ANALISI

AI Pact: tutto ciò che occorre sapere sul patto anticipato e volontario di compliance AI



Indirizzo copiato

Anticipated Voluntary Compliance per l’AI è una iniziativa ideata dalla Commissione Europea, volta a facilitare un’implementazione anticipata dell’AI Act di prossima pubblicazione in Gazzetta Ufficiale europea. Vediamo di che cosa si tratta, a che serve, come funziona e perché sarebbe bene per le aziende aderirvi

Pubblicato il 1 lug 2024

Laura Garbati

Avvocato – IT/IP specialist – License Manager

Chiara Ponti

Avvocato, Legal & Compliance e nuove tecnologie



AI ACT

Non occorre attendere che l’AI Act venga pubblicato in Gazzetta Ufficiale europea – per quanto sia davvero solo questione di giorni – per rendere conformi i nascenti sistemi di intelligenza artificiale; già oggi infatti si può aderire all’AI Pact ovvero quel Patto che “incoraggia e sostiene le organizzazioni a pianificare in anticipo l’attuazione delle misure della legge sull’AI” come esattamente definisce la Commissione europea. Ma andiamo per gradi, analizzandolo meglio.

AI Act, cosa prevede

Per meglio spiegare di che cosa stiamo parlando quando ci riferiamo all’AI Pact, dobbiamo analizzare il contesto anche alla luce della finale approvazione dell’AI Act, quali sono le sue possibili previsioni, per poi sollevare alcuni degli eventuali problemi.

Il contesto: la finale approvazione dell’AI Act e le date di adozione

Dopo aver discusso, il 19 aprile 2024 il Parlamento Europeo ha votato l’ultimo corrigendum al testo del nuovo e tanto atteso Regolamento. Manca solo l’ultimissimo miglio: la sua pubblicazione in Gazzetta Ufficiale UE (che dovrebbe avvenire il 12 luglio). Il testo che abbiamo già analizzato, possiamo dire che è ormi, a tutti gli effetti, consolidato.

Le disposizioni ivi previste per i cd “sistemi ad alto rischio” e per i modelli cd “multi-purpose”, non sono certamente semplici né immediate, come vedremo. Perciò, come d’altronde d’uso, dal momento della effettiva entrata in vigore (20 giorni dalla pubblicazione in GUCE) i Regolamenti prevedono anche il cd “stand still”, una sorta di “interregno” temporale che dà alle imprese un polmone per adeguarsi con i relativi investimenti anche in termini organizzativi.

D’altra parte, la stessa complessità dell’AI Act ha suggerito un approccio graduale:

  • dopo i primi 6 mesi, diverranno efficaci le previsioni relative ai sistemi vietati;
  • entro 12 le disposizioni che prevedono specifici obblighi di trasparenza nell’impiego di determinati sistemi di AI;
  • dopo 36 mesi, le previsioni relative ai sistemi integrati in prodotti.

In ogni caso, la maggior parte delle previsioni, incluse quelle relative ai sistemi ad alto rischio, diverranno efficaci, dunque nel 2026.

Le possibili previsioni

Rammentiamo che l’AI Act adotta un approccio risk based in logica antropocentrica (diritti umani al centro), mutuando la nozione di accountability dal mondo privacy, e distinguendo quindi tra sistemi vietati (tra cui social scoring, visual scraping, etc), sistemi ad alto rischio i quali possono andare a condizionare anche pesantemente diritti e libertà delle persone, sistemi a rischio limitato (es. che interagiscono con le persone, ecc) e, infine, quelli a rischio minimo o nullo.

Per cercare di non bloccare il mercato (ovvero investimenti e sviluppo) e contemporaneamente garantire il famoso “uomo al centro”, l’Europa si concentra sui sistemi ad alto rischio, proponendo limitati obblighi di trasparenza per quelli di rischio medio (devo sapere se sto parlando con una AI!) e promuovendo l’adozione di codici di condotta per i sistemi meno “pericolosi”

In ogni caso, i sistemi ad alto rischio vanno al tempo stesso a toccare ambiti di grande potenzialità e interesse (sanità, lavoro, educazione, tanto per dirne alcuni) e a essere oggetti di previsioni puntuali e stringenti, relativi alla corretta governance dei dati, alla necessità di una accurata valutazione del rischio condotta nel contesto di un organizzato sistema di qualità, un approccio “by design” e di monitoraggio continuo finalizzato a identificare i rischi, minimizzarle a un livello “ragionevolmente adeguato” e correggerli anche in corso di produzione.

FRIA, che cos’è

Si tratta anche di redigere documentazione chiara e trasparente, adottare un impiego altrettanto comprensibile verso i soggetti sottoposti potenzialmente a tali sistemi e – in specifici casi – effettuare anche una valutazione di impatto sui diritti umani (la cd FRIA, Fundamental Rights Impact Assestment). La FRIA peraltro è anche un requisito di una “nuova” categoria introdotta in sede di revisione dal Parlamento UE, i sistemi di AI cd. “multi-purpose (originariamente “foundation model”), ovvero quei sistemi, per propria funzionalità, che possono prestarsi a più fini anche molto diversi tra loro (come i MML alla ChatGPT e i generatori di immagini).

L’uso dei sistemi biometrici

Altro punto di attenzione (e frizione, essendo stato uno dei punti caldi su cui si è concentrato a dicembre il confronto del trilogo) è l’uso dei sistemi biometrici, con l’introduzione di una soluzione “di compromesso”, sistemi biometrici sì ma solo a determinate condizioni (uso da parte delle autorità di contrasto per indagini relative a particolari gravi reati, etc.). Si tratta di un sistema che cerca di raggiungere la minimizzazione dei rischi lungo tutta la catena di “vita” di un sistema di AI, coinvolgendo fornitori, utilizzatori (i cd deployer), importatori e distributori, in una rete di reciproci impegni, informazioni, vigilanza, che a sua volta si innesta in un sistema di monitoraggio (i sistemi di AI ad alto rischio saranno registrati in un data base UE) con entità nazionali referenti a un nuovo Ufficio per l’AI europeo (sulla falsariga di eIDAS, per intenderci).

È intuitivo, peraltro, che in questo articolato contesto, una delle principali sfide per le aziende sarà essere in grado di costituire team trasversali adeguati a vincere la sfida di una gestione integrata con i sistemi di compliance già in essere, evitando gestioni a silos e duplicazioni (con relativi costi).

AI Act, i problemi che potrebbero sorgere

Da fare ce n’è, e non poco, tanto che due anni non sono affatto tanti, anzi. A ciò si aggiungono altri due elementi, l’uno di interesse per le organizzazioni, l’altro per la stessa Commissione. In primo luogo, infatti, l’AI Act è vivo ma diverrà pienamente efficace “solo” tra due anni, per la maggior parte delle disposizioni: intanto che si fa? D’altronde, molti degli obblighi posti a carico di produttori e deployer descrivono l’obiettivo da raggiungere, ma – comprensibilmente – non dicono il come (altrimenti il Regolamento diverrebbe rapidamente obsoleto). Necessariamente, quindi, una delle prime azioni da intraprendere per raggiungere la compliance è senz’altro effettuare un’analisi interna al fine di “mettere a terra” la normativa, individuando prassi operative, criteri di classificazione, soluzioni organizzative e di processo.

Cos’è l’AI Pact

D’altra parte, la Commissione è ben consapevole che in due anni, per così dire, “i buoi possono scappare dalla stalla”, facendo maturare tardi le norme mentre la tecnologia galoppa. E, ancor di più, il suo Ufficio per l’AI, è chiamato a produrre guide, esempi, proporre prassi e supporti che certo non possono attendere tanto.

Ecco perché, sotto l’ombrello di una legge che già c’è, ma che rimane ancora “sospesa”, nasce l’idea di raggiungerla secondo un modello che ricorda un po’ proprio le vecchie community open source: in che modo? Con l’AI Pact. Si tratta di una iniziativa di interesse, come meglio vedremo più oltre, in quanto si tratta di una sorta di “spazio aperto” al fine di sperimentare, acquisire competenze e soluzioni, avviando, in particolare, l’implementazione degli obblighi in arrivo con il supporto, il confronto e la guida della Commissione/Ufficio per l’AI, proprio deputato alla vigilanza e al controllo della puntuale attuazione dell’AI Act.

L’AI Pact è una pregevole iniziativa in quanto, come anticipato, consente di anticipare la compliance all’AI Act. Non a caso, ha il potenziale enorme per contribuire a garantire che l’intelligenza artificiale sia sviluppata e utilizzata in modo responsabile e corretto, a beneficio di tutti.

AI Pact: cosa si prefigge, obiettivi generali e specifici

L’AI Pact ovvero, per esteso, l’“Anticipated Voluntary Compliance for AI”, si prefigge diversi obiettivi tanto generali, quanto specifici.

Tra gli obiettivi generali troviamo l’opportunità di:

  • promuovere uno sviluppo e un utilizzo responsabile dell’intelligenza artificiale nella UE;
  • aumentare la fiducia nelle tecnologie emergenti;
  • preparare le organizzazioni all’entrata in vigore del Regolamento AI.

Tra gli obiettivi specifici, annoveriamo invece quello di:

  • facilitare l’implementazione anticipata di alcune delle misure dell’AI Act;
  • creare una sorta di “comunità” di attori impegnati nello sviluppo e nell’utilizzo responsabile dell’intelligenza artificiale;
  • fornire alle Organizzazioni orientamenti e supporto per la compliance all’AI Act;
  • promuovere la condivisione di best practice nonché lo sviluppo di soluzioni innovative per i sistemi di intelligenza artificiale.

In pratica, l’AI Pact mira a incoraggiare le organizzazioni a pubblicare i propri processi e le proprie pratiche per l’AI, da un lato volendole aiutare nel valutare la compliance dei propri sistemi di intelligenza artificiale ai requisiti dell’AI Act, e dall’altro facendo in modo di fornire loro una sorta di “spazio/forum” per discutere le sfide e le opportunità che l’intelligenza artificiale offre, in qualche modo. Senza dimenticare, al tempo stesso, di sostenere la ricerca e lo sviluppo delle tecnologie emergenti e di frontiera rendendole certamente affidabili e sicure.

A chi interessa

Pare che già circa quattrocento aziende, quelle più avvedute, vi abbiano aderito o meglio abbiano scritto alla Commissione manifestando da un lato l’interesse e la volontà di avviare il processo di adesione (volontaria) all’AI Pact, e dall’altro volendo, in modo lungimirante, risolvere in anticipo i probabili “grattacapi” dell’AI Act. Tali Organizzazioni sono perfettamente consapevoli che l’AI Act sarà un Regolamento di non facile applicazione. Occorrerà evitare una compliance “raffazzonata” fatta di una lista “ce l’ho, ce l’ho, manca”, per capirci. Parimenti, vista la complessità se pensiamo anche solo alla “ramificazione degli algoritmi” – pratica che imporrà il monitoraggio delle Autorità preposte – saranno necessari standard e modelli che consentano l’orientamento nei documenti da produrre. Sarà altresì importante valutare l’opportunità di aderire allo Schema di Certificazione Standard ISO/IEC 42001:2023, già varato.

AI Pact: cosa prevede e i due pillar

In questo contesto e con tali obiettivi, già a novembre 2023 – quindi ancor prima che si superassero gli scogli politici di dicembre scorso, la Commissione pubblicava il primo invito a manifestare interesse all’iniziativa. Rispondevano infatti oltre 550 organizzazioni di varie dimensioni, settori e Paesi. Anche forte di questa base “di consenso”, la Commissione ha quindi elaborato il progetto vero e proprio, che per certi versi ricorda le sandbox previste dallo stesso AI Act al fine di sperimentare e verificare i sistemi da un lato, e dall’altro una sorta di think tank per condividere, creare, trovare modelli e consolidarli in un processo di continua e auspicabile crescita. Con questa ambizione, l’iniziativa dell’AI Pact poggia metaforicamente su due pilastri (i pillar) che individuano due contesti operativi, correlati e distinti. Vediamoli separatamente.

Pillar I

Figura 1 Estratta dal sito della Commissione

Il primo pilastro dell’AI Pact è la vera e propria community dell’AI europea che mira a coinvolgere e favorire lo scambio di conoscenze e soluzioni tra tutti coloro i quali hanno manifestato interesse all’adesione. Non solo, incentiva e altresì coordina lo scambio di quelle famose best practices che saranno il cuore degli adempimenti in materia. L’ambizione dichiarata, peraltro, è anche quella di riuscire a produrre e mettere a disposizione anche “informazioni pratiche sul processo di attuazione della legge sull’IA”.

Le attività previste comprendono quindi prima di tutto occasioni di condivisione, come l’organizzazione di seminari e workshop per promuovere la conoscenza e la consapevolezza da parte degli aderenti di obblighi responsabilità e strumenti, anche mediante l’incontro tra Organizzazioni con medesimi sfide e problemi, che possano mettere a fattor comune esperienze e idee. Al tempo stesso, obiettivo della Commissione è la creazione di uno spazio online per lo scambio di metodi e soluzioni. Al riguardo, è interessante notare come l’attenzione sia posta fin dalla presentazione anche alla riservatezza del know-how dei potenziali partecipanti: la condivisione è interna alla comunità e sarà pubblicata “a seconda delle preferenze dei partecipanti”.

Attività, naturalmente, tutte gestite e coordinate dall’Ufficio per l’AI, che presumibilmente guiderà e interloquirà con i soggetti aderenti anche nell’ottica di identificare standard e regole pratiche da rendere riferimento attuativo generale, che, di fatto, è proprio il focus del Pillar II che segue.

Pillar II

Il secondo pilastro che ovviamente opera come l’altra faccia di una stessa medaglia rispetto al primo, vuole costituire un efficace supporto per una implementazione più immediata – e rapida – degli impegni di cui al Regolamento, avviando un sistema di apprendimento operativo che anticipi in modo operativo tutte le previsioni dell’AI Act. L’intento è chiaro, e il messaggio pure: la legge non è ancora entrata in vigore/efficace, ma iniziamo ad applicarla.

In questo scenario, le organizzazioni che vogliono partecipare possono assumere liberamente una sorta di “patto” (cd “dichiarazioni di impegno”) per l’attuazione anticipata delle regole del nuovo Regolamento, contenendo un vero e proprio “compliance plan” ovvero un piano operativo di conformità che preveda l’adozione, anche incrementale, con la previsione di azioni concrete. Su queste ultime evidentemente tali Organizzazioni aderenti saranno invitate a riferire regolarmente alla Commissione stessa, tramite l’Ufficio per l’AI.

Quale può essere il vantaggio, visto che si parla di assumersi volontariamente impegni? Attenzione, perché le organizzazioni che sviluppano sistemi di AI puntano a stabilità e affidabilità, come elemento essenziale del proprio business, fin da adesso. In questo senso, la Commissione propone l’adesione all’AI Pact, e la collaborazione all’interno del suo secondo pilastro, come uno strumento per operare già ora in trasparenza, che permetta loro di distinguersi in termini di affidabilità e, al tempo stesso, essere in un certo senso “accompagnate” nell’attuazione.

Condividere dunque, in modo proattivo, i propri piani di attuazione, non solo permette di distinguere quali soggetti stanno proattivamente sviluppando un Piano, ovvero nel senso che si stanno muovendo nella direzione giusta, ma consente altresì di realizzare tale azione con la supervisione proprio dell’Ufficio (dell’AI) preposto a valutare e vigilare. D’altro lato, l’Unione Europea intende raggiungere in questo modo l’obiettivo primario, ovvero una rapida messa in pratica delle disposizioni dell’AI, con la modalità più efficace: una sorta di collaborazione “bottom up” e al tempo stesso “trasversale” con quelli che le regole devono metterle in pratica e possono al meglio identificare soluzioni più efficaci ed efficienti.

Non si tratta, ovviamente, di un processo immediato: se una prima sessione informativa relativa al primo pilastro era già prevista al 6 maggio 2024, ecco che l’adesione è ancora aperta e si prevede solo ad ottobre di quest’anno 2024 di formalizzare le suddette “dichiarazioni di impegno”.

AI Pact
Figura 2 Cronologia provvisoria – Estratta da sito Commissione

Conclusioni: aderire e sperimentare

In conclusione, aderire volontariamente e sperimentare fin da subito, agendo in anticipo significa assumere un atteggiamento proattivo e lungimirante quale espressione di un ragionamento doppio: da un lato utile e dall’altro di buon senso. Una visione del genere non può altro che portare un indiscusso vantaggio, specie per quelle Organizzazioni che intendono adeguare nel tempo, stando al passo, prodotti e servizi ai gradi di rischio con cui l’AI Act prevede/cataloga gli algoritmi, anticipando i tempi di adeguamento all’AI Act. Farsi trovare preparati non sarà un “gioco da ragazzi”, anzi. Ma grazie all’AI Pact che ha il compito precipuo di “traghettare” le organizzazioni in questa fase di “interregno”, il tutto è possibile. L’adesione dell’AI Pact diventa, quindi, necessario, utile, opportuno e strategico, in una parola un quid pluris che consentirà di dimostrare di avere un sistema di gestione efficace ed efficiente non solo sulla carta, ma anche nella sostanza e a prova di accountability (sulle orme del GDPR) che rendiconta una “tecnologia governata”.

Ecco perché è bene aderirvi come da link (ufficiali) che seguono:

Articoli correlati

Articolo 1 di 3