La Legge sull'Intelligenza Artificiale (Legge sull'IA) è una regolamentazione fondamentale introdotta dall'Unione Europea per governare lo sviluppo e l'uso delle tecnologie di intelligenza artificiale.
Sommario
Conformità con fiducia
La Legge sull'IA è entrata in vigore il 1° agosto 2024, con piena applicazione a partire dal 2 agosto 2026. Le pratiche proibite sono state vietate dal 2 febbraio 2025. La legge promuove l'innovazione salvaguardando la salute, la sicurezza e i diritti fondamentali.
Si applica sia ai fornitori che ai distributori di sistemi di IA, con i fornitori che hanno obblighi più estesi. La legge utilizza un approccio basato sul rischio:
- Pratiche proibite: Include la manipolazione cognitiva e comportamentale, il punteggio sociale, il scraping delle immagini facciali e l'inferenza biometrica di attributi sensibili.
- Sistemi di IA ad alto rischio: Utilizzati in infrastrutture critiche, risorse umane, valutazione del credito o tribunali. Devono rispettare requisiti rigorosi, tra cui la gestione del rischio, la marcatura CE e la supervisione umana.
- Modelli di IA a uso generale (GPAI): Include LLM come ChatGPT. I fornitori devono garantire trasparenza, conformità al diritto d'autore e sicurezza informatica.
- Sistemi di IA a rischio limitato: Soggetti a obblighi di trasparenza, come l'etichettatura dei contenuti generati dall'IA e dei deep fake.
- Rischio minimo o nullo: Include videogiochi abilitati all'IA e filtri antispam, che non sono regolati dalla Legge sull'IA.
Le violazioni della Legge sull'IA possono comportare multe fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale sia il valore più alto.
Alfabetizzazione in IA
Dal 2 febbraio 2025, i fornitori e i distributori devono garantire un'adeguata alfabetizzazione in IA tra il personale. La formazione è consigliata ma non obbligatoria.
Le considerazioni chiave includono il ruolo dell'azienda, la comprensione generale dell'IA, i rischi associati e le misure di alfabetizzazione su misura in base alle conoscenze tecniche e al contesto.
Implementazione nelle aziende
La Legge sull'IA comprende 113 articoli e 13 allegati, richiedendo una pianificazione approfondita e risorse per l'implementazione. Le aziende dovrebbero condurre audit per valutare:
- Esistenza e categorizzazione dei sistemi di IA
- Tipo di operatore e scopo previsto
- Dati trattati e risultati generati
- Conformità alle pratiche proibite e ai requisiti ad alto rischio
- Obblighi di trasparenza, sicurezza informatica e supervisione umana
Cos'è l'Intelligenza Artificiale (IA)?
L'intelligenza artificiale (IA) è un'area dell'informatica che imita le capacità cognitive umane identificando e ordinando i dati di input. Questa intelligenza può essere basata su flussi di lavoro programmati o creata con l'apprendimento automatico.
Nell'apprendimento automatico, i dati di addestramento vengono utilizzati per insegnare all'IA a riconoscere schemi e fare previsioni. La Legge sull'IA definisce un sistema di IA come un sistema basato su macchine che opera con vari livelli di autonomia e genera risultati come previsioni, contenuti, raccomandazioni o decisioni.
Esempi di sistemi di IA secondo la Legge sull'IA includono il riconoscimento delle emozioni, il riconoscimento facciale, la selezione dei candidati, l'amministrazione della giustizia, l'assistenza sanitaria (ad esempio, l'analisi dei sintomi), il servizio clienti, i chatbot e l'IA generativa.
L'IA generativa, come ChatGPT, si riferisce a sistemi di IA che generano autonomamente risultati basati su dati di input utilizzando l'apprendimento automatico e grandi modelli di linguaggio (LLM). Questi sistemi possono commettere errori e "allucinare" – inventando dichiarazioni probabili ma inaccurate.
Protezione dei dati
L'uso di sistemi di IA che coinvolgono dati personali deve essere conforme al GDPR. Le multe per violazioni possono raggiungere il 4% del fatturato globale o 20 milioni di euro.
Le aziende devono garantire un trattamento legale, rispettare la minimizzazione dei dati, l'accuratezza e la riservatezza, e soddisfare gli obblighi di informazione.
Le decisioni automatizzate con effetti legali devono coinvolgere la discrezione umana. Misure tecniche e organizzative (MTO) come la crittografia e la pseudonimizzazione sono essenziali.
È richiesta una valutazione d'impatto sulla protezione dei dati per trattamenti ad alto rischio.
Protezione dei segreti commerciali
I segreti commerciali devono essere protetti contro l'acquisizione e la divulgazione illecita. I requisiti includono misure di riservatezza, restrizioni di accesso e NDA.
I sistemi di IA, i dati di addestramento e i risultati possono costituire segreti commerciali. Le aziende devono regolamentare l'uso degli input e rivedere i termini dei terzi per evitare rischi di divulgazione.
Quali sono le implicazioni del diritto d'autore dell'IA?
Le questioni di diritto d'autore sorgono sia dal lato degli input che dei risultati dei sistemi di IA. L'uso di contenuti protetti per l'addestramento è sotto scrutinio legale.
Le opere generate dall'IA non godono di protezione del diritto d'autore secondo la legge attuale, poiché non sono creazioni umane. Ciò significa che tali risultati sono di dominio pubblico.
Chi è responsabile dei difetti relativi all'IA?
Le aziende sono responsabili dei difetti nei prodotti e nei servizi, inclusi quelli causati dall'IA.
La direttiva riformata sulla responsabilità dei prodotti dell'UE impone una responsabilità oggettiva per i sistemi di IA e i componenti difettosi, coprendo lesioni personali, danni alla proprietà e corruzione dei dati.
Cosa dovrebbe essere rivisto nei termini di utilizzo dei sistemi di IA?
Le aziende devono rivedere i termini di utilizzo dei sistemi di IA di terze parti, concentrandosi su:
- Legge applicabile e giurisdizione
- Conservazione e utilizzo degli input per l'addestramento
- Diritti sui risultati
- Indennizzo contro le rivendicazioni di diritto d'autore
- Limitazioni di garanzia e responsabilità
Quali linee guida dovrebbero seguire le aziende per l'uso dell'IA?
Le linee guida interne sull'IA aiutano a regolare l'uso dei sistemi di IA da parte dei dipendenti. Queste possono includere:
- Descrizioni e autorizzazioni dei sistemi di IA
- Istruzioni per la gestione degli input e dei risultati
- Conformità alla riservatezza e alla protezione dei dati
- Misure di sicurezza informatica e obblighi di trasparenza
Riepilogo della Legge sull'IA dell'UE
La Legge sull'IA dell'UE si applicherà ampiamente dal 2 agosto 2026 e deve essere implementata dalle aziende che utilizzano l'IA. Regola i fornitori e i distributori di IA attraverso un approccio basato sul rischio: maggiore è il rischio di danno sociale, più rigorose sono le regole.
- La conformità al GDPR è obbligatoria quando si trattano dati personali utilizzando sistemi di IA.
- I sistemi di IA devono essere protetti contro accessi non autorizzati e attacchi informatici.
- I segreti commerciali devono essere protetti quando si utilizzano sistemi di IA.
- Le questioni di diritto d'autore su entrambi i lati degli input e dei risultati sono sotto scrutinio legale.
- Le aziende sono responsabili dei difetti nei prodotti e nei servizi causati dall'IA.
- I termini di utilizzo dei sistemi di IA di terze parti devono essere esaminati attentamente.
- L'alfabetizzazione in IA tra i dipendenti dovrebbe essere promossa attraverso linee guida interne.
Come supporta Trend Micro la conformità alla Legge sull'IA?
Rimanere conformi alla Legge sull'IA dell'UE significa più che comprendere le regole: richiede una governance attiva, un monitoraggio dei rischi e una chiara responsabilità attraverso i vostri sistemi di IA. Dal diritto d'autore e la responsabilità ai termini di utilizzo e alle linee guida interne, le organizzazioni devono garantire che ogni aspetto del dispiegamento dell'IA sia allineato con gli standard legali in evoluzione.
Per supportare questo, le aziende possono sfruttare strumenti avanzati che semplificano la conformità e riducono l'esposizione ai rischi informatici utilizzando la piattaforma di gestione dell'esposizione ai rischi informatici di Trend Micro, progettata per aiutarvi a identificare le vulnerabilità, gestire i rischi legati all'IA e mantenere la fiducia nelle vostre operazioni digitali.
Domande frequenti (FAQ)
Cos'è la Legge sull'IA dell'UE?
La Legge sull'IA dell'UE è una regolamentazione che governa i sistemi di intelligenza artificiale per garantire sicurezza, trasparenza e protezione dei diritti fondamentali.
Quando entra in vigore la Legge sull'IA dell'UE?
La Legge sull'IA dell'UE entra in vigore nel 2024, con piena applicazione prevista entro il 2026 in tutti gli Stati membri dell'UE.
A chi si applica la Legge sull'IA dell'UE?
La Legge sull'IA dell'UE si applica ai fornitori, utenti e importatori di sistemi di IA che operano all'interno dell'Unione Europea o che mirano al mercato dell'UE.
Quando è stata approvata la Legge sull'IA dell'UE?
La Legge sull'IA dell'UE è stata approvata dal Parlamento Europeo nel 2024 dopo negoziazioni e consultazioni approfondite con le parti interessate.
Come conformarsi alla Legge sull'IA dell'UE?
Per conformarsi, le organizzazioni devono classificare i sistemi di IA per rischio, garantire la trasparenza, condurre valutazioni di conformità e mantenere la documentazione.