AI Act, pratiche vietate: le aziende si attivino subito, ecco cosa fare

Linee guida AI Act pratiche vietate: aspetti rilevanti del documento

Nella prima parte del documento, la Commissione analizza gli ambiti esclusi dall’AI Act e svolge alcune considerazioni utili all’interprete; ad esempio, è posta attenzione alla relazione tra pratiche vietate e sistemi ad alto rischio e, in particolare, a quelli dell’allegato III.

Questo perché l’uso di sistemi di IA classificati come ad alto rischio potrebbe, in alcuni casi, qualificarsi come una pratica vietata nel caso in cui siano soddisfatte tutte le condizioni di uno o più divieti dell’art.5 dell’AI Act.

Inoltre, la maggior parte dei sistemi di IA che rientrano tra le eccezioni alle pratiche vietate potrebbero rientrare tra quelli qualificati come ad alto rischio. Pertanto, nell’analisi di un sistema di IA si dovrà tenere a mente che uno stesso sistema può configurare o meno una pratica vietata in base all’utilizzo che ne viene fatto.

Un altro elemento che la Commissione mette in evidenza è l’importanza della disciplina contrattuale per definire i limiti di utilizzo dei sistemi di IA che, potenzialmente, potrebbero essere utilizzati per mettere in atto una pratica vietata. La Commissione afferma che “nei rapporti contrattuali con i deployer (ad esempio, nei termini di utilizzo), ci si aspetta che i fornitori escludano l’uso del loro sistema di IA per pratiche vietate e forniscano informazioni appropriate ai deployer in merito alla necessità di una supervisione umana”. Pertanto, lo strumento contrattuale sarà di fondamentale importanza per definire limiti e responsabilità.

Queste sono solo alcune delle indicazioni fornite dalla Commissione prima di entrare nell’argomento centrale delle Linee guida.

Le pratiche vietate

La Commissione richiama all’attenzione lo scopo dell’introduzione di alcuni divieti al fine di “proteggere l’autonomia e il benessere individuale da pratiche di IA manipolative, ingannevoli e sfruttatrici che possono sovvertire e compromettere l’autonomia, il processo decisionale e le libere scelte di un individuo. I divieti mirano a proteggere il diritto alla dignità umana, che costituisce anche la base di tutti i diritti fondamentali e include l’autonomia individuale come aspetto essenziale.

In particolare, i divieti mirano a prevenire la manipolazione e lo sfruttamento attraverso sistemi di IA che riducano gli individui a meri strumenti per raggiungere determinati fini e a salvaguardare coloro che sono più vulnerabili e suscettibili a manipolazioni e sfruttamenti dannosi”.

La parte principale del documento si incentra sull’analisi delle singole pratiche vietate e fornisce molti esempi concreti (per il dettaglio si rimanda al documento).

Perché valutare il rischio dei sistemi di IA

Una considerazione conclusiva della Commissione riguarda l’importanza di una corretta applicazione della norma. Bisogna tenere a mente che, anche se non sono ancora applicabili le disposizioni sulle Autorità di sorveglianza e sulle sanzioni, i divieti sono pienamente applicabili e obbligatori per i fornitori e deployer di sistemi di IA.

Pertanto, tali operatori devono adottare le misure necessarie per assicurarsi di non immettere sul mercato, in servizio o utilizzare sistemi di IA che potrebbero costituire pratiche vietate. Infatti, i divieti stessi hanno effetto diretto e consentono alle parti interessate di chiedere tutela ai tribunali nazionali.

Compliance e organizzazione aziendale a braccetto

L’AI Act richiede di fare un vero e proprio pensiero organizzativo. Accountability, uno dei principi cardine della normativa, significa innanzitutto definire in modo chiaro e inequivocabile le responsabilità lungo l’intero ciclo di vita dei sistemi di intelligenza artificiale. Senza una governance strutturata, il rischio è quello di lasciare scoperte aree critiche, dove nessuno ha l’autorità – o il mandato specifico – di intervenire, ad esempio valutando se le pratiche in uso siano o meno vietate.

Per questo, le aziende che sviluppano e utilizzano l’IA devono dotarsi di un modello organizzativo solido, in cui sia ben definito chi-fa-cosa. Le diverse decisioni che debbono essere prese in merito ai sistemi IA possono essere attribuite a figure individuali, oppure a organismi collegiali. Stanno nascendo nelle organizzazioni, oltre a ruoli apicali come il già noto Chief Artificial Intelligence Officer, anche altre figure. I “Comitati AI”, con il mandato di valutare l’uso strategico dell’IA e definire come comportarsi nel caso di applicazioni che presentano rischi elevati di varia natura. Comincia a diffondersi inoltre la figura del “Model Owner”: a ciascun modello IA viene attribuito un Model Owner, responsabile della gestione e del presidio dell’intero ciclo di vita del modello. Garantisce una corretta valutazione del rischio, il rispetto degli adempimenti normativi sin dalla fase di progettazione e durante l’operatività e monitora costantemente le performance del modello, verificando che siano in linea con le attese e con gli obiettivi dell’organizzazione.​

Qualunque sia la soluzione adottata, il punto cruciale è garantire che tutte le decisioni vengano prese all’interno di un chiaro framework di riferimento e che nessuna fase del ciclo di vita del modello – dalla progettazione iniziale fino al monitoraggio durante il funzionamento – resti senza un presidio.

La vita di un sistema di IA è ricca di scelte relative ad algoritmi, dati, parametri e tecnologie, ed è fatta di valutazioni che vanno gestite con responsabilità. Definire chiaramente chi decide e su quali basi non è solo un obbligo normativo, ma una leva essenziale per un uso dell’IA… intelligente.