Dal 2 febbraio 2025 sono in vigore gli articoli 1-5 della legge sull’AI, il mancato rispetto può comportare pesanti sanzioni

🚨 AVVISO IMPORTANTE – Dal 2 febbraio sono in vigore gli articoli 1-5 dell’AI Act e la mancata osservanza può comportare pesanti sanzioni. Molte aziende all’interno dell’UE non hanno ancora intrapreso le azioni richieste: ecco i punti salienti.

A partire dal 2 febbraio 2025, si applicano le prime disposizioni del Regolamento sull’Intelligenza Artificiale (AI Act) volte ad aumentare la sicurezza e a regolamentare il mercato dell’AI all’interno dell’Unione Europea.

Le principali modifiche includono:

• Pratiche vietate – divieto di utilizzo e commercializzazione o immissione sul mercato di sistemi di IA che soddisfano i criteri delle pratiche vietate. Tra gli esempi vi sono i sistemi di manipolazione che sfruttano le vulnerabilità umane, i sistemi di social scoring e i sistemi che analizzano le emozioni sul posto di lavoro o nell’istruzione. Le violazioni di queste norme comportano pesanti sanzioni finanziarie, fino a 35 milioni di euro o al 7% del fatturato globale annuo di un’azienda.

• Obbligo di alfabetizzazione all’IA. I datori di lavoro devono garantire che i dipendenti siano adeguatamente formati e informati sull’IA, in modo da poter utilizzare in sicurezza i sistemi di IA sul lavoro. La mancanza di formazione sull’IA può portare alla non conformità e aumentare il rischio che i sistemi di IA vengano utilizzati in modo inappropriato. In relazione all’alfabetizzazione all’IA, vale la pena di assicurarsi che la politica aziendale sull’uso dell’IA sia implementata. Come si può fare?

Si vedano gli articoli:

• Cosa deve contenere una politica di utilizzo dei sistemi di IA?
• Intelligenza artificiale: cos’è (da un punto di vista legale) e come il mondo la sta affrontando

Una politica per l’utilizzo dell’IA in un’azienda può includere, ad esempio, procedure chiare, regole per l’utilizzo dell’IA, condizioni per il rilascio dei sistemi, modalità di gestione degli incidenti e la nomina di una persona responsabile dell’effettiva implementazione e dell’utilizzo dell’IA nell’organizzazione (ambasciatore dell’IA).

Importanza della formazione sull’IA (articolo 4 della legge sull’IA)

La consapevolezza e la conoscenza dell’IA non sono solo un requisito legale, ma anche una necessità strategica per le organizzazioni. L’articolo 4 della legge sull’IA impone alle aziende di attuare programmi di formazione adeguati alle conoscenze, al ruolo e all’esperienza dei dipendenti.

“I fornitori e gli adottanti di sistemi di IA adottano misure per garantire, nella misura più ampia possibile, un livello adeguato di competenza in materia di IA tra il loro personale e le altre persone coinvolte nel funzionamento e nell’uso dei sistemi di IA per loro conto, tenendo conto delle loro conoscenze tecniche, dell’esperienza, dell’istruzione e della formazione e del contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone contro cui i sistemi di IA devono essere utilizzati”.

L’inosservanza di questo principio comporta gravi conseguenze, tra cui:

• Rischio di violazione delle norme sulla protezione dei dati e sulla privacy.

• Aumento della probabilità di violazioni legali e sanzioni finanziarie.

Oltre alla conformità normativa, la formazione sull’IA contribuisce a creare una cultura dell’uso responsabile della tecnologia e a ridurre al minimo i potenziali rischi operativi.

Dove cercare una guida?

Lo standard ISO/IEC 42001 per un sistema di gestione dell’intelligenza artificiale può essere d’aiuto. Nell’affrontare le competenze appropriate di coloro che si occupano di IA in un’organizzazione, lo standard indica, ad esempio, quanto segue:

• tutoraggio
• formazione
• trasferimento dei dipendenti a mansioni pertinenti all’interno dell’organizzazione sulla base di un’analisi delle loro competenze.

Allo stesso tempo, i ruoli o le aree di competenza rilevanti dovrebbero riguardare, ad esempio:

• supervisione del sistema AI
• la sicurezza
• protezione
• la privacy.

Pratiche di IA vietate (articolo 5 della legge sull’IA)

Il regolamento dell’AI Act vieta l’uso di determinati sistemi di IA che possono comportare gravi rischi per il pubblico. I fornitori e le aziende che utilizzano l’IA devono garantire di non essere coinvolti direttamente o indirettamente nel suo sviluppo o nella sua implementazione. Tra le altre cose, l’AI Act elenca specifiche pratiche vietate considerate particolarmente pericolose. Queste includono

• Tecniche subliminali o manipolative – sistemi di IA che alterano inconsciamente il comportamento di un utente in modo che prenda una decisione che altrimenti non prenderebbe.
• Sfruttamento delle vulnerabilità umane – sistemi che sfruttano la disabilità, la situazione sociale o economica di una persona.
• Punteggio sociale – sistemi che valutano i cittadini e concedono loro determinati diritti in base al loro comportamento.
• Valutazione del rischio criminale – sistemi che tracciano un profilo degli individui e valutano le loro caratteristiche individuali senza una base legittima.
• Creazione di database di immagini facciali – acquisizione non mirata di immagini da Internet o dalla sorveglianza cittadina per creare sistemi di riconoscimento facciale.
• Analisi delle emozioni sul posto di lavoro o nell’istruzione – sistemi di intelligenza artificiale che analizzano le emozioni dei dipendenti o degli studenti.
• Categorizzazione biometrica di dati sensibili – utilizzo della biometria per estrarre informazioni su razza, opinioni politiche, ecc.
• Identificazione biometrica remota in tempo reale – utilizzo di sistemi di riconoscimento facciale negli spazi pubblici per scopi di polizia.

Dove cercare le linee guida?

• Progetto di linee guida sulle pratiche vietate di intelligenza artificiale (AI) – 4 febbraio 2025. La Commissione ha pubblicato delle linee guida sulle pratiche vietate di intelligenza artificiale (IA), che mirano a garantire un’applicazione coerente, efficace e uniforme della legge sull’IA in tutta l’UE.

Scadenze importanti:

• Dal 2 febbraio 2025. – Capitolo II (pratiche vietate)
• Dal 2 agosto 2025. – Capo V (modelli per scopi generali), Capo XII (sanzioni) senza l’Articolo 101
• Dal 2 agosto 2026. – Articolo 6, paragrafo 2, e Allegato III (sistemi ad alto rischio), Capo IV (obblighi di trasparenza)
• Dal 2 agosto 2027 – Articolo 6(1) (sistemi ad alto rischio) e obblighi corrispondenti.

Lezioni chiave per le aziende:

• La conformità agli articoli 1-5 della legge sull’AI è obbligatoria e non può essere ignorata.
• Laformazione sull’IA è fondamentale per evitare errori dovuti alla scarsa consapevolezza dei dipendenti e alla potenziale responsabilità dell’azienda.
• L‘esecuzione di audit sui fornitori di tecnologia è necessaria per garantire la conformità dei sistemi di IA.
• Implementare una politica per l’uso dell’IA, creando una documentazione chiara per organizzare i rischi. Le politiche possono includere, ad esempio, procedure chiare, regole per l’utilizzo dell’IA, condizioni per il rilascio dei sistemi, modalità di gestione degli incidenti e la nomina di una persona responsabile della supervisione (AI Ambassador).
• Sviluppare strumenti di IA in modo legale – le aziende che sviluppano strumenti di IA devono considerare gli aspetti legali ed etici in ogni fase dello sviluppo. Ciò include, ma non solo, l’analisi della legalità degli obiettivi del sistema, la legalità dei database, la sicurezza informatica e i test del sistema. È importante che il processo di sviluppo dei sistemi di IA sia conforme ai principi di privacy by design e privacy by default del RODO – Come sviluppare strumenti di IA in modo legale?

Si consiglia di consultare le seguenti fonti:

• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689
• https://digital-strategy.ec.europa.eu/pl/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
• https://digital-strategy.ec.europa.eu/en/events/third-ai-pact-webinar-ai-literacy
• https://www.gov.pl/attachment/9bb34f05-037d-4e71-bb7a-6d5ace419eeb