AI Act: cinque raccomandazioni su come le aziende dovrebbero reagire ora

Con l'AI Act, l'UE ha regolamentato quello che attualmente è il ramo più dinamico e importante del settore dei dati, come ha fatto con il GDPR nell'aprile 2016 e con la Digital Operational Resilience (DORA) nel gennaio di quest'anno. Molti dei nuovi compiti dell'AI Act saranno già noti ai responsabili della protezione dei dati e a tutti i responsabili della conformità al GDPR.

La legge stabilisce una definizione di IA e definisce tre livelli di sicurezza: minimo, alto e inaccettabile. Le applicazioni di IA che le aziende vogliono utilizzare nella sanità, nell'istruzione e nelle infrastrutture critiche rientrano nella categoria di sicurezza più alta, "ad alto rischio". Quelle della categoria "inaccettabile" sono vietate perché, ad esempio, potrebbero mettere a rischio la sicurezza, i mezzi di sussistenza e i diritti delle persone.

Per definizione, questi sistemi di IA devono essere affidabili, trasparenti e responsabili. Gli operatori devono effettuare valutazioni dei rischi, utilizzare dati di alta qualità e documentare le loro decisioni tecniche ed etiche. Devono anche registrare l'andamento delle prestazioni dei loro sistemi e informare gli utenti sulla natura e lo scopo dei loro sistemi. Inoltre, i sistemi di IA devono essere supervisionati da esseri umani e consentire interventi. Devono essere molto robusti e raggiungere un elevato livello di sicurezza informatica.

Le aziende hanno bisogno di una guida chiara. Anche le aziende svizzere sono attualmente incerte sull'impatto specifico della nuova legge. Questo perché vogliono sfruttare il grande potenziale di questa tecnologia e allo stesso tempo essere a prova di futuro per essere in grado di implementare i prossimi dettagli della normativa. Ci sono cinque raccomandazioni chiare su come le aziende possono affrontare questo problema senza causare rischi legali e senza intralciare gli utenti. E, allo stesso tempo, posizionarsi in modo tale da poter attuare pienamente la legge sull'intelligenza artificiale senza stravolgere l'IT:

• Lasciate che l'AI agisca con fiducia: Se si vuole ottenere questo risultato, è necessario domare completamente l'IA. L'unico modo per farlo è controllare strettamente i dati e i flussi di dati in entrata e in uscita dall'IA. Questo stretto controllo è simile ai requisiti del GDPR per i dati personali. Le aziende devono sempre tenere presente questa conformità quando utilizzano e sviluppano l'IA. Se si desidera utilizzare l'IA in conformità al GDPR e alla legge sull'IA, prima di introdurla è necessario richiedere la consulenza di un esperto in materia di protezione dei dati.
• Conoscere i dati esattiGran parte della legge si concentra sulla comunicazione dei contenuti utilizzati per addestrare l'IA, ovvero gli insiemi di dati che le hanno fornito le conoscenze necessarie per operare. Le aziende e i loro dipendenti devono sapere esattamente con quali dati alimentano l'IA e che valore hanno questi dati per l'azienda. Alcuni fornitori di IA delegano deliberatamente questa decisione ai proprietari dei dati perché li conoscono meglio. I fornitori devono addestrare l'IA in modo responsabile e l'accesso ai dati deve essere attivato solo per le persone autorizzate.
• La questione dei diritti d'autore: I modelli precedenti di IA hanno utilizzato i crawler di Internet e dei libri disponibili per addestrare la loro IA. Si trattava di contenuti che contenevano elementi protetti, una delle aree che la legge sull'IA mira a ripulire. Se le aziende hanno utilizzato tali set di dati senza etichettarli accuratamente, potrebbero dover ricominciare da capo.
• Comprendere il contenuto dei dati: Si tratta di un compito essenziale. Affinché i proprietari dei dati possano prendere le decisioni giuste, il valore e il contenuto dei dati devono essere chiari. Ogni giorno, questo compito è enorme e la maggior parte delle aziende ha accumulato montagne di informazioni di cui non sa nulla. L'intelligenza artificiale e l'apprendimento automatico possono essere di grande aiuto in questo campo e alleviare uno dei problemi più complessi, identificando e classificando automaticamente i dati delle aziende in base alla loro strategia di registrazione. I filtri predefiniti pescano immediatamente dallo stagno dei dati i dati rilevanti per la conformità, come carte di credito, dati ipotecari o piani di costruzione, e li segnalano. Questa analisi potrebbe anche chiarire alcuni parametri di sicurezza e rilevare, ad esempio, i dati non protetti. Non appena l'IA analizza i dati aziendali, sviluppa un linguaggio specifico per l'azienda. E più a lungo lavora e più dati aziendali analizza, più i suoi risultati diventano accurati. Il fascino di questa classificazione guidata dall'IA è particolarmente evidente quando è necessario soddisfare nuovi requisiti. Qualunque sia l'atto dell'AI nel lungo termine, il ML e la classificazione guidata dall'AI saranno in grado di ricercare questi attributi aggiuntivi e di fornire all'azienda un grado di sicurezza futura.​​​​​​​
• Controllo dei flussi di datiUna volta che i dati sono stati categorizzati e classificati con le caratteristiche corrette, la piattaforma di gestione dei dati sottostante può applicare automaticamente le regole senza che il proprietario dei dati debba intervenire. Questo riduce le possibilità di errore umano e di rischio. Ad esempio, un'azienda può imporre che determinati dati, come quelli relativi alla proprietà intellettuale o ai dati finanziari, non vengano mai trasmessi ad altre postazioni di archiviazione o a moduli di intelligenza artificiale esterni. Le moderne piattaforme di gestione dei dati controllano l'accesso a questi dati criptandoli automaticamente e richiedendo agli utenti di autorizzarsi tramite controlli di accesso e autenticazione a più fattori.

Imprese svizzere in difficoltà

La legge sull'IA avrà un impatto anche sulla Svizzera, poiché il regolamento è applicabile se un sistema di IA viene utilizzato all'interno dell'UE o se i suoi risultati vengono "utilizzati" nell'UE. Ciò significa, ad esempio, che le aziende svizzere possono essere interessate se rendono i loro sistemi accessibili ad altre aziende, enti pubblici o persone all'interno dell'UE. Allo stesso modo, le previsioni, le raccomandazioni o le decisioni prese da sistemi basati sull'IA in Svizzera possono avere un impatto se vengono "utilizzate" nell'UE.

La nuova legge dell'UE interessa le aziende che, ad esempio, sviluppano software per gli istituti scolastici che correggono esami automatici o decidono sulle borse di studio. Secondo gli esperti, anche le aziende che analizzano i dati sanitari dell'UE utilizzando l'IA sono coperte dalla legge. Lo stesso vale per le banche svizzere che utilizzano l'IA per verificare l'affidabilità creditizia dei cittadini dell'UE.

Le imprese svizzere sono attualmente incerte. Le piccole e medie imprese e le start-up, in particolare, spesso non dispongono delle risorse umane e finanziarie necessarie per effettuare approfonditi chiarimenti normativi.

Quali sono le sanzioni possibili?

L'UE presenta un'altra somiglianza con il GDPR e il DORA. Una volta in vigore, vengono applicate sanzioni per la non conformità. Chiunque violi importanti requisiti dell'AI Act dovrà affrontare sanzioni fino a 35 milioni di euro o al 7% del fatturato globale. L'AI Act sarà probabilmente pubblicato quest'estate ed entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell'UE. La maggior parte delle sue disposizioni si applicherà dopo 24 mesi. Le regole per i sistemi di IA vietati si applicano dopo sei mesi, quelle per le GPAI dopo dodici mesi e quelle per i sistemi di IA ad alto rischio dopo 36 mesi.

Fonte: www.cohesity.com / www.srf.ch / www.infosec.ch