Le verifiche che le imprese debbono fare a seguito dell’entrata in vigore dell’IA Act
Commercioestero Srl
Aprile 2025
Area Legale
info@commercioesterosrl.com

Per essere conformi all’AI Act, le imprese devono adottare strategie dettagliate in diverse aree:

  1. Valutare il livello di rischio: classificare i loro sistemi IA in base ai criteri di rischio definiti dall’AI Act.
  2. Implementare standard di sicurezza e trasparenza: assicurarsi che i sistemi IA ad alto rischio soddisfino requisiti rigorosi di sicurezza e trasparenza.
  3. Conformità ai dati e alla privacy: garantire che il trattamento dei dati sia conforme al GDPR.
  4. Cyber Security: rafforzare le misure di sicurezza per proteggere i sistemi di IA da attacchi informatici e violazioni dei dati.
  5. Non discriminazione: garantire che gli algoritmi di IA siano privi di pregiudizi e non creino discriminazioni, adottando pratiche di verifica e revisione.
  6. Sorveglianza Umana: stabilire meccanismi per un’efficace supervisione umana dei sistemi di IA. Specialmente quelli ad alto rischio, per prevenire o mitigare eventuali danni.
  7. Documentazione e registrazione: mantenere una documentazione dettagliata dei loro sistemi di IA e delle procedure di valutazione del rischio.

 

Oltre agli aspetti già menzionati è essenziale per le imprese adottare una politica interna specifica sull’utilizzo dell’IA (IA Policy).

Questa dovrebbe includere linee guida chiare su come gli algoritmi di IA vengono sviluppati, utilizzati e monitorati all’interno dell’Ente.

Inoltre, è importante prestare attenzione alla formazione del personale, al rispetto dei diritti dei lavoratori.

 

RIASSUMIAMO COSA LE IMPRESE DEBBONO FARE DALL’USCITA DELL’I.A. ACT

 

1)

Le imprese possono cominciare a evidenziare i software e le tecnologie che utilizzano.

L’obiettivo di tale attività è INDIVIDUARE QUELLI CHE POSSONO ESSERE CONSIDERATI SISTEMI DI IA AI SENSI DEL IA ACT.

Per fare ciò è necessario far riferimento alla DEFINIZIONE che dà l’IA Act secondo cui sono soggetti alle sue regole “tutti i sistemi automatizzati progettati per generare, a partire da un input che ricevono un output che può consistere in previsioni, contenuti, raccomandazioni o decisioni”.

2)

Nel momento in cui si sono evidenziati i sistemi utilizzati dall’impresa è necessario classificarli a seconda del livello di rischio che li caratterizza.

L’IA Act prevede regole differenti a seconda della tipologia di rischio che il singolo sistema presenta:

  1. rischio inaccettabile per cui il sistema è vietato già 6 mesi dopo l’entrata in vigore dell’IA Act. Vi rientrano ad esempio: i sistemi che impattano sui diritti fondamentali perché utilizzano tecniche subliminali o manipolative o consentono l’identificazione immediata delle persone in luoghi aperti al pubblico;
  2. rischio alto per cui il sistema è consentito, ma è soggetto a regole stringenti come, ad esempio, sistemi utilizzati come componenti di sicurezza di prodotti o in specifiche aree come le risorse umane o i servizi pubblici o privati essenziali.

Sono divisi in due tipologie:

1) prodotti o componenti di sicurezza di un prodotto, armonizzato a livello UE – come i videogiochi,

2) sistemi di IA che operano in una delle otto aree ad alto rischio. Tra queste alcune sono funzioni tipiche delle imprese come ad esempio: la gestione e selezione delle risorse umane e la formazione.

Le Regole UE dell’IA Act scattano in questo ambito 24 mesi dopo la sua entrata in vigore (36 mesi per i prodotti ed i componenti di prodotto).

 

Le imprese si devono assicurare che questi sistemi siano esaminati attentamente prima dell’uso, che siano facilmente controllabili e che sia garantita una supervisione umana adeguata.

CONSIGLIO: per i sistemi ad “alto rischio” si consiglia che le imprese adottino una “policy d’uso” come ad esempio: indicare chi tra i dipendenti è autorizzato ad utilizzarli;

 

  1. rischio basso per cui il sistema è consentito e sottoposto solo ad obblighi di trasparenza o informativi COME AD ESEMPIO: i sistemi destinati ad interagire con le persone fisiche o a generare contenuti, per cui l’utente deve essere informato che quello con cui interagisce è un sistema di IA o che il contenuto è stato generato tramite l’IA;
  2. rischio minimo per cui il sistema è consentito senza alcun obbligo specifico ed implicano molte applicazioni di IA comuni come ad esempio i filtri di IA per le foto;

 

  1. un certo numero di norme è dedicato al General purpose AI system cioè sistemi educati con una grande quantità di dati in grado di eseguire una grande quantità di attività come ad esempio fa Chat GPT: consentiti, ma sottoposti ad una stringente regolamentazione.

 

Come si pongono i sistemi di IA generativa come ad esempio Chat GPT o Gemini di Google Messangers rispetto all’IA Act?

Si noti che l’IA Act non menziona espressamente tali sistemi, ma prevede una serie di norme specifiche per tutti – “General purpose AI model” cioè i sistemi di IA “generativa” che possono essere classificati a rischio semplice o sistemico.

La capacità di apprendere di continuo in modo autonomo, come fa Chat GPT, è uno degli indici che può portare a definire un modello come a RISCHIO SISTEMICO quindi da trattare con molta attenzione anche se la definitiva classificazione sarà complessa e frutto dell’incrocio di più requisiti indicati dall’IA Act.

CONSIGLIO: le imprese possono adottare dei “codici di condotta” o di “buone pratiche” applicando all’IA policy uguali a quelle applicate ai sistemi ad alto rischio.

Per predisporre tali “codici di condotta” le imprese hanno 12 mesi dall’entrata in vigore dell’IA Act, dopo quella data si applicheranno i “General purpose AI models”.

3)

Effettuate le due precedenti analisi L’IMPRESA DEVE PASSARE A QUALIFICARE IL PROPRIO RUOLO RISPETTO AL SISTEMA DI IA CHE UTILIZZA.

 N.B. Per fare questo l’impresa, basandosi sull’IA Act, che prevede norme differenziate a seconda di come opera, deve sapere individuare a quali di queste attività appartiene:

  1. “fornitore”,
  2. “importatore”,
  3. distributore,
  4. utilizzatore di un sistema di IA.

Le obbligazioni più vincolanti sono a carico dei “fornitori” cioè coloro che progettano e sviluppano il sistema di IA.

I “fornitori” sono obbligati, tra l’altro a:

  1. sottoporre tale sistema a una valutazione di conformità prima dell’immissione in commercio;
  2. a predisporre un sistema di gestione dei rischi connessi al suo utilizzo finalizzato ad individuarli, valutarli e abbassarne la rischiosità;
  3. a predisporre un’adeguata documentazione tecnica per garantirne un uso conforme da parte degli utilizzatori.

Alcune obbligazioni sono poste anche in capo ai distributori ed agli “importatori” che devono tra l’altro verificare il rispetto delle norme da parte dei “fornitori”.

Gli utilizzatori devono tra l’altro garantire che l’utilizzo dei sistemi avvenga in modo conforme alla documentazione tecnica predisposta dai “fornitori”.

4)

Inoltre, le imprese si dovranno far carico di predisporre una formazione adeguata per i propri lavoratori che, a seconda della “gravità” del rischio dovrà essere più approfondita e scrupolosa.

Su questo tema l’IA Act obbliga gli utilizzatori ad adottare misure tecniche ed organizzative per garantirne l’impego in modo conforme alle istruzioni del “fornitore” e ad affidarne la sorveglianza a persone fisiche con adeguata competenza e formazione.

È opportuno prevedere policy aziendali per disciplinare l’uso autonomo, da parte dei singoli dipendenti, di sistemi di IA open source nell’attività lavorativa.

5)

Sarà opportuno inserire nei contratti con i “fornitori” di software e di tecnologia clausole apposite che traggono ispirazione dall’IA Act e che tendono ad assicurare un adeguamento con l’IA Act.

COME AD ESEMPIO la verifica dei Manuali d’uso e manutenzione e dell’utilizzo dei software di IA.

A tal proposito È OPPORTUNO CHE I “FORNITORI” DICHIARINO:

  1.  se quello “fornito” può essere considerato un sistema di IA e quale ne è il livello di rischio;
  2. che si è proceduto a tutte le obbligazioni previste dalle nuove Norme Europee in riferimento al sistema in questione;

6)

Inoltre, è opportuno che vengano previste garanzie e manleve per danni e conseguenti sanzioni ricevute come conseguenza dell’uso del sistema di IA oggetto del contratto.

 

SANZIONI

Dall’entrata in vigore del Regolamento le imprese avranno 2 anni di grace period per adeguarsi.

Dopo di che le imprese che non rispettano le norme dell’AI Act saranno passibili di sanzioni:

  1. sanzioni fino a 30 milioni di euro o il 6% del fatturato annuo globale per violazioni gravi come l’inosservanza dei requisiti relativi ai dati e pratiche illecite;
  2. sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale per la fornitura di informazioni false, inesatte o incomplete;
  3. sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale per altre tipologie di non conformità.

 

Queste fasce sanzionatorie enfatizzano l’importanza del rispetto delle normative dell’AI Act per le imprese.