Entra in vigore il 1° agosto 2024 l’AI ACT, ossia la legge europea sull’intelligenza artificiale, ed anche l’Italia sta legiferando in materia, con un disegno di legge approvato lo scorso aprile ed una Strategia Italiana per l’Intelligenza Artificiale 2024-2026 appena pubblicata.
Sono tre provvedimenti che tracciano un contesto operativo preciso per le imprese italiane che vogliono sperimentare o adottare l’AI nei contesti produttivi.
Mentre per l’AI ACT europeo la prima scadenza operativa è il 2 febbraio 2025, il ddl italiano, come sottolinea Giuseppe Vaciago, partner di 42 Law Firm, «fa parte di un corpus normativo che si sta attivando per fronteggiare una potenziale rivoluzione che di svilupperà nei prossimi anni», ad esempio in materia di sanità, giustizia e libere professioni.
Rispetto alla norma europea, il ddl italiano è più verticalizzato su aspetti specifici, prosegue il legale esperto in diritto delle nuove tecnologie, secondo cui «c’è il rischio che la norma diventi desueta in tempi relativamente rapidi, a fronte di evoluzioni non prevedibili».
Un aspetto, quest’ultimo, legato ai rischi di iper-regolazione, sottolineati dalla Strategia italiana sull’IA in ambito imprese, formazione, pubblica amministrazione e ricerca.
Vediamo in dettaglio cosa cambia, da quando e come si coordinano i diversi provvedimenti.
AI ACT: da quando partono le nuove regole
L’AI ACT europeo è impostato sul concetto di rischio, quindi non stabilisce limiti alla ricerca o allo sviluppo e nemmeno alle applicazioni di intelligenza artificiale, ma stabilisce le regole in relazione all’utilizzo che si fa dell’AI.
Per fare un esempio di immediata comprensione: non vengono considerate un pericolo in sè le tecnologie di riconoscimento basate sulla biometria, che però sono vietate se utilizzate in determinati contesti (riconoscimento da remoto in tempo reale, riconoscimento delle emozioni sui luoghi di lavoro).
La legge europea è pubblicata in Gazzetta Ufficiale ed entra in vigore il 1° agosto 2024. Ma, sottolinea Vaciago, «l’applicazione concreta parte dal 2 febbraio 2025, quando partono le sanzioni per chi immette sul mercato o utilizza sistemi di AI considerati vietati.
C’è poi un ulteriore step, il 2 agosto 2025, quando saranno applicabili anche le regole di IA sui large language models, che ad esempio prevedono l’obbligo di fare una valutazione di impatto». Un’operazione che sostanzialmente certifica la conformità degli algoritmi con le regole Ue. Questa è quindi una data che riguarda in particolare le società che sviluppano le intelligenze artificiali.
Infine dal 2 agosto 2026 entrano in vigore tutte le altre disposizioni dell’AI ACT.
Nuovi obblighi per le PMI
Vaciago propone una serie di considerazioni che riguardano l’applicazione dell’AI da parte delle imprese.
L’articolo 25 del Regolamento UE chiarisce che le nuove direttive si applicano solo anche alle imprese che sviluppano nuove applicazioni o vendono prodotti basati sull’intelligenza artificiale con proprio brand. Può essere il caso delle software house, ma non solo.
Le regole valgono anche per chi utilizza l’AI, con un proprio prodotto o marchio. «Se io vendo propongo servizi basati per esempio su ChatGpt, ma su cui ho effettuato elaborazioni ulteriori, ho gli stessi obblighi del produttore. E per esempio devo fare le valutazioni di impatto relative al rischio».
Un altro obbligo, oltre all’impact assessment è rappresentato dalla necessità di farsi certificare dall’autorità nazionale. Il successivo articolo 26 dettaglia gli obblighi dei deployer, ovvero gli utilizzatori, che devono affidare la sorveglianza umana sulle applicazioni ad alto rischio a persone che dispongono della competenza, della formazione e dell’autorità necessarie nonché del sostegno necessario.
L’AI ACT stabilisce regole e definisce un impianto sanzionatorio ma non disciplina la responsabilità civile dei danni causati dall’AI. Su questo fronte, l’UE sta mettendo appunto una Direttiva, che dovrà «garantire regole uniformi per la responsabile civile sull’AI».
La legge italiana sull’IA a rischio obsolescenza
E siamo alla legge italiana, che in realtà è ancora in discussione in Parlamento. Anzi, dopo l’approvazione da parte del Governo nello scorso mese di aprile, ha appena iniziato l’iter legislativo con i lavori in commissione al Senato, dove sono in corso le audizioni parlamentari.
La legge è costituit da una prima parte generale in cui vengono enunciati i principi ispiratori: viene promosso «un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica, dell’intelligenza artificiale, volto a coglierne le opportunità», garantendo di vigilare «sui rischi economici e sociali e sull’impatto sui diritti fondamentali dell’intelligenza artificiale». Ci sono poi disposizioni di settore che riguardano ad esempio sanità, lavoro, giustizia, diritto d’autore. Sono previste misure anche per il sostegno di realtà innovative che sviluppano AI, anche attraverso la creazione di poli di trasferimento tecnologico.
Fra gli aspetti che Vaciago ritiene interessanti, in materia di giustizia «viene vietato l’utilizzo dell’intelligenza artificiale con funzioni predittive sui risultati di una sentenza». Sulla sanità, invece, «si parla della possibilità dell’utilizzo dei dati secondari, nel rispetto della privacy. E questo è importante perchè significa poter utilizzare il dato sanitario, anonimizzato, per la ricerca scientifica, senza dover richiedere nessun tipo di autorizzazione».
In generale, le regole del ddl italiano non si sovrappongono a quelle europee, ma vanno a toccare argomenti più specifici che l’AI ACT, un provvedimento più orizzontale non affronta. E qui c’è una considerazione: «L’AI ACT, proprio perché è orizzontale, potrà avere probabilmente un valore duraturo negli anni. La verticalizzazione prevista dal ddl italiano invece comporta rischi legati alle evoluzioni della tecnologia».
La Strategia italiana sull’AI al 2026
Il documento degli esperti che contiene la strategia italiana per l’intelligenza artificiale al 2026 segnala, fra diversi rischi, anche quello di iper-regolazione nazionale. «Calando il contesto regolatorio europeo a livello nazionale – si legge -, si dovrà evitare di costruire ulteriori sovrastrutture normative nella definizione delle azioni strategiche, adoperandosi invece nella direzione di promuovere l’AI Act con linee guida e percorsi agili e a misura di impresa e di cittadino».
Vaciago ritiene che questo sia un segnale significativo, da valorizzare adeguatamente, anche per l’eccesso di regole rischia di creare confusione in chi le deve applicare.
Per quanto riguarda le linee strategiche individuate, l’esperto si sofferma su quelle relative a imprese e formazione. «La strategia prevede la possibilità di fornire sostegno anche finanziario alle imprese per renderle compliant con la normativa. Spero che questo ci aiuti a non commettere errori del passato: bisogna sostenere le aziende a utilizzare l’AI nel rispetto della legislazione, e non abbandonare il tessuto imprenditoriale italiano a fronte di un framework normativo molto complesso». E in materia di formazione, bene la priorità individuata sui temi di upskilling e reskilling. Lo sviluppo delle tecnologie degli ultimi 20 anni ha creato un divario anche generazionale nel mondo del lavoro. Con l’AI abbiamo l’occasione di ridurre questo gap, ma per raggiungere l’obiettivo dobbiamo investire necessariamente nella formazione».