Nuova Legge della California Richiede Valutazioni dei Rischi AI entro la Fine del 2027
Nel 2025, molte aziende hanno accelerato l’adozione dell’intelligenza artificiale, ma potrebbero aver trascurato un problema critico. L’AI non ha solo creato nuovi rischi, ma ha anche esposto debolezze infrastrutturali che molte organizzazioni portano avanti dagli anni ’90.
Un importante studio legale sta ora esortando le aziende a procedere immediatamente con le valutazioni dei rischi AI, avvertendo che i consigli e i regolatori si aspettano progressi tangibili nella governance dell’AI. Le pressioni stanno aumentando: gli ingegneri stanno implementando modelli più velocemente di quanto i team legali possano esaminarli, i contratti con i fornitori non affrontano chi possiede i dati di addestramento e i regolatori stanno prestando particolare attenzione.
Quadro Normativo
Secondo il nuovo quadro obbligatorio della California, le aziende devono includere le valutazioni dei rischi AI come parte della loro valutazione dei rischi aziendali entro il 31 dicembre 2027. Un recente ordine esecutivo che stabilisce un quadro normativo nazionale per l’AI indica che l’applicazione delle normative federali potrebbe intensificarsi, anche se gli stati e il governo federale si scontrano su questioni di giurisdizione.
Si consiglia alle organizzazioni di adottare il Quadro di Gestione dei Rischi AI del National Institute of Standards and Technology (NIST) come base. Questo quadro, neutro rispetto al settore, sta diventando lo standard di riferimento e fornisce strumenti pratici di implementazione che aiutano i team legali, di rischio e ingegneria a collaborare in modo efficace.
Importanza della Mappatura Infrastrutturale
È fondamentale mappare l’infrastruttura per comprendere chi possiede i risultati dell’AI quando i dati dei clienti vengono addestrati dagli ingegneri, distribuiti dai team di prodotto e utilizzati per decisioni di cui i dipartimenti legali sono responsabili. Le aziende devono identificare chi ha l’autorità di fermare o sovrascrivere i sistemi quando emergono rischi.
Approccio a Tre Fasi
Il piano delineato prevede un approccio in tre fasi. Nei primi tre mesi, le aziende dovrebbero mappare l’uso dell’AI, assegnare i responsabili della conformità e creare un registro di tutti i sistemi AI in uso. Nei successivi tre-nove mesi, ci si dovrebbe concentrare sullo sviluppo di protocolli di test, sulla revisione dei contratti per obblighi specifici legati all’AI e sull’implementazione di controlli tecnici. La fase finale, da nove a diciotto mesi e oltre, implica un monitoraggio continuo attraverso avvisi, dashboard e rilevazione degli scostamenti.
I regolatori comprendono che la perfezione non è immediatamente raggiungibile, ma si aspettano progressi visibili e una narrazione credibile di miglioramento. Le aziende dovrebbero avere già pronti: un inventario dei sistemi AI con livelli di rischio e proprietà, piani di risposta agli incidenti aggiornati per i rischi specifici dell’AI e una carta per un comitato di governance dell’AI.
Conclusione
Nel primo anno, le organizzazioni dovrebbero sviluppare politiche e standard per l’AI, creare protocolli scritti per il testing e la validazione, e stabilire questionari di diligenza per i fornitori. Con l’AI in rapida evoluzione, il messaggio degli esperti legali è chiaro: il momento di costruire robuste strutture di governance è ora, non quando i regolatori bussano alla porta.
