L’uso dell’Intelligenza Artificiale nelle PMI è regolamentato dal nuovo AI Act. Le aziende devono adattarsi a normative complesse, gestire i rischi e garantire la protezione dei dati personali per rispettare la legge europea e continuare a crescere
L’entrata in vigore dell’AI Act rappresenta una svolta normativa fondamentale per le piccole e medie imprese italiane che utilizzano sistemi di intelligenza artificiale.
Il Regolamento (UE) 2024/1689 introduce un quadro giuridico uniforme che, pur riconoscendo le specificità delle PMI attraverso misure semplificate, richiede un adeguamento immediato delle pratiche aziendali per garantire la piena conformità normativa.
Classificazione dei sistemi AI e valutazione del rischio
Partiamo con l’affermare che è fondamentale che le Piccole-Medie Imprese comprendano le implicazioni del Regolamento (UE) 2024/1689 e adottino le necessarie misure per garantire la compliance. Il primo passo da fare è comprendere la classificazione dei sistemi di Intelligenza Artificiale in base al rischio. L’AI Act distingue tra: rischio inaccettabile, che vede “sistemi vietati”, come quelli che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone; rischio alto, con sistemi che, pur essendo consentiti, richiedono requisiti stringenti, come quelli utilizzati in ambito sanitario o educativo; rischio limitato e rischio minimo, ossia quei sistemi che presentano rischi meno impattanti e, pertanto, sono soggetti a requisiti meno rigorosi.
Come per tutti i soggetti interessati dalle misure dell’AI Act, anche per le PMI è essenziale mappare i sistemi di Intelligenza Artificiale in uso – attuale o potenziale – e determinarne la classificazione del rischio per comprendere gli obblighi specifici a cui sono soggette. Una volta identificato il livello di rischio, le PMI devono adottare un sistema di gestione dei rischi. Questo implica l’integrazione di tale gestione dei rischi in tutte le fasi del ciclo di vita del sistema di Intelligenza Artificiale utilizzato o da utilizzare, dalla sua fase di progettazione al suo uso sul campo. È fondamentale documentare i rischi identificati, le misure di mitigazione adottate e le decisioni prese durante il processo. Inoltre, le PMI devono garantire la trasparenza nell’uso dell’Intelligenza Artificiale, con gli utenti interessati che devono essere informati quando interagiscono con un sistema di Intelligenza Artificiale, soprattutto se le decisioni che li riguardano sono influenzate da tale tecnologia. Tutto ciò è particolarmente importante in ambiti come la selezione del personale (si pensi ai “recruiting chatbot”) o la concessione di crediti (cd. “credit scoring”, metodo statistico che consente di valutare l’affidabilità creditizia e la solvibilità di una persona).
Principali problemi che possono riguardare le PMI nel loro rapporto con l’AI Act
Ma vediamo più nel dettaglio alcuni dei principali problemi che possono riguardare le PMI nel loro complesso rapporto con il Regolamento (UE) 2024/1689.
Mancanza di “informazioni chiare” per gli imprenditori
Uno dei primi problemi è la mancanza di “informazioni chiare” per gli imprenditori. Molte PMI non sanno esattamente cosa si intenda per “Intelligenza Artificiale” (men che meno cosa se ne intenda secondo l’AI Act); inoltre, non sanno neppure se i sistemi che utilizzano (come può essere ChatGPT o Gemini) o pianifichino di utilizzare (es. un chatbot per la gestione della clientela) rientrino nei requisiti previsti dall’AI Act. A maggior ragione, c’è confusione su quali obblighi spettino a chi sviluppa l’Intelligenza Artificiale rispetto a chi la utilizza o la “incorpora” in altri prodotti. Per fortuna, sono in arrivo strumenti di autovalutazione e linee guida pensate proprio per aiutare le PMI a orientarsi in questo dedalo legislativo. Anche le associazioni di categoria potranno giocare un ruolo fondamentale nel diffondere informazioni e offrire supporto formativo.
I costi di adeguamento all’AI Act
Il secondo problema da affrontare riguarda i costi. Il Regolamento (UE) 2024/1689 prevede, per i sistemi considerati “ad alto rischio”, una serie di requisiti stringenti: bisogna documentare il funzionamento del sistema, gestire i rischi, garantire tracciabilità e adottare meccanismi di supervisione umana. Per una Piccola-Media Impresa, si badi bene, mettere in campo tutto questo in autonomia può essere molto impegnativo. Tuttavia, l’AI Act prevede strumenti pensati proprio per aiutare le imprese più piccole, come le cosiddette “regulatory sandbox”, ovvero spazi controllati dove le aziende possono testare le proprie soluzioni in “modo protetto”.
L’uso di strumenti acquistati da terzi
Il terzo problema è che molte PMI non sviluppano Intelligenza Artificiale, ma la usano quotidianamente tramite strumenti acquistati da terzi. In questi casi può non essere chiaro se e in che misura l’impresa sia soggetta agli obblighi dell’AI Act o meno. Per questo sarà fondamentale avere linee guida specifiche e aggiornate, oltre a poter contare sull’assistenza di esperti del settore (magari messi a disposizione da enti pubblici o reti regionali per l’innovazione). Un buon punto di partenza è anche dialogare con i fornitori dei software utilizzati, chiedendo se i loro prodotti sono conformi o meno al Regolamento (UE) 2024/1689.
Le responsabilità sottese all’intelligenza artificiale
l quarto problema riguarda le responsabilità sottese a tale tecnologia. Se un sistema basato sull’Intelligenza Artificiale prende una decisione errata o discriminatoria (per esempio, escludendo un candidato valido da una selezione) chi ne risponde? L’impresa che lo utilizza o chi ha progettato tale sistema? In questo ambito è importante definire con chiarezza i contratti con i fornitori e, dove necessario, dotarsi di assicurazioni specifiche per la gestione del rischio legato all’uso dell’Intelligenza Artificiale nei propri processi decisionali. Inoltre, avere sistemi che registrano le decisioni e permettono di ricostruire come esse sono state prese può aiutare molto anche in caso di contestazioni a livello giudiziario (purché a norma di GDPR).
Il problema dell’obsolescenza delle tecnologie
Il quinto problema è che molte imprese temono di investire oggi in una tecnologia o in un sistema che domani potrebbe non essere più conforme (obsolescenza programmata o meno che sia). È un timore legittimo, soprattutto in un campo che evolve così rapidamente come quello dell’Intelligenza Artificiale. Per ridurre questo rischio, conviene scegliere soluzioni sviluppate secondo criteri di trasparenza, sicurezza e rispetto dei diritti fin dalla fase di progettazione, cioè software costruiti con un “approccio etico per impostazione predefinita”. Partecipare a reti di imprese, cluster tecnologici o collaborazioni con università potrebbe aiutare le PMI a rimanere aggiornati e prendere decisioni più informate.
La formazione del personale
Il sesto problema riguarda l’investimento che le PMI devono effettuare per la formazione del proprio personale. La comprensione delle normative e delle best practice in materia di Intelligenza Artificiale da parte dei propri dipendenti è essenziale per garantire una gestione responsabile e conforme di tale tecnologia. Programmi di formazione specifici possono aiutare a sensibilizzare i dipendenti sui rischi e sulle opportunità legate all’uso dell’Intelligenza Artificiale, evitando situazioni spiacevoli che possono arrecare danni e sanzioni ad aziende e persone.
La protezione dei dati personali
Infine, il settimo problema riguarda la protezione dei dati personali. Molti sistemi di Intelligenza Artificiale trattano una moltitudine di dati personali di qualsiasi tipo – quindi, anche, particolari (già “sensibili”, ai sensi dell’Art. 9 del GDPR), per cui le PMI devono garantire anche la conformità del trattamento dati al già brevemente accennato GDPR. Ciò implica, tra l’altro, la necessità di effettuare una valutazione d’impatto sulla protezione dei dati (comunemente nota come DPIA o PIA) prima di implementare un sistema di Intelligenza Artificiale che possa comportare rischi elevati per i diritti e le libertà degli interessati, ai sensi dell’Art. 35 del GDPR.
PMI e AI Act, le azioni strategiche per prepararsi “senza farsi travolgere” dai cambiamenti normativi
Di fronte a una normativa complessa come l’AI Act, è normale sentirsi disorientati. Tuttavia, ci sono alcune azioni semplici ma strategiche che una PMI può intraprendere fin da subito per prepararsi “senza farsi travolgere” dai cambiamenti normativi in atto. Non è necessario diventare esperti di Intelligenza Artificiale o investire ingenti risorse da un giorno all’altro: si tratta piuttosto di impostare un percorso graduale, ma consapevole.
Mappatura degli strumenti digitali
Il primo passo è capire se e dove si sta usando l’Intelligenza Artificiale in azienda. Questo significa fare una mappatura degli strumenti digitali presenti: software gestionali, applicazioni per l’e-commerce, strumenti per il marketing, sistemi di videosorveglianza, software per la selezione del personale e così via. Spesso l’Intelligenza Artificiale è integrata in questi strumenti in modo non visibile: per esempio, un sistema che propone automaticamente prodotti ai clienti o che analizza i curriculum potrebbe usare algoritmi di apprendimento automatico. Anche se non si è sviluppatori, è utile chiedersi: questo strumento prende decisioni in autonomia? Personalizza qualcosa in base ai dati? Se sì, è possibile che esso impieghi tecnologie intelligenti.
Mettersi in contatto con i fornitori per chiarire gli aspetti critici
Una volta individuati i software “critici”, è importante mettersi in contatto con i fornitori per chiarire alcuni aspetti. Si può chiedere, ad esempio, se il prodotto è conforme (o sarà reso conforme) al Regolamento (UE) 2024/1689, se è classificabile come sistema ad alto rischio secondo tale normativa e quali misure di sicurezza e tracciabilità sono previste. Molti fornitori, soprattutto quelli europei, stanno già lavorando da mesi per aggiornare i propri prodotti e dovrebbero essere in grado di fornire documentazione tecnica, certificazioni o dichiarazioni di conformità già da quest’anno (se non l’hanno già fatto). Questo dialogo è fondamentale per definire anche le responsabilità contrattuali, poiché sapere “chi risponde di cosa”, in caso di problemi, sarà sempre più importante negli anni a venire.
Identificare il livello di rischio associato ai propri utilizzi
Per quanto attiene il già citato livello di rischio dei sistemi di Intelligenza Artificiale, le PMI devono identificare il livello di rischio associato ai propri utilizzi. Anche se non si è in grado di fare una valutazione tecnica completa in autonomia, le PMI devono iniziare con una valutazione interna orientativa, ponendosi domande come: “questo sistema può influenzare i diritti o la vita delle persone?” oppure “prende decisioni automatiche su persone fisiche?”. In caso di dubbio, rivolgersi a esperti del settore è fondamentale.
Affrontare l’AI Act come cambiamento culturale
Fondamentale è altresì non affrontare l’AI Act come un ostacolo burocratico (riprendendo il “mantra” del biennio 2016-2018 col GDPR), ma come un cambiamento culturale che tocca il modo in cui le aziende lavorano e prendono decisioni. Per questo motivo è utile per i dipendenti delle PMI partecipare a corsi, webinar o workshop sul tema. Le associazioni di categoria, le camere di commercio, gli hub per l’innovazione digitale e alcune università stanno già offrendo percorsi formativi gratuiti o a basso costo, pensati proprio per le PMI. Formare anche una o due persone all’interno dell’azienda, che possano seguire l’evoluzione normativa e fare da punto di riferimento interno, può rivelarsi una strategia efficace a lungo termine.
Bandi, voucher e contributi a fondo perduto per accompagnare le imprese nel processo di adeguamento all’AI Act
Inoltre, per accompagnare le imprese nel processo di adeguamento all’AI Act, l’Unione Europea e le istituzioni italiane stanno attivando bandi, voucher e contributi a fondo perduto. Questi fondi possono coprire spese per consulenze, adeguamento tecnologico, formazione del personale e adozione di strumenti di Intelligenza Artificiale sicuri e conformi alla legge. È utile tenere d’occhio i siti ufficiali dei programmi europei come Horizon Europe, Digital Europe e gli European Digital Innovation Hubs (EDIH), ma anche quelli di enti nazionali e regionali. Molti bandi sono pensati proprio per favorire l’adozione dell’Intelligenza Artificiale tra le PMI, anche in forma consorziata o collaborativa.
Impostare un piano interno per l’adeguamento a tale normativa
Infine, anche se si è nei primi periodi di applicazione del Regolamento (UE) 2024/1689, può essere molto utile impostare un piano interno per l’adeguamento a tale normativa. Non serve nulla di complesso: basta un documento che elenchi le azioni da fare, le persone coinvolte, una stima dei costi e una previsione delle tempistiche. Questo tipo di pianificazione aiuta a evitare reazioni improvvisate e a dimostrare, se necessario, che l’impresa sta prendendo sul serio il tema della conformità. Inoltre, rappresenta un segnale positivo anche per clienti, fornitori e partner commerciali.
Il rapporto tra PMI, Intelligenza Artificiale e GDPR.
Passiamo ora a esplorare il rapporto che lega o può legare le PMI con i modelli di Intelligenza Artificiale e con il GDPR.
Le PMI, come abbiamo letto, si trovano oggi di fronte a una trasformazione digitale senza precedenti. Strumenti come i “modelli linguistici di grandi dimensioni” (noti anche come Large Language Models, o – maggiormente – come LLM), tra cui il ben noto ChatGPT, stanno diventando parte integrante delle attività quotidiane in molte aziende, con un numero imprecisato di dipendenti pubblici e privati che li utilizzano quotidianamente in maniera continua.
I rischi in termini di sicurezza, responsabilità e protezione dei dati personali
Questi strumenti offrono indubbi vantaggi in termini di produttività, automazione e supporto decisionale, presentandosi come soluzioni accessibili anche per realtà aziendali di dimensioni contenute (come le PMI, per l’appunto). Tuttavia, il loro utilizzo sovente e, a volte, sregolato, solleva importanti questioni in termini di sicurezza, responsabilità e protezione dei dati personali, soprattutto quando impiegati senza una strategia precisa e consapevole da parte dei dipendenti.
Uno dei rischi principali per una PMI che consente l’uso libero e non regolamentato di LLM riguarda l’inserimento inconsapevole di dati personali o informazioni sensibili nei prompt (come il classico “In cosa posso essere utile?” al “Fai una domanda” di ChatGPT). Quando un dipendente “copia e incolla” un’email, un contratto o un documento interno nel campo di input di un LLM come ChatGPT, potrebbe (lasciando il condizionale) trasmettere a un fornitore esterno “non ben noto” dati appartenenti a clienti, fornitori o colleghi. Oppure appartenenti a pazienti, in ambito sanitario. A quel punto, quelle informazioni immesse “senza pensarci” vengono trattate da un sistema sviluppato e gestito da uno o più soggetti terzi che potrebbero utilizzare tali informazioni nei modi più disparati possibili, legalmente e non. Il che ci riporta nuovamente al GDPR. Secondo l’Art. 5.1 lett. a) del GDPR, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Inoltre, tali dati non possono essere raccolti o utilizzati senza una base giuridica lecita (come quella del consenso).
Il trasferimento di dati personali verso un paese terzo
Sempre restando nel GDPR, l’Art. 44 del GDPR stabilisce che il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale (fuori dall’Unione Europea, per intenderci) può avvenire solo se il livello di protezione garantito sia adeguato. Nel caso dei LLM accessibili tramite piattaforme online, come ChatGPT, è possibile che i dati vengano elaborati su server localizzati al di fuori dell’Unione Europea, in particolare negli Stati Uniti. In assenza di clausole contrattuali tipo (“Standard Contractual Clauses” nella versione inglese del GDPR), ovvero di altre misure di garanzia adeguate (come il Data Privacy Framework EU-US[5]), tale trattamento di dati personali può comportare una violazione del GDPR. Il rischio, peraltro, non è teorico: il nostro Garante per la Protezione dei Dati Personali ha avviato più volte istruttorie nei confronti di fornitori di Intelligenza Artificiale, compresa OpenAI (proprietaria di ChatGPT), richiedendo chiarimenti sulle basi giuridiche utilizzate per il trattamento dei dati, sulle informazioni fornite agli utenti e sulla gestione dei dati personali e particolari da parte delle sue piattaforme.
Definizione di policy interne chiare sull’utilizzo degli strumenti di Intelligenza Artificiale generativa
Per le PMI, tutti questi oneri di legge comportano una responsabilità concreta: non basta che il fornitore dello strumento di Intelligenza Artificiale assicuri il rispetto delle normative; anche l’azienda utilizzatrice di tale tecnologia deve adottare misure per garantire che l’uso che ne fanno i propri dipendenti sia conforme alle disposizioni del GDPR. Questo include, quindi, la definizione di policy interne chiare sull’utilizzo degli strumenti di Intelligenza Artificiale generativa (ossia, capace di generare testi, immagini, audio e video, come ChatGPT, ma anche Gemini di Google), la formazione del personale sui rischi connessi all’uso di tale tecnologia e, nei casi in cui vengano trattati dati personali “sensibili” o vi siano impatti significativi sui diritti e le libertà degli interessati, la redazione di una valutazione d’impatto sulla protezione dei dati (DPIA), prevista dal già citato Art. 35 del GDPR.
L’importanza della supervisione umana
Un altro aspetto spesso trascurato riguarda la qualità e l’accuratezza delle risposte fornite dai modelli linguistici di grandi dimensioni. ChatGPT, ad esempio, è progettato per generare contenuti coerenti e plausibili, ma non garantisce la veridicità delle informazioni (si parla di “allucinazioni” dell’Intelligenza Artificiale, che si hanno quando questa tecnologia produce risultati falsi, molte volte per “accontentare” sempre e comunque l’utente). Ciò significa che un dipendente pubblico o privato potrebbe ricevere risposte errate, incomplete o fuorvianti e, ove le utilizzasse per finalità operative o decisionali (comunque, lavorative), potrebbe compromettere l’attività aziendale, con inevitabili conseguenze per un numero indeterminato di persone. È chiaro come l’utilizzo di questi strumenti non possa sostituire la supervisione umana, spettando all’azienda l’onere di garantire che ogni contenuto generato venga sempre validato prima di essere utilizzato in modo “ufficiale”.
Il tema della sicurezza informatica
Va poi considerato il tema della sicurezza informatica. L’utilizzo di servizi online basati su Intelligenza Artificiale, soprattutto se gratuiti o non soggetti a verifiche interne/esperte adeguate, può rappresentare un punto di vulnerabilità per l’azienda. I prompt inseriti (come le domande fatte a ChatGPT, per esempio), pur non contenendo dati identificativi, possono contenere informazioni strategiche, riservate o di valore commerciale. Una fuga di questi dati, o anche solo l’impiego da parte del fornitore per addestrare ulteriormente i propri modelli, può mettere a rischio la competitività e la reputazione della PMI. Anche in assenza di una violazione dei dati personali (per chiarirci, il data breach previsto dall’Art. 33 del GDPR), il semplice fatto che informazioni aziendali escano dal perimetro interno potrebbe rappresentare un pericolo concreto per la PMI.
Best practice e regole interne per l’uso dell’AI
Alla luce di questi rischi, è fondamentale che le PMI stabiliscano regole chiare e che possano essere seguite all’interno delle aziende. Una buona prassi consiste nel classificare le informazioni aziendali e definire quali possono essere trattate tramite LLM e quali no. È opportuno vietare l’inserimento di dati personali o “sensibili” nei prompt, oppure richiedere l’anonimizzazione preventiva dei contenuti. Inoltre, può essere utile centralizzare l’uso degli strumenti Intelligenza Artificiale attraverso account aziendali configurati con livelli di sicurezza adeguati, invece di lasciare ai singoli dipendenti la libertà di utilizzare versioni pubbliche senza supervisione. Non meno importante è l’aspetto della trasparenza nei confronti degli interessati. Se i contenuti generati con l’aiuto di un LLM vengono utilizzati per interagire con clienti o fornitori – ad esempio tramite chatbot, email automatiche o assistenti virtuali – è necessario informare gli utenti del fatto che stanno interagendo con un sistema automatizzato. In alcuni casi, come previsto dal Regolamento (UE) 2024/1689, potrebbe essere obbligatorio offrire la possibilità di richiedere “l’intervento umano” o di opporsi al trattamento automatizzato mediante sistemi intelligenti.
Approccio prudente e compliance normativa
Nel quadro normativo attuale, torniamo ad affermarlo, l’adozione degli LLM da parte delle PMI deve essere guidata da un approccio prudente, basato sulla valutazione preventiva dei rischi, sulla trasparenza e sull’adozione di misure organizzative e tecniche adeguate. L’uso innovativo di questi strumenti non è incompatibile con il rispetto delle regole: al contrario, un impiego consapevole e controllato può trasformare l’Intelligenza Artificiale in una risorsa preziosa per la crescita aziendale, senza compromettere la fiducia dei clienti né violare la normativa vigente.
In conclusione, l’adozione dell’Intelligenza Artificiale offre alle Piccole-Medie Imprese opportunità significative in termini di efficienza e competitività. Tuttavia, è fondamentale che tali aziende comprendano e gestiscano i rischi associati all’uso dell’Intelligenza Artificiale, adottando misure adeguate per la protezione dei dati personali e per garantire la compliance alle normative europee. Con l’approccio giusto, le PMI possono navigare con successo nel panorama normativo dell’Intelligenza Artificiale degli anni a venire, trasformando le sfide in opportunità di crescita e innovazione.
Riproduzione: agendadigitale.eu
