Il Regolamento (UE) 2024/1689 (IA Act o Regolamento Intelligenza Artificiale) definisce “Deployer” ogni persona fisica, persona giuridica, ente, autorità pubblica o organismo che utilizza e/o gestisce un sistema di intelligenza artificiale per scopi professionali, istituzionali o aziendali.
Sono esclusi dalla definizione di “Deployer” prevista dal Regolamento IA tutti i privati e gli utenti finali che utilizzano un sistema di intelligenza artificiale per scopi esclusivamente personali.
Ogni azienda o pubblica amministrazione che voglia utilizzare o gestire un sistema di intelligenza artificiale in qualità di deployer ha l’obbligo di adempiere ad un serie di obblighi previsti dal AI Act, che si differenziano sulla base della tipologia del sistema di intelligenza artificiale aziendale adottato.
I principali obblighi del Regolamento IA che i deployer intelligenza artificiale sono tenuti a rispettare per poter utilizzare legalmente un sistema di intelligenza artificiale sono:
- Analisi dei Rischi e Valutazione di Impatto: il deployer prima di adottare un sistema di intelligenza artificiale aziendale deve sempre effettuare un’analisi dei rischi e una valutazione di impatto al fine di assicurarsi che il sistema di intelligenza artificiale non presenti rischi significativi per la salute, la sicurezza o i diritti fondamentali delle persone.
- Obblighi in caso di Rischi Emergenti: nel caso un sistema di intelligenza artificiale per aziende presenti un potenziale rischio o problemi imprevisti durante l'utilizzo, il deployer è tenuto a intervenire prontamente implementando idonee misure per mitigarne il rischio e l’impatto.
- Conformità alle istruzioni d'uso: i deployer devono adottare misure tecniche e organizzative per garantire che i sistemi di intelligenza artificiale aziendale siano sempre utilizzati secondo le istruzioni d'uso fornite dal fornitore, in modo da evitare errori operativi che possano compromettere la sicurezza o i diritti fondamentali degli utilizzatori finali.
- Trasparenza: i deployer devono garantire che gli utenti finali siano sempre informati che stanno interagendo con un sistema di intelligenza artificiale e non con un essere umano.
- Informazione sui Luoghi di Lavoro: i deployer devono informare i lavoratori e i loro rappresentanti in merito alla diffusione programmata dei sistemi di intelligenza artificiale ad alto rischio sul luogo di lavoro e ove necessario procedere con un accordo sindacale o a richiedere l’autorizzazione all’ispettorato del lavoro.
- Identificazione dei contenuti generati artificialmente: i deployer devono sempre informare gli utenti finali se i contenuti visualizzati (es: testo, audio, video o immagini) sono stati generati automaticamente da un sistema di intelligenza artificiale senza un intervento umano.
- Controllo dei dati di input: se i deployer hanno il controllo sui dati di input, devono assicurarsi che questi siano pertinenti e rappresentativi della finalità del sistema di intelligenza artificiale per aziende per evitare risultati distorti o non accurati.
- Sorveglianza umana: i deployer devono garantire il monitoraggio e la supervisione umana del sistema di intelligenza artificiale aziendale, assegnandola a persone fisiche che abbiano la formazione, le competenze e l'autorità necessarie per svolgere tale funzione.
- Registrazione: prima di utilizzare un sistema di intelligenza artificiale ad alto rischio, i deployer devono assicurarsi che il sistema sia stato registrato nella “Banca Dati IA” dell'Unione Europea. In alcuni casi di utilizzo (es: chatbot, assistenti virtuali…) il deployer può essere obbligato lui stesso a registrare il sistema di intelligenza artificiale nella Banca Dati IA anche se il sistema non è stato classificato dal fornitore come ad alto rischio.
- Monitoraggio Continuo: I deployer devono monitorare il funzionamento del sistema di intelligenza artificiale aziendale e intervenire prontamente se emergono malfunzionamenti o rischi inattesi e segnalare qualsiasi rischio o incidente grave al fornitore e alle autorità competenti, sospendendo l'uso del sistema di intelligenza artificiale ove necessario.
- Notifica di incidenti gravi: In caso di incidenti gravi, i deployer devono informare immediatamente il fornitore, il distributore e le autorità di vigilanza del mercato.
- Conservazione dei log: i deployer devono conservare i log del sistema di intelligenza artificiale per aziende per un periodo di tempo adeguato (non inferiore a sei mesi) per garantire la tracciabilità delle operazioni ed il corretto funzionamento del sistema.
Pertanto, prima di decidere di adottare e mettere in servizio un sistema di intelligenza artificiale aziendale è necessario che i deployer, si facciano supportare da esperti di intelligenza artificiale, al fine di effettuare una dettagliata analisi preliminare del progetto intelligenza artificiale per valutare attentamente i rischi e l’impatto che questo può avere sui diritti fondamentali degli utilizzatori finali.
Infatti, in caso di mancato rispetto degli obblighi previsti dal IA Act, i deployer intelligenza artificiale possono essere soggetti a Sanzioni Amministrative pecuniarie fino a € 35.000.000 o il 7 % del Fatturato Mondiale Annuo (se superiore).
Inoltre, le Autorità Competenti possono ordinare al deployer la sospensione temporanea o definitiva dell’utilizzo del sistema di intelligenza artificiale aziendale ed il ritiro dal mercato del sistema o del prodotto che lo integra o utilizza, con ingenti danni economici, di immagine e di reputazione.
GUARDA IL VIDEO SUGLI OBBLIGHI DEI DEPLOYER DI INTELLIGENZA ARTIFICIALE
Dr. Eric Falzone – Esperto di Intelligenza Artificiale – Partner EUCS
Articoli Intelligenza Artificiale ©EUCS