1) Le imprese possono cominciare a evidenziare i software e le tecnologie che utilizzano. L’obiettivo di tale attività è INDIVIDUARE QUELLI CHE POSSONO ESSERE CONSIDERATI SISTEMI DI IA AI SENSI DEL IA ACT.
2) Nel momento in cui si sono evidenziati i sistemi utilizzati dall’impresa è necessario classificarli a seconda del livello di rischio che li caratterizza. L’IA Act prevede regole differenti a seconda della tipologia di rischio che il singolo sistema presenta:
a) rischio inaccettabile per cui il sistema è vietato già 6 mesi dopo l’entrata in vigore dell’IA Act.;
b) rischio alto per cui il sistema è consentito, ma è soggetto a regole stringenti Le Regole UE dell’IA Act scattano in questo ambito 24 mesi dopo la sua entrata in vigore (36 mesi per i prodotti ed i componenti di prodotto).
c) rischio basso per cui il sistema è consentito e sottoposto solo ad obblighi di trasparenza o informativi;
d) rischio minimo per cui il sistema è consentito senza alcun obbligo specifico;
e) un certo numero di norme è dedicato al General purpose AI system cioè sistemi educati con una grande quantità di dati in grado di eseguire una grande quantità attività come ad esempio fa Chat GPT: consentiti, ma sottoposti ad una stringente regolamentazione.
Si noti che l’IA Act non menziona espressamente tali sistemi, ma prevede una serie di norme specifiche per tutti – “General purpose AI model” cioè i sistemi di IA “generativa” che possono essere classificati a rischio semplice o sistemico. La capacità di apprendere di continuo in modo autonomo, come fa Chat GPT, è uno degli indici che può portare a definire un modello come a RISCHIO SISTEMICO quindi da trattare con molta attenzione anche se la definitiva classificazione sarà complessa e frutto dell’incrocio di più requisiti indicati dall’IA Act.
Per predisporre tali “codici di condotta” le imprese hanno 12 mesi dall’entrata in vigore dell’IA Act, dopo quella data si applicheranno i “General purpose AI models”.
3) Effettuate le due precedenti analisi L’IMPRESA DEVE PASSARE A QUALIFICARE IL PROPRIO RUOLO RISPETTO AL SISTEMA DI IA CHE UTILIZZA. N.B. Per fare questo l’impresa, basandosi sull’IA Act, che prevede norme differenziate a seconda di come opera, deve sapere individuare a quali di queste attività appartiene: 1) “fornitore”, 2) “importatore”, 3) distributore, 4) utilizzatore di un sistema di IA.
Le obbligazioni più vincolanti sono a carico dei “fornitori” cioè coloro che progettano e sviluppano il sistema di IA. I “fornitori” sono obbligati, tra l’altro a:
a) sottoporre tale sistema a una valutazione di conformità prima dell’immissione in commercio;
b) a predisporre un sistema di gestione dei rischi connessi al suo utilizzo finalizzato ad individuarli, valutarli e abbassarne la rischiosità;
c) a predisporre un’adeguata documentazione tecnica per garantirne un uso conforme da parte degli utilizzatori. Alcune obbligazioni sono poste anche in capo ai distributori ed agli “importatori” che devono tra l’altro verificare il rispetto delle norme da parte dei “fornitori”.
Gli utilizzatori devono tra l’altro garantire che l’utilizzo dei sistemi avvenga in modo conforme alla documentazione tecnica predisposta dai “fornitori”.
4) Inoltre le imprese si dovranno far carico di predisporre una formazione adeguata per i propri lavoratori che, a seconda della “gravità” del rischio dovrà essere più approfondita e scrupolosa. Su questo tema l’IA Act obbliga gli utilizzatori di adottare misure tecniche ed organizzative per garantirne l’impego in modo conforme alle istruzioni del “fornitore” e di affidarne la sorveglianza a persone fisiche con adeguata competenza e formazione. È opportuno prevedere policy aziendali per disciplinare l’uso autonomo, da parte dei singoli dipendenti, di sistemi di IA open source nell’attività lavorativa.
5) Sarà opportuno inserire nei contratti con i “fornitori” di software e di tecnologia clausole apposite che traggono ispirazione dall’IA Act e che tendono ad assicurare un adeguamento con l’IA Act. A tal proposito È OPPORTUNO CHE I “FORNITORI” DICHIARINO: a) se quello “fornito” può essere considerato un sistema di IA e quale ne è il livello di rischio; b) che si è proceduto a tutte le obbligazioni previste dalle nuove Norme Europee in riferimento al sistema in questione;
6) Inoltre è opportuno che vengano previste garanzie e manleve per danni e conseguenti sanzioni ricevute come conseguenza dell’uso del sistema di IA oggetto del contratto. La non conformità alle prescrizioni dell’IA Act può comportare l’applicazione di SANZIONI fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente