Legge IA: come diventare un operatore AI autorizzato e proteggersi da future sanzioni

Punti chiave da ricordare

• La Legge sull’AI introduce un approccio basato sul rischio, con obblighi rafforzati per i cosiddetti sistemi di AI “ad alto rischio” utilizzati in aree sensibili.
• Le aziende interessate non sono solo gli sviluppatori, ma anche i distributori di IA, responsabili dell’utilizzo, del controllo umano e della conservazione delle prove.
• La conformità si basa sulla capacità di dimostrare la tracciabilità del sistema durante il suo ciclo di vita (documentazione, registrazione, controllo umano).
• La marcatura temporale qualificata e l’archiviazione probatoria sono leve fondamentali per garantire l’integrità, la certezza della data e l’applicabilità della prova di conformità.
• Anticipare questi requisiti ora è essenziale per limitare il rischio di sanzioni finanziarie elevate e per garantire il funzionamento futuro dei sistemi di IA.

La legge sull’AI: un quadro giuridico europeo per l’AI regolamentata

Il Regolamento (UE) 2024/1689 stabilisce un approccio nuovo: classificare i sistemi di IA in base al loro livello di rischio per i diritti fondamentali, la sicurezza o la salute delle persone.

Ci sono quattro categorie:

• Rischio minimo: nessun vincolo particolare (ad esempio, filtri antispam).
• Rischio limitato: requisiti di trasparenza per gli utenti (ad esempio, chatbot).
• Rischio elevato: obblighi rigorosi in termini di documentazione, tracciabilità e valutazione della conformità.
• Rischio inaccettabile: divieto assoluto del sistema (ad esempio, rating sociale).

Il nucleo del sistema si basa sulla categoria “alto rischio”, disciplinata dal Capitolo III del Regolamento. Si applica in particolare ai sistemi utilizzati nelle seguenti aree:

• Biometria e identificazione a distanza (riconoscimento facciale) ;
• Orientamento educativo e professionale ;
• Assunzione e gestione delle risorse umane ;
• Accesso al credito, all’assicurazione o all’assistenza sociale;
• Mantenere l’ordine e far rispettare la legge ;
• Gestione dei confini e dell’immigrazione ;
• Amministrazione della giustizia.

Il criterio di attivazione non è solo l’uso dell’IA, ma anche il suo potenziale impatto sui diritti fondamentali (come la protezione della privacy, la non discriminazione, l’accesso a un rimedio efficace o la libertà di espressione). Uno strumento di supporto alle decisioni utilizzato da un servizio pubblico o da un’azienda può quindi rientrare nella categoria “ad alto rischio” se influenza un percorso di vita o una situazione legale.

Chi sono gli operatori dell’AI interessati dalla Legge sull’AI?

LaLegge sull’AI non si rivolge solo agli sviluppatori di tecnologia. Identifica diversi tipi di operatori coinvolti nel ciclo di vita dei sistemi di intelligenza artificiale.

Due profili sono al centro del sistema normativo:

Fornitori

Si tratta di entità che sviluppano o hanno sviluppato un sistema di IA con l’obiettivo di immetterlo sul mercato o di utilizzarlo a proprio nome. Possono essere editori di software, start-up di AI o produttori che integrano un sistema di AI in un prodotto esistente (ad esempio, la diagnosi assistita in un dispositivo medico).

Distributori

Questi sono gli utenti professionali dei sistemi di AI già presenti sul mercato. Non hanno necessariamente sviluppato il sistema, ma lo utilizzano per prendere decisioni o automatizzare processi nell’ambito della loro attività.

Gli obblighi imposti variano a seconda della posizione nella catena del valore. In particolare, un fornitore dovrà dimostrare la solidità del suo sistema, produrre una documentazione completa, effettuare una valutazione di conformità e conservare un fascicolo tecnico per dieci anni. I distributori, invece, devono assicurarsi che il sistema sia utilizzato in conformità alle istruzioni, garantire un controllo umano efficace, fornire un monitoraggio successivo alla distribuzione e conservare i registri delle attività per almeno sei mesi.

Questi obblighi si applicano a molti settori di attività. Un’azienda di servizi HR che utilizza l’AI per preselezionare i candidati al lavoro, una struttura sanitaria che utilizza uno strumento diagnostico, una banca che automatizza l’analisi delle richieste di credito, o un’azienda energetica che ottimizza la sua distribuzione attraverso un sistema predittivo: tutte queste strutture, nel momento in cui implementano un sistema di AI in un’area sensibile, possono rientrare nella categoria “ad alto rischio”. Anche se non sviluppano direttamente lo strumento, sono comunque soggette agli obblighi applicabili al loro ruolo di implementatori.

Come posso diventare un operatore AI certificato per sistemi ad alto rischio?

Il regolamento non crea formalmente una procedura di approvazione. Tuttavia, impone una serie di requisiti prima che il sistema possa essere immesso sul mercato o utilizzato legalmente. La conformità a questi requisiti è un prerequisito per l’autorizzazione all’utilizzo del sistema.

I principali obblighi includono :

Documentazione tecnica e dossier di conformità (art. 11 e 18)

Il fornitore deve compilare un fascicolo che illustri il progetto, le prestazioni, i meccanismi di gestione del rischio, i risultati dei test, ecc. Questo file deve essere conservato per almeno dieci anni.

Registrazione automatica (art. 12)

I sistemi ad alto rischio devono incorporare funzioni per registrare automaticamente gli eventi significativi: ingressi, uscite, decisioni, avvisi, ecc. L’obiettivo è garantire la tracciabilità tecnica dell’attività del sistema durante il suo ciclo di vita.

Conservazione dei giornali (art. 19)

I registri raccolti in questo modo devono essere conservati per almeno sei mesi, in condizioni che ne garantiscano l’integrità e l’accessibilità.

Meccanismi di controllo umano

Il sistema deve consentire a un operatore umano di intervenire o di contestare una decisione. Questo controllo non deve essere puramente teorico.

Valutazione della conformità e marchio CE

Prima di essere immesso sul mercato, qualsiasi prodotto deve essere valutato. Questa può essere effettuata internamente (in alcuni casi) o da un organismo notificato. Se il sistema è ritenuto conforme, riceve il marchio CE.

La logica è chiara: più alto è il rischio, maggiore è l’onere della prova per l’operatore. Non è sufficiente dire che il sistema è sicuro. Bisogna dimostrarlo.

Marcatura temporale qualificata e archiviazione: leve pratiche per la conformità

Attualmente, la Legge sulla IA non richiede espressamente l’uso di una marcatura temporale qualificata o di un sistema di archiviazione conforme. Tuttavia, questi strumenti sono un’estensione naturale dei requisiti normativi.

L’articolo 12, che richiede la registrazione automatica, è particolarmente strutturante. Prevede una tracciabilità completa dell’attività del sistema AI. Ma questa tracciabilità ha un valore solo se le prove raccolte sono affidabili, temporizzate e inalterabili.

Qui entrano in gioco la marcatura temporale qualificata e l’archiviazione probatoria. Questi due meccanismi tecnici garantiscono :

• l’integrità dei dati raccolti (registri, rapporti, versioni del modello, artefatti tecnici);
• la loro data certa, che può essere utilizzata contro terzi (tramite la marcatura temporale);
• archiviazione a lungo termine, utilizzando formati durevoli, verificabili e legalmente riconosciuti (tramite archiviazione elettronica).

Secondo la legislazione europea, la marcatura temporale qualificata gode di una presunzione di affidabilità ai sensi del regolamento eIDAS. Si tratta del massimo livello di sicurezza per la datazione di un evento digitale. In combinazione con un sistema di archiviazione conforme agli standard (NF Z42-013, ISO 14641), è una vera leva per la conformità proattiva.

Nota: a breve è previsto uno standard armonizzato sulla registrazione dell’AI. Dovrebbe specificare le procedure tecniche di registrazione previste dalla Legge sull’AI. È molto probabile che questo standard faccia esplicito riferimento a meccanismi qualificati di marcatura temporale e di archiviazione. Prepararsi a questi sviluppi oggi significa essere all’avanguardia.

Sanzioni ai sensi della legge sulla AI: perché è necessario pensarci subito

Il regolamento prevede un sistema graduale di sanzioni, anche se potenzialmente onerose per le aziende interessate. L’articolo 71 specifica gli importi applicabili in caso di mancato rispetto degli obblighi.

• per le violazioni dei requisiti applicabili ai sistemi ad alto rischio: fino a 15 milioni di euro o al 3% del fatturato mondiale, a seconda di quale sia il maggiore;
• per aver fornito informazioni inesatte, incomplete o fuorvianti: fino a 7,5 milioni di euro o all’1% del fatturato mondiale.

Questi importi devono essere valutati alla luce del calendario di applicazione progressivo:

• Agosto 2024: entrata in vigore formale del regolamento.
• Agosto 2025: designazione delle autorità nazionali competenti e inizio del regime di sanzioni.
• Agosto 2026: i requisiti per i sistemi ad alto rischio diventano esecutivi.
• 2030: fine del periodo di transizione per i sistemi di IA utilizzati nel settore pubblico.

In Francia, ci si aspetta che la CNIL, l’ANSSI e la DGCCRF svolgano un ruolo nell’attuazione del testo. La legislazione nazionale dovrà specificare le modalità di collaborazione.

Conclusione

Il regolamento AI Act segna un importante sviluppo nel diritto digitale europeo. Richiede agli operatori di AI di essere vigili, trasparenti e responsabili. Per gli operatori soggetti a obblighi “ad alto rischio”, la conformità non può essere decretata: deve essere dimostrata, prova per prova.

In questo contesto, la marcatura temporale qualificata e l’archiviazione sicura sono più che semplici strumenti tecnici. Diventano garanzie di tracciabilità e leve per la conformità. All’incrocio tra cybersecurity, prove digitali e normative, queste soluzioni consentono agli operatori di anticipare, documentare e proteggersi da controversie e sanzioni.

Più in generale, stanno contribuendo a ripristinare la fiducia nell’uso dell’IA.