Il 12 luglio 2024 è stato pubblicato in Gazzetta Ufficiale dell’UE il regolamento UE 2024/1689 che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act o Regolamento). L’AI Act è finalizzato all’istituzione di regole giuridiche uniformi volte ad incentivare lo sviluppo, l’immissione e l’utilizzo dell’intelligenza artificiale (IA) nell’Unione europea. L’obiettivo della regolamentazione è garantire la libera circolazione tra gli Stati membri dei beni e servizi fondati sull’IA.
Il ricorso all’intelligenza artificiale nei diversi settori industriali ed economici è cresciuto esponenzialmente negli ultimi anni. Dunque, si pone la necessità, non solo per le imprese fornitrici ma anche per le imprese utilizzatrici (deployers) di sistemi di IA di istituire meccanismi, sistemi e procedure di governance per la gestione dell’IA.
Tra le molte previsioni del Regolamento (su cui non si può indugiare in questa sede) risulta significativo l’obbligo per i fornitori di sistemi di IA ad alto rischio di istituire un sistema di gestione della qualità dell’IA documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte (art. 17). Detta disposizione deve essere letta congiuntamente con l’obbligo di valutazione di impatto sui diritti fondamentali per i sistemi ad alto rischio (art. 27), introducendo altresì un ponte assai significativo con la già vigente valutazione di impatto per la Data Protection (DPIA, art. 35 del GDPR).
Tali norme comportano un nuovo livello di attenzione per il mondo imprenditoriale; responsabilità che non può considerarsi limitata all’ambito dei sistemi di IA ad alto rischio. Il Regolamento è volto ad incoraggiare in senso più ampio l’adozione di codici di condotta di governance volti all’applicazione volontaria di almeno alcuni requisiti applicabili ai sistemi di IA ad alto rischio (Considerando 165, art. 95 relativo a codici di condotta volontari e i codici di buone pratiche previsti dall’art. 56 relativo ai codici di buone pratiche dei modelli di IA per finalità generali, ossia nell’ambito della intelligenza artificiale cd. generativa).
Vi sono poi importanti specificità settoriali, ad esempio, per le imprese operanti nel mercato creditizio, assicurativo e finanziario che sono soggette, nel framework delle già applicabili normative di settore, alle regole di governance previste dall’AI Act, (Considerando 158). Tanto è che, ad esempio, l’obbligo di istituire un sistema di gestione della qualità ex art. 17 per i fornitori di IA ad alto rischio che siano istituti finanziari si considera parzialmente soddisfatto se sono ottemperate le regole sui dispositivi o i processi di governance interna a norma del pertinente diritto dell’Unione in materia di servizi finanziari.
Queste novità normative di matrice UE si inseriscono poi in un quadro internazionale più vario e complesso: un recente Executive Orderdel Presidente USA prescrive per le Autorità Governative molteplici nuovi meccanismi di governance legati all’intelligenza artificiale, primo tra i quali l’istituzione di un Chief Artificial Intelligence Officer (cd. CAIO) che può offrire alcuni spunti di sicuro interesse anche in prospettiva UE e di diritto societario.
LA GOVERNANCE SOCIETARIA DELL’IA
A fronte del nuovo quadro normativo del AI Act, che entrerà in vigore il 2° agosto 2024, emergono già alcuni temi di governance societaria che diverranno urgenti, a partire da una mappatura dell’uso di sistemi di IA nell’organizzazione dell’impresa e dalla individuazione dell’organo societario deputato all’osservanza dei nuovi obblighi.
La responsabilità del consiglio di amministrazione
L’imprenditore ha un obbligo generale di adottare assetti organizzativi, amministrativi e contabili adeguati (art. 2086 c.c.) e, nelle società, il consiglio di amministrazione ha la responsabilità della valutazione dell’adeguatezza dei medesimi assetti mentre l’organo delegato è deputato a curarne l’adeguatezza.
Pertanto, ove l’impresa fornisca o utilizzi in modo rilevante sistemi di IA, si potrebbe forse ipotizzare – anche nell’ambito del sistema delle deleghe e di governance – di designare un membro del consiglio di amministrazione o un comitato collegiale endoconsiliare (eventualmente anche già facente funzione di comitato controllo dei rischi) che assuma il compito di svolgere funzioni istruttorie e consultive in materia di sistemi algoritmici a servizio dell’organo di supervisione strategica.
L’istituzione di una figura manageriale
In aggiunta o in alternativa, sulla falsariga del Data Protection Officer introdotto dal GDPR, nell’organigramma aziendale si potrebbe ipotizzare di inserire una figura manageriale deputata all’attuazione delle politiche e degli obiettivi in tema di IA stabiliti dal consiglio di amministrazione. Il ruolo operativo del manager potrebbe consentire di concretizzare le direttive ricevute dall’organo gestionale di dialogare con altre funzioni di controllo.
La sottoposizione ad Audit dell’IA
L’impresa può dotarsi di sistemi di audit dell’IA, muovendosi nel framework dei sistemi già noti, eventualmente aggiornati e adattati. Tale audit dovrebbe consentire di garantire (i) che l’IA utilizzata nei processi aziendali sia conforme alla legge e ai principi etici e sia affidabile, contribuendo a promuovere la fiducia della clientela nei confronti dell’IA e maggiore trasparenza del funzionamento di quest’ultima e (ii) che siano individuati i rischi aziendali relativi all’utilizzo dei sistemi di IA, attraverso una valutazione della relativa progettazione e robustezza.
***
Lo Studio è a disposizione per ogni esigenza di assistenza e supporto per la corretta applicazione delle novità apportate dall’AI Act, anche con riferimento ai contributi che la stessa Commissione europea ha inteso fornire in questa delicata fase di transizione, con la recentissima istituzione dell’AI Office e con il lancio di varie iniziative fra cui l’AI Pact.
