EU AI Act, c’è l’accordo. Ecco che cosa cambia adesso per i CIO
La legge prevede anche una nuova struttura amministrativa intorno all’intelligenza artificiale, tra cui un AI Office, interno alla Commissione Ue, che dovrà supervisionare i modelli IA più avanzati e favorire la definizione di nuovi standard e procedure di test, nonché garantire l’applicazione dell’AI Act. L’ufficio sarà supportato da un panel di esperti indipendenti che forniranno consulenza sui modelli GPAI. Gli Stati membri saranno rappresentati dall’AI Board, organismo di coordinamento e consulenza per la Commissione.
La non-compliance può portare a multe che vanno da 7,5 milioni di euro o l’1,5% del fatturato globale fino a 35 milioni o il 7% del fatturato globale dell’impresa, a seconda delle sue dimensioni e della gravità della violazione.
Il testo definitivo dell’AI Act dovrebbe essere pubblicato sulla Gazzetta Ufficiale dell’Unione europea all’inizio del 2024. La legge sarà applicabile dopo due anni, ma alcune disposizioni specifiche saranno attuate entro sei mesi e le regole sui GPAI entro 12 mesi.
Che cosa possono fare i CIO adesso (non da soli)
Che cosa implica fin da ora per i CIO l’arrivo dell’AI Act? Anche se l’attuazione è prevista nel giro dei prossimi due anni, per Olivi di Dentons il momento di agire è subito: i CIO devono pensare alla governance dell’innovazione e considerare, soprattutto nelle imprese di medio-grandi dimensioni, che, con tecnologie così complesse dal punto di vista degli impatti e dei rischi come sono i sistemi di IA, il CIO non può occuparsi di tutto.
“Il consiglio per le organizzazioni che usano o hanno in piano di usare sistemi IA è di cominciare ora ad affrontare il tema degli impatti mappando i loro processi e valutando il loro livello di compliance alle nuove regole”, afferma Olivi. “Va implementata una strategia di governance dell’IA che deve essere allineata con gli obiettivi di business: in pratica, bisogna capire in quali aree dell’attività aziendale l’IA potrà apportare i maggiori benefici, aiutando a raggiungere gli obiettivi strategici”.
La governance dell’IA va allineata a quella dei dati – personali e non personali – e, quindi, alle relative norme dell’Ue, cominciando dal GDPR. Andrà anche implementato un quadro di procedure interne tale da assicurare che solo “sviluppatori compliant” lavorino sull’IA e che vengano sviluppati e impiegati solo modelli conformi. Occorrono, inoltre, policy di gestione dei rischi (per esempio, la due diligence sui fornitori) e un’attività di monitoraggio e supervisione dei sistemi IA in tutto il loro ciclo di vita. Ciò ha una diretta ricaduta sulle competenze da acquisire con nuove assunzioni o con il reskilling delle persone interne all’azienda.
È evidente, da questa “lista delle cose da fare” che il CIO deve agire insieme ad altri team aziendali in modo coordinato. I compiti sono tanti, ma volendo mettere le “cose da fare” in ordine di priorità, meglio partire dall’acquisizione delle competenze, sull’IA e su tutti i settori adiacenti, in ottica multidisciplinare. Un’altra raccomandazione che arriva dagli esperti è di continuare a studiare la tecnologia e osservare, insieme al team Legal, che cosa succede a livello globale: all’AI Act potrebbero seguire altre regolamentazioni in altri Paesi che i CIO non potranno ignorare.