Tempo di lettura: 5 minuti

Il nuovo AI Act impone obblighi anche alle PMI e startup. Scopriamo cosa fare per evitare sanzioni e rendere conformi i sistemi di intelligenza artificiale.

SOMMARIO

  • Introduzione all’AI Act e al contesto europeo
  • L’AI Act come una straordinaria opportunità per fare innovazione in modo responsabile
  • Chi è coinvolto: anche PMI e startup
  • Classificazione del rischio: come individuare dove si colloca il sistema di AI
  • Come iniziare un progetto di AI compliance

Introduzione all’AI Act e al contesto europeo

Nel 2024 il Parlamento Europeo ha approvato il Regolamento sull’Intelligenza Artificiale, noto come AI Act. Si tratta della prima normativa organica dedicata al mondo sull’IA, pensata per garantire un utilizzo sicuro, etico e trasparente di queste tecnologie.

L’AI Act, d’altro canto, non si applica solo alle grandi aziende tecnologiche (Big Tech), ma coinvolge anche PMI, startup e sviluppatori indipendenti.

Pertanto, anche le PMI e le startup che utilizzano o integrano sistemi di intelligenza artificiale nei propri prodotti o servizi, devono verificare se rientrano nell’ambito di applicazione della normativa.

L’obiettivo del legislatore europeo è chiaro: governare il rischio, proteggere i diritti fondamentali delle persone e promuovere un’IA responsabile.

L’AI Act come una straordinaria opportunità per fare innovazione in modo responsabile.

La compliance all’intelligenza artificiale non è un costo, ma un investimento nel futuro digitale dell’impresa.

In altri termini, le PMI che iniziano oggi un percorso di adeguamento hanno una serie di vantaggi:

  • evitano sanzioni e danni reputazionali;
  • migliorano la qualità e affidabilità dei propri sistemi IA;
  • si posizionano come attori consapevoli e competitivi.

Chi è coinvolto: anche PMI e startup

L’AI Act si applica alle organizzazioni che:

  • sviluppano sistemi di IA (anche tramite modelli pre-addestrati);
  •  integrano modelli IA in un prodotto o servizio (es. chatbot, sistemi di raccomandazione, automazione decisionale);
  • commercializzano o utilizzano sistemi IA nell’Unione Europea, anche se il fornitore è esterno all’UE.

Rientrano quindi anche startup, PMI tecnologiche, agenzie, SaaS e piattaforme digitali.

Molte aziende credono erroneamente di non essere soggette all’AI Act perché non sviluppano direttamente sistemi di IA. Tuttavia, anche l’utilizzo commerciale o operativo di strumenti basati sull’intelligenza artificiale può comportare obblighi normativi ben definiti.

Classificazione del rischio: come individuare dove si colloca il sistema di AI

L’AI Act adotta un approccio “modulare” basato sul rischio, classificando i sistemi IA in quattro categorie:

  1. rischio inaccettabile: vietati;
  2. rischio alto: utilizzati in ambiti come istruzione, giustizia, lavoro, sanità, infrastrutture critiche;
  3. rischio limitato: obblighi di trasparenza verso gli utenti;
  4. rischio minimo: sistemi a basso impatto, soggetti solo a buone pratiche volontarie.

È necessaria una valutazione specifica per ogni situazione, caso per caso, che tenga conto dell’uso previsto del sistema di IA, del contesto in cui viene impiegato, dei dati trattati e delle modalità di apprendimento automatico utilizzate.

Come iniziare un progetto di AI compliance

In generale, per le aziende l’adeguamento all’AI Act non può essere improvvisato.

Richiede, invece, un approccio metodico, che tenga conto di una serie di fattori: delle dimensioni dell’impresa, delle tecnologie adottate e degli obiettivi di business. In altri termini, è essenziale che questo percorso sia concreto, proporzionato e scalabile.

È possibile strutturare un progetto efficace di AI compliance, in 5 fasi operative:

  1. mappatura dei sistemi IA utilizzati (interni o esterni);
  2. valutazione del rischio in base all’uso e al contesto;
  3. adeguamento tecnico e documentale;
  4. formazione del personale;
  5. consulenza legale e tecnica integrata.

Vediamo nel dettaglio le singole fasi.

  1. Mappatura dei sistemi IA utilizzati

Innanzitutto, l’obiettivo dell’azienda è sapere dove e come viene utilizzata l’intelligenza artificiale all’interno della propria organizzazione.

È necessario quindi raccogliere le informazioni su tutti i sistemi IA attualmente in uso, sia sviluppati internamente, sia forniti da terze parti (es. chatbot, scoring automatizzati, strumenti predittivi, algoritmi di selezione del personale).

L’organizzazione deve, inoltre, valutare anche gli strumenti “embedded” in software aziendali (CRM, strumenti di marketing automation, analytics) e classificare i sistemi in base al tipo di attività che svolgono (supporto decisionale, automazione, generazione di contenuti, ecc.).

In altri termini, vanno individuati tutti i sistemi che stanno prendendo decisioni o generando output automatici nell’azienda.

  1. Valutazione del rischio in base all’uso e al contesto

Occorre, poi, comprendere in quale livello di rischio rientrano i sistemi individuati, secondo la classificazione dell’AI Act e analizzare l’ambito di applicazione (es. sanità, lavoro, istruzione, giustizia);

Un’altra valutazione da fare riguarda la sensibilità dei dati trattati (dati biometrici, personali, comportamentali) e considerare la finalità e l’impatto sugli utenti. Infatti, è necessario verificare se il sistema incide su diritti o libertà fondamentali ed esamina il livello di autonomia del sistema (supporto o decisione automatica).

La classificazione preliminare dei sistemi sarà quella relativa alla verifica del rischio come inaccettabile, alto, limitato o minimo.

  1. Adeguamento tecnico e documentale

Secondo quanto previsto dal Regolamento AI Act, ogni sistema di intelligenza artificiale deve essere accompagnato da una documentazione tecnica completa e da misure di governance adeguate alla sua classificazione di rischio.

Per i sistemi ad alto rischio, i fornitori devono:

  • redigere una documentazione tecnica dettagliata, in linea con l’Allegato IV, comprensiva di dati, architettura, training, test, e monitoraggio;
  • implementare un sistema di gestione del rischio e misure di sorveglianza umana;
  • garantire accuratezza, robustezza e sicurezza del sistema;
  • sottoporre il sistema a valutazione di conformità e registrarlo nel registro UE dei sistemi IA ad alto rischio prima dell’immissione sul mercato.

Per i sistemi a rischio limitato, è richiesto:

  • informare l’utente che sta interagendo con un sistema IA;
  • offrire, dove applicabile, una modalità alternativa non automatizzata;
  • etichettare i contenuti generati da IA e segnalarne la natura artificiale;
  • per i sistemi generativi (es. LLM), adottare misure specifiche per garantire trasparenza, rispetto del copyright, tracciabilità e limitazione degli usi abusivi.

Possono rappresentare, in concreto, strumenti utili: i modelli di documentazione, le checklist normative, gli strumenti di tracciabilità e audit trail con la registrazione dettagliata di tutte le modifiche apportate al sistema.

  1. Formazione del personale

È essenziale costruire una cultura aziendale informata e consapevole sull’uso dell’IA.

Perciò l’azienda deve organizzare sessioni formative per team tecnici, marketing, risorse umane e management ed approfondire temi come la classificazione del rischio, la gestione della trasparenza, l’uso etico dell’IA, la gestione dei bias e la data governance.

Promuovere, infatti, la diffusione di policy interne sull’uso responsabile e conforme dell’IA diventa uno strumento imprescindibile, in quanto consentono ad ogni collaboratore di essere consapevole di come e se utilizzare o meno l’IA in azienda.

  1. Consulenza legale e tecnica integrata

È possibile trasformare la compliance in un vantaggio competitivo, con un supporto di una consulenza legale specializzata in diritto digitale e AI Act, che possa aiutare a interpretare e applicare correttamente il complesso panorama normativo.

Integrare la componente legale con una consulenza tecnica e operativa, per valutare codice, architetture e processi, è la chiave per una perfetta integrazione della compliance.

Più nel dettaglio, sarà importante definire un AI Governance Plan con ruoli, responsabilità, audit periodici, flussi documentali.

Un approccio multidisciplinare è fondamentale per evitare soluzioni parziali e garantire coerenza normativa e sostenibilità tecnologica.