AI Act, nuovi obblighi al via: l'impatto per i CIO

Il cammino dell’AI Act europeo verso la piena attuazione prosegue, con nuove disposizioni alle quali i CIO dovranno prestare attenzione. Dallo scorso 2 agosto, infatti, sono in vigore obblighi specifici per le aziende che sviluppano o utilizzano modelli di General Purpose AI (GPAI), come i Large Language Models (LLM) e, quindi, come ChatGPT. Non siamo dinanzi a obblighi riservati alle realtà che sviluppano e vendono soluzioni di intelligenza artificiale, ma, a cascata, anche alle imprese non IT, di grandi o piccole dimensioni, qualora implementino questi modelli e li usino nei prodotti interni o verso terzi.

L’AI Act, o Regolamento UE 2024/1689, è il quadro normativo europeo sull’intelligenza artificiale. Dal 2 febbraio sono già scattati gli obblighi di eliminazione delle pratiche vietate (art. 5) e di formazione e aggiornamento delle competenze interne sull’intelligenza artificiale, la cosiddetta AI Literacy o alfabetizzazione in materia di AI (art. 4) – una disposizione che ha già messo al lavoro i CIO, consapevoli che non si può portare questa tecnologia in azienda senza un’adeguata preparazione del personale.

Anche se è prevista, data la sua complessità, una graduale entrata in vigore della legge, fino all’attuazione completa ad agosto del 2026, questo non ha fermato molte imprese italiane ed europee dal rivolgersi alla Commissione UE per fare richiesta di un rinvio dell’entrata in vigore, una dilatazione dei tempi, ritenuta necessaria per preservare la capacità di fare innovazione. Sono oltre 50 i gruppi industriali europei che chiedono alla Commissione UE di fermare l’applicazione della legge sull’intelligenza artificiale, in attesa che arrivino gli standard e la promessa semplificazione dell’impianto normativo sul digitale. A loro avviso, l’attuazione andrebbe rinviata di due anni, “Abbiamo elaborato proposte dettagliate e siamo pronti a collaborare a stretto contatto con la Commissione” - si spiega in legge in questo Appello, sottoscritto anche da Anitec-Assinform, la principale associazione che in Italia rappresenta la filiera ICT e dell’high-tech digitale.

Gli obblighi scattati ad agosto

Come accennato, dal 2 agosto sono però scattati alcuni obblighi che hanno un impatto su tutta la filiera dell’intelligenza artificiale: fornitori di modelli, utilizzatori (deployer) e fornitori a valle (software house, integratori, aziende tech). In particolare, come evidenzia Alessandro Del Ninno, Partner di FIVERS Studio Legale e Tributario, si applicano “le norme in materia di trasparenza, fondamentali per tutti i sistemi di AI che interagiscono con le persone o generano contenuti digitali, anche se non classificati come ad alto rischio”.

Alcuni esempi: un assistente virtuale integrato in un sito di e-commerce dovrà consentire all’utente di capire che la sua è un'interazione con un sistema automatizzato, a meno che non risulti evidente; una software house che genera video pubblicitari tramite AI dovrà adottare misure tecniche - come identificatori digitali, marcatori invisibili o soluzioni di tracciabilità nei file audio/video - per rendere riconoscibile l’origine artificiale dei contenuti che la tecnologia ha manipolato o prodotto.

“In parallelo”, prosegue Del Ninno, “i fornitori di modelli di intelligenza artificiale per finalità generali (GPAI) - come GPT, il modello alla base del sistema ChatGPT - sono tenuti a redigere una documentazione tecnica completa, conforme all’Allegato XI dell’AI Act; a pubblicare un riepilogo dei dati di addestramento secondo il template pubblicato dalla Commissione UE; e ad adottare una policy sul rispetto del copyright, per dimostrare la liceità dell’utilizzo dei contenuti nell’addestramento e ridurre il rischio di output lesivi di diritti di terzi. I fornitori di GPAI già presenti sul mercato prima del 2 agosto 2025 potranno adeguarsi entro il 2 agosto 2027”.

GPAI Code of Practice ad adesione volontaria

La Commissione UE ha anche adottato un GPAI Code of Practice ad adesione volontaria e le Linee guida tecniche di attuazione per assistere i fornitori nell'applicazione degli obblighi documentali, di trasparenza e di sicurezza. Le norme applicabili dal 2 agosto 2025 non sono però mera compliance.

“È necessaria una ristrutturazione dei rapporti tra fornitori di modelli, fornitori a valle che li adattano, rivendono o distribuiscono e le aziende che li utilizzano (deployer)”, prosegue Del Ninno. “Ecco perché i contratti di fornitura, licenza, e così via dovranno riflettere in modo chiaro - mediante adeguamento delle relative clausole alla luce dell’AI Act - gli obblighi di documentazione tecnica e disclosure; le istruzioni per l’uso conforme; i profili di responsabilità; le policy di gestione del copyright; la gestione degli aggiornamenti; la corretta allocazione delle responsabilità lungo la filiera”.

Che cosa sono tenuti a fare i CIO oggi

Dal 2 agosto 2025 è entrata anche in funzione l’architettura di governance prevista dall’AI Act, comprendente l’AI Office (Ufficio europeo per l’AI, responsabile del monitoraggio e dell’applicazione delle normative) e le Autorità nazionali di vigilanza (che ciascuno Stato membro ha designato al fine di garantire l’attuazione del regolamento). Da questo punto di vista l’Italia è un po’ in ritardo: “Si prevede che l’Autorità competente venga identificata con l’approvazione del Disegno di legge sull’intelligenza artificiale attualmente in discussione”, spiega l’Avv. Olindo Genovese, Studio legale Daverio&Florio. “Al momento il ddl designa, quali autorità nazionali per l’intelligenza artificiale, l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). Tuttavia, ad oggi nessuna Autorità è stata formalmente istituita. Inoltre, sul sito del Senato, il provvedimento risulta ‘collegato alla legge di Bilancio’; dunque, salvo novità, la sua approvazione dipenderà da quella di quest’ultima (31 dicembre di ciascun anno)”.

(Fonte testo: https://www.cio.com/it/ - Credito immagine: Shutterstock / Arsenie Krasnevsky)