo del GC (General Counsel) da consulente legale a custode istituzionale. Ogni clausola contrattuale con un fornitore di IA diventa cruciale: chi si fa carico della responsabilità se il modello discrimina? Chi deve fornire documentazione per le valutazioni di conformità? Come sono strutturate le indennità se i regolatori dell’UE impongono sanzioni? Queste non sono domande astratte. Devono essere redatte, negoziate e applicate in tempo reale. Inoltre, l’AI Act richiede valutazioni d’impatto sui diritti fondamentali per l’IA ad alto rischio. I GC devono coordinarsi con i responsabili della protezione dei dati, le risorse umane e i team tecnici per dimostrare che i sistemi di IA rispettano la non discriminazione, la privacy e il giusto processo.
Lezione più ampia per i leader aziendali statunitensi e implicazioni politiche
Per i GC e i CLO (Chief Legal Officers) negli Stati Uniti, tutto ciò significa che l’IA non è più solo un problema tecnico ma anche un problema di governance, un problema fiduciario e, infine, un problema reputazionale.
L’AI Act europeo ha conferito nuovi ruoli aziendali: il segretario come custode della supervisione dell’IA, il responsabile della conformità come navigatore di ciò che sembra impossibile, e il GC come custode dei diritti fondamentali. Inoltre, l’AI Act rivela l’inevitabilità della convergenza transatlantica nella governance aziendale. L’Europa regola tramite statuto; gli Stati Uniti regolano tramite contenzioso. Insieme, lasciano alle aziende poco spazio per nascondersi.
Per i responsabili politici, la sfida è riconciliare questi regimi. Per le aziende, l’imperativo è interiorizzarli. Integrare la supervisione dell’IA nella gestione del rischio aziendale, allineare le pratiche di divulgazione tra i continenti e negoziare contratti solidi con i fornitori non sono più pratiche ottimali opzionali.
Conclusione
L’AI Act, come qualsiasi legislazione ambiziosa, rimane un’opera in progresso. Tuttavia, la sua importanza per la governance aziendale statunitense è già chiara: riformula ruoli familiari, intensifica i doveri fiduciari e fonde la regolamentazione dell’UE con la responsabilità negli Stati Uniti. Per i GC e i CLO, non si tratta solo di conformità. La domanda per gli dirigenti non è se prepararsi, ma quanto rapidamente possono allineare le loro strutture di governance con un’ondata normativa che non si fermerà ai confini dell’Europa.
