A partire dal 2 febbraio 2025, sono entrate in vigore le prime disposizioni dell'AI Act, il regolamento sull'intelligenza artificiale approvato dall'Unione Europea. Le aziende che operano nella regione e che non si adegueranno alle nuove norme rischiano sanzioni fino al 7% del loro fatturato annuo globale. Il regolamento introduce una serie di divieti su specifici utilizzi dell'IA e impone alle aziende che forniscono o utilizzano questa tecnologia di garantire che il proprio personale possieda "un livello sufficiente di alfabetizzazione sull'IA".
Tra le pratiche di intelligenza artificiale ora proibite rientrano l'utilizzo dell'IA per manipolare il comportamento e causare danni, ad esempio agli adolescenti, e il "social scoring" basato sull'IA che provoca danni ingiusti o sproporzionati. È vietata anche la valutazione del rischio per prevedere comportamenti criminali basata unicamente sulla profilazione e l'identificazione biometrica remota in tempo reale non autorizzata da parte delle forze dell'ordine in spazi pubblici.
Kirsten Rulf, co-autrice dell'AI Act e partner di BCG, ha dichiarato che i divieti si applicano a "pochissime" aziende. Tuttavia, ha sottolineato che "le banche e altre istituzioni finanziarie che utilizzano l'IA devono assicurarsi attentamente che le loro valutazioni del merito creditizio non rientrino nella categoria del social scoring". L'elenco completo delle pratiche proibite è consultabile nel testo dell'AI Act.
Oltre ai divieti, il regolamento impone che il personale delle aziende che forniscono o utilizzano sistemi di intelligenza artificiale abbia "un livello sufficiente di alfabetizzazione sull'IA". Questo obiettivo può essere raggiunto attraverso la formazione interna o l'assunzione di personale con le competenze appropriate.
"I leader aziendali devono garantire che la loro forza lavoro sia alfabetizzata sull'IA a livello funzionale e dotata di una formazione preliminare sull'IA per promuovere una cultura guidata dall'intelligenza artificiale", ha affermato Rulf in una dichiarazione.
Il prossimo passo importante per l'AI Act sarà alla fine di aprile, quando la Commissione Europea pubblicherà probabilmente il Codice di condotta finale per i modelli di IA generici, secondo Rulf. Il codice entrerà in vigore ad agosto, così come i poteri delle autorità di vigilanza degli Stati membri per l'applicazione del regolamento.
"Da qui ad allora, le imprese devono esigere informazioni sufficienti dai fornitori di modelli di IA per implementare l'IA in modo responsabile e lavorare in modo collaborativo con i fornitori, i responsabili politici e le autorità di regolamentazione per garantire un'attuazione pragmatica", ha consigliato Rulf.
Nonostante le critiche mosse all'AI Act e all'approccio rigoroso dell'UE nei confronti della regolamentazione delle aziende tecnologiche in generale, Rulf ha affermato durante una tavola rotonda di BCG per la stampa che questa prima fase della legislazione segna "l'inizio di una nuova era nella scalabilità dell'IA".
"(L'AI Act) introduce i guardrail e il quadro di gestione della qualità e del rischio necessari per la scalabilità", ha detto. "Non sta soffocando l'innovazione... sta consentendo la scalabilità delle innovazioni dell'IA che tutti vogliamo vedere".
Rulf ha aggiunto che l'IA comporta intrinsecamente dei rischi e, se la si scala, i benefici in termini di efficienza ne risentiranno e la reputazione dell'azienda sarà messa a repentaglio. "L'AI Act fornisce un ottimo modello su come affrontare questi rischi, su come affrontare questi problemi di qualità, prima che si verifichino", ha affermato.
Secondo BCG, il 57% delle aziende europee cita l'incertezza relativa alle normative sull'IA come un ostacolo. Rulf ha riconosciuto che l'attuale definizione di IA che rientra nell'AI Act "non può essere facilmente resa operativa" perché è molto ampia ed è stata scritta in questo modo per essere coerente con le linee guida internazionali.
"La differenza nel modo in cui si interpreta la definizione di IA per una banca è la differenza tra 100 modelli che rientrano in tale regolamento e 1.000 modelli più che rientrano in tale regolamento", ha detto. "Questo, ovviamente, fa un'enorme differenza sia per i costi di capacità, la burocrazia, il controllo, ma anche i responsabili politici possono tenere il passo con tutto questo?".
Rulf ha sottolineato l'importanza che le imprese si confrontino con l'Ufficio IA dell'UE mentre gli standard per l'AI Act che devono ancora essere introdotti sono in fase di elaborazione. Questo permetterà ai responsabili politici di svilupparli in modo che siano il più pratici possibile.
"Come regolatore e responsabile politico, non si sentono queste voci", ha detto. "Non si può deregolamentare se non si conoscono i grandi problemi e gli ostacoli... Posso solo incoraggiare tutti a essere il più schietti possibile e il più specifici possibile per il settore".
Indipendentemente dalle critiche, Rulf ha affermato che l'AI Act si è "evoluto in uno standard globale" e che è stato copiato sia in Asia che in alcuni Stati degli Stati Uniti. Ciò significa che molte aziende potrebbero non trovare troppo oneroso conformarsi se hanno già adottato un programma di IA responsabile per rispettare altre normative.
Più di 100 organizzazioni, tra cui Amazon, Google, Microsoft e OpenAI, hanno già firmato il Patto UE sull'IA e si sono offerte volontarie per iniziare ad attuare i requisiti del regolamento in anticipo rispetto alle scadenze legali. L'AI Act rappresenta un passo importante nella regolamentazione dell'intelligenza artificiale a livello globale e avrà un impatto significativo sulle aziende che operano in Europa e oltre.