Possibili regolamenti sull’IA? Ci saranno, e stanno partendo in UE

Un articolo a firma di Lori Witzel, director of research for Analytics and Data Management, TIBCO Software

Per gli esperti dei dati, regolamenti, governance e compliance non sono novità, ma ora che la polvere si sta posando attorno al GDPR, compare all’orizzonte qualcosa di nuovo ed egualmente importante. L’Unione Europea ha annunciato la bozza del proprio Artificial Intelligence Act (EU AIA), la legge sull’Intelligenza Artificiale lanciata da “Un’Europa Adeguata all’Era Digitale” (Europe Fit for the Digital Age) lo scorso aprile 2021. L’obiettivo per la commissione che sta guidando l’iniziativa è quello di “trasformare l’Europa nel polo mondiale per un’intelligenza artificiale (IA) affidabile” e, in partnership con gli Stati membri, sviluppare il primo quadro giuridico sull’IA mai realizzato.

Sulla carta, si presenta come un’iniziativa fantastica; pensatela come una “carta dei diritti per l’IA”, un mondo dove l’IA dev’essere utilizzata e gestita in modo responsabile e sicuro, offrendo unicamente una user experience affidabile. In pratica, occorreranno moltissimi sforzi e attenzioni smart, nonché attenzioni dedicate degli esperti di dati. C’è molto su cui arrovellarsi e moltissimo lavoro di preparazione da parte di personale e sistemi per evitare le pesanti multe previste dalla mancata compliance.

Di che si tratta?

Prima di parlare dell’impatto della legislazione proposta, è utile capire come la legge definisca l’IA. In questa fase preliminare dell’iter di questa bozza di legge, la definizione attuale è piuttosto generica e include approcci di machine learning, basati su logica e conoscenza (knowledge-based), sistemi esperti, approcci statistici, stime Bayesiane, altri metodi statistici e metodi di ricerca e ottimizzazione. È inoltre logico aspettarsi che tutte le modellazioni effettuate da augmented analytics e data science ricadranno anch’esse nei contenuti di questa Legge.

Inoltre, in modo non dissimile dal GDPR, non importa se la propria azienda si trova all’esterno dei confini UE; se si possiedono legami alla UE stessa, clienti, fornitori, personale nella UE oppure addirittura se si realizzano prodotti per la UE, sarà necessario adeguarsi ai dettami della legge (essere compliant). La mancata adempienza comporterà per un’organizzazione sanzioni finanziarie e, se si esamina con attenzione la bozza, si apprende che sono previste multe fino a 30 milioni di euro, o pari al 6% del fatturato annuale globale. La legge stabilisce in modo chiaro che se si forniscono alle autorità di regolamentazione informazioni scorrette, incomplete o fuorvianti, saranno comminate multe fino a 10 M€ o pari al 2% del fatturato.

Dove e quando partirà?

Sembrerebbe che ci sia ancora un po’ di tempo disponibile, ma se la preparazione del GDPR ci ha insegnato qualcosa, questa disponibilità di tempo non consente di rilassarsi. Ufficialmente, la legge (Act) è stata assegnata a un comitato del Parlamento UE, cui seguirà la revisione da parte del Consiglio dei Ministri. Solo quando sarà stata approvata avrà inizio il periodo di 2 anni per l’implementazione.

È importante notare che non si vuole implementare la proposta di legge per svilire l’IA: al contrario, lo scopo è quello di posizionare l’Europa come un centro di eccellenza. Infatti, è stato scelto un crono-programma legato a un periodo in cui il mondo sta iniziando a identificare e a prendere nota del potenziale dell’Intelligenza Artificiale in mercati diversi quali la sanità, i trasporti, l’energia, l’agricoltura, il turismo e persino la cibersicurezza. L’Atto sarà quindi focalizzato su quelli che vengono considerati sistemi di IA ad alto rischio.

I sistemi che probabilmente subiranno un impatto immediato sono legati a sicurezza, infrastrutture critiche, educazione e formazione, programmi per dipendenti, servizi finanziari, forze di polizia, controlli di frontiera, giustizia e sono trattati dalla legislazione di armonizzazione del mercato unico UE.

Che cosa si può fare ora?

La cosa più importante è quella di cambiare il modo di pensare all’IA. Se il proprio business è interessato da qualche forma di trasformazione digitale o automazione, c’è una fortissima probabilità che l’Intelligenza Artificiale sia già in gioco. Un modo eccellente di partire è stabilire un piano di mitigazione del rischio IA e assicurarsi di coinvolgere i propri manager esecutivi. L’IA è pervasiva e anche se i manager potrebbero pensare di non avere a che fare proprio con Skynet (dalla serie di film Terminator, ndt) né di essere sul punto di costruire robot che stiano per prendere il controllo del mondo, i manager stessi devono essere a conoscenza delle modalità con cui la propria organizzazione si sta impegnando sull’IA nei propri processi legati ai dati e all’automazione. “Non ne ero al corrente” è una frase che non sarà più considerata con compassione da parte dei regolatori.

Cambiare il proprio modo di pensare riguardo all’IA porterà anche a scoprire dove il proprio business utilizza l’IA. Occorre guardare a tutti i propri sistemi vecchi, nuovi e in fase di progetto, senza fermarsi a ciò che si vede. Chiedendo ai propri fornitori ciò che possono utilizzare, verificando i propri servizi cloud, scoprire quale IA implementano e poi documentare tutto. Solo quando si conosce la situazione è possibile prendere decisioni quantitative su come i sistemi si allineano con regolamenti e sistemi di classificazione UE. Sistemi che richiederanno una valutazione più precisa saranno anche quelli che includono il machine learning per il riconoscimento di pattern, la scoperta di anomalie edge e l’analisi delle cause base (root cause analysis), il pricing dinamico, il customer engagement e i gemelli digitali (digital twins) per migliorare la resa, il controllo di produzione e la manutenzione condizionata (condition-based maintenance), nonché la gestione delle frodi e dei rischi.

Siamo totalmente a favore della creazione di un “Team di Osservazione delle Decisioni” (Decision Observer Team), composto da diversi stakeholder (non solo data scientist), che farà parte di un comitato di coordinamento (steering committee) interno dedicato all’Artificial Intelligence Act. Questi osservatori possono vedersi assegnare compiti diversi in varie aree di business dove i loro risultati vengono aggregati per gestire i rischi legati agli algoritmi IA come gruppo.

Occorre farlo subito

Non possiamo non sottolineare mai abbastanza quanto sia importante gestire questo processo immediatamente. Una differenza significativa tra le Informazioni Identificabili Personalmente (Personally Identifiable Information, l’oggetto della regolamentazione GDPR) e l’IA è che l’Intelligenza Artificiale non sempre è visibile: spesso è inserita nella trama di un sistema in modo così profondo che gli utenti di business non sono nemmeno consci della sua esistenza – semplicemente gradiscono molto l’analisi visuale che i sistemi offrono loro mensilmente o il fatto che i loro clienti preferiscano l’acqua in bottiglia alle bibite dolci gassate. Infine, è necessario restare informati e pronti: la UE ha dato vita a un elenco curato degli aggiornamenti sul proprio sito AIA e, quando le cose cominceranno a muoversi, lo faranno velocemente.