Nel contesto tecnologico attuale, l’intelligenza artificiale sta diventando una componente sempre più importante per accrescere l’efficienza delle attività aziendali e accelerare ricerca, sviluppo e business.
Tuttavia, insieme alle innumerevoli opportunità connesse all’uso dei sistemi di IA esistono rischi significativi, che possono coinvolgere anche i diritti fondamentali della persona e i principi su cui si fondano gli ordinamenti democratici.
L’Unione Europea ha recentemente approvato un regolamento articolato, l’AI Act, per consentire la produzione, la commercializzazione e l’uso di sistemi di IA affidabili, sulla base del presupposto che non potrebbe svilupparsi un mercato sicuro in assenza di regole chiare cui attenersi.
Ecco come nasce la figura dell’AI Officer che contribuisce al governo e alla supervisione dell’IA, sebbene nel Regolamento europeo sull’intelligenza artificiale non ci sia alcuna disposizione che ne preveda espressamente la nomina.
Indice degli argomenti
Il contesto tecnologico espansivo e la diversità di approcci alla normazione
Negli Stati Uniti – area rispetto alla quale il confronto sui temi tecnologici risulta imprescindibile – l’approccio è sostanzialmente diverso.
Si ritiene che le imprese debbano essere libere di produrre tecnologia e sperimentare, con l’obiettivo di mantenere il primato tecnologico a livello mondiale anche in questo ambito strategico.
Una regolamentazione sistemica è vista, in particolare dall’attuale amministrazione, come un freno.
Analogamente, anche in altri ambiti connessi al settore tech, come la privacy, gli Stati Uniti finora non hanno adottato norme generali a livello federale, in controtendenza rispetto ai trend europei e internazionali.
Il mercato europeo e italiano dell’IA
Indipendentemente dalla normativa, nell’UE gli investimenti pubblici e privati, nell’IA crescono esponenzialmente.
La Commissione UE ha lanciato lo scorso febbraio InvestAI, un’iniziativa volta a mobilitare fondi per 200 miliardi di euro nell’IA, di cui 20 per le gigafabbriche di IA e poter competere con i giganti USA e Cina.
Nell’ambito del Digital Europe Program, la Commissione ha deciso di destinare 1,3 miliardi di euro per il periodo 2025-2027 per promuovere l’utilizzo dell’IA da parte di imprese e pubbliche amministrazioni.
Le imprese italiane si stanno approcciando all’IA un po’ più lentamente rispetto ad altri Paesi europei (come Francia, Germania, Olanda, Regno Unito e Spagna), ma i numeri che emergono dai report dell’Osservatorio sull’IA del Politecnico di Milano sono comunque estremamente significativi: oltre l’80% delle grandi imprese ha valutato progetti in ambito IA, il 60% circa ha almeno un progetto attivo e il 65% delle aziende già attive nell’IA sta sperimentando anche nel campo della IA generativa.
Ritardi per conformarsi all’AI Act
In questo contesto fortemente espansivo, tuttavia, meno del 30% delle realtà che ha avviato progetti di IA ha adottato misure per conformarsi al quadro normativo applicabile, incluso l’AI Act, nonostante le imprese più attive siano quelle di grandi dimensioni, tipicamente più pronte a investire nella compliance.
Questo ultimo dato conduce alle considerazioni che seguono in merito all’individuazione di figure idonee a supportare le organizzazioni in un percorso di potenziamento dei propri presidi in ambito IA.
Il principio della sorveglianza umana
La Commissione europea, tramite un gruppo di esperti (HLEG), già nel 2019 aveva elaborato sette principi che dovrebbero trovare applicazione pratica in tutto il ciclo di vita di un sistema di IA, per contribuire a garantirne l’affidabilità.
Il primo di questi principi è “intervento e sorveglianza umani”. Gli altri sono robustezza tecnica e sicurezza, privacy e governance dei dati, trasparenza, diversità, non discriminazione ed equità, benessere sociale e ambientale e responsabilità.
La sorveglianza umana aiuta a garantire che un sistema di IA non comprometta l’autonomia umana o provochi altri effetti negativi e può avvenire mediante meccanismi di governance che consentano un approccio con:
- intervento umano (human-in-the-loop);
- supervisione umana (human-on-the-loop);
- controllo umano (human-in-command).
I tre approcci con intervento umano
L’approccio human-in-the-loop, prevedendo la possibilità di intervento umano in ogni ciclo decisionale del sistema, seppur offra garanzie rafforzate può non essere sempre possibile o auspicabile.
La supervisione umana, invece, prevede l’intervento dell’uomo durante il ciclo di progettazione del sistema e il monitoraggio del funzionamento del sistema. Il controllo dell’attività del sistema di IA nel suo complesso e la capacità di decidere quando e come utilizzare il sistema in qualsiasi particolare situazione caratterizzano il criterio human-in-command.
Il presidio dell’uomo assume in questa elaborazione teorica un significato cui è necessario attribuire una rilevanza operativa. Un’organizzazione impegnata nella promozione di tecnologie di IA dovrebbe individuare le figure più idonee per tenere le stesse in sicurezza, onde evitare incidenti o storture a livello interno o diffuse esternamente, magari su larga scala.
La tipologia di presidi di sorveglianza umana
Tenendo conto del risk based approach, la tipologia di presidi di sorveglianza umana da introdurre nell’organizzazione dovrebbe dipendere da diversi fattori, inclusi anche il ruolo ricoperto dalla società all’interno della filiera, la diffusione dell’applicazione a livello di mercato, il settore di riferimento, le finalità dei sistemi di IA, i volumi e la qualità di dati destinati ad alimentare gli stessi.
A seconda delle valutazioni complessive da svolgere a cura del top management in un’ottica di prevenzione e gestione del rischio, per garantire la sorveglianza umana i diversi approcci sopra richiamati devono essere valutati e poi modulati nella definizione di un sistema di governance adeguato rispetto all’organizzazione e ai diversi fattori di rischio.
I requisiti dell’AI Act
L’AI Act, il Regolamento europeo sull’intelligenza artificiale (1689/2024), entrato in vigore il primo agosto 2024, poggia in modo sostanziale sugli orientamenti etici sopra richiamati per un’IA affidabile.
Il legislatore ha infatti ritenuto che quei setti ampi principi contribuiscano allo sviluppo di un’IA coerente, affidabile e antropocentrica, in linea con la Carta dei diritti fondamentali e con i valori su cui si fonda l’UE.
All’interno della nuova normativa non è stata inclusa alcuna disposizione che preveda espressamente di nominare un AI Officer.
Si legge tuttavia, tra le righe del Regolamento, la necessità di individuare una o più figure che contribuiscano al governo e alla supervisione dell’IA.
AI officer, come nasce questa figura
Alcune disposizioni richiedono chiaramente di introdurre misure di sorveglianza umana che possano prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali e riguardano in particolare i sistemi ad alto rischio (art. 14 AI Act). Il tipo di sorveglianza che il Regolamento richiede deve essere commisurato ai rischi.
Occorre quindi sempre muovere dalla valutazione di questi (settore in cui opera l’organizzazione, finalità d’uso della tecnologia, categorie di soggetti interessati eccetera).
L’obbligo di mettere in atto misure di controllo umano grava tanto sul provider – che deve incaricare un team di persone di sorvegliare il corretto funzionamento dei sistemi sviluppati – quanto sul deployer, che deve anche assicurarsi, tra l’altro, che le istruzioni d’uso del fornitore vengano rispettate.
Il monitoraggio umano include anche la verifica del corretto funzionamento dei sistemi, per identificare e gestire anomalie, risultati inattesi o errati ed eventuali allucinazioni.
Un ulteriore presidio è legato alla corretta interpretazione degli output prodotti dall’IA e alla necessità di evitare un eccessivo affidamento a tali risultati, in particolare quando possono derivare da tali output raccomandazioni o decisioni che hanno un impatto sulle persone.
Da tali valutazioni umane deve poter conseguire anche il potere di ignorare o ribaltare l’output e, finanche, quello di arrestare d’urgenza il sistema di IA, in caso emergano gravi problemi di sicurezza.
Le competenze dell’AI officer
La sorveglianza umana deve essere affidata – in base all’articolo 26 dell’AI Act, che elenca gli obblighi dei deployer dei sistemi di IA a alto rischio – a persone fisiche che dispongono della competenza, della formazione e dell’autorità necessarie, nonché del sostegno necessario.
Da questa norma emerge che la figura singola, o meglio ancora il team, da individuare per svolgere efficacemente i delicati compiti di monitoraggio dell’IA deve ricevere dal vertice gerarchico un forte supporto, sia a livello di poteri che di budget.
Occorre quindi fare riferimento a figure manageriali che possano fornire un’expertise professionale qualificata, eventualmente ricercabile anche all’esterno dell’organizzazione ove necessario.
Le competenze devono toccare tanto la sfera legale quanto quella tecnologica.
AI officer, il ruolo della formazione
Un ulteriore ambito nel quale la figura dell’AI Officer può assumere un ruolo chiave è quello della formazione.
L’AI Act impone a tutte le organizzazioni che sviluppano o usano AI, già da febbraio, di garantire un livello sufficiente di alfabetizzazione sulla materia.
I programmi di formazione devono essere tarati sul tipo di destinatari (in base ai ruoli, alle competenze e al background) e sul contesto di utilizzo della tecnologia.
Il GDPR ha posto esplicitamente in capo al DPO il compito di mantenere formare e sensibilizzare i dipendenti in merito alle attività di controllo legate ai trattamenti di dati personali.
Ferma quindi la competenza di questa figura, ove nominata, per i profili data protection connessi all’AI, l’AI officer potrebbe essere il promotore delle diverse iniziative di awareness e training da mettere in campo obbligatoriamente a livello generale.
Qualora non possieda tutte le competenze per coprire i molteplici elementi che assumono rilevanza per un programma formativo completo, coinvolgerà altre professionalità.
Altre attività di mappatura e sorveglianza
Mantenere la supervisione sulla tipologia di sistemi usati nell’organizzazione, individuando prontamente eventuali applicazioni proibite (il cui uso deve essere interrotto) o attivando i presidi richiesti per gli alto rischio, è un’altra attività di mappatura e sorveglianza che potrebbe essere affidata all’AI Officer o al suo team.
Per svolgere queste attività, la persona o il team incaricato potrebbe avvalersi di strumenti che agevolino l’inventario dei sistemi di AI e la loro classificazione in base ai rischi, oltre che una metodologia per valutarne i possibili impatti, nell’ottica di adottare le misure adeguate per annullare o mitigare i rischi.
Linee guida, procedure, strumenti per lo svolgimento di assessment, checklist di conformità, policy di trasparenza, informative, contratti ed altre misure necessarie contribuiscono alla definizione di un modello aziendale di governance dell’AI e di gestione dei rischi, da coordinare con i presidi esistenti in ambiti connessi, come la data protection e la cyber sicurezza, che l’AI Act richiede di garantire.
Analogamente al DPO, l’AI Officer può fungere da punto di contatto preferenziale per le autorità di controllo, ma anche per gli interlocutori commerciali, come partner e fornitori. Il suo supporto può risultare determinante nell’assessment dei sistemi e nella valutazione e gestione di incidenti di sicurezza, collaborando con le figure legali e tecniche di riferimento e con eventuali consulenti esterni.
Un panorama in evoluzione
Il framework legale di riferimento in ambito AI è estremamente articolato, poiché include una normativa europea direttamente applicabile, una legge nazionale in via di definizione in Parlamento, linee guida e orientamenti di autorità europee, italiane e di organismi internazionali, sanzioni, sentenze delle corti.
Questo panorama è ancora in evoluzione e deve essere monitorato attentamente da parte di un AI Officer o team che abbia il compito di assicurare all’organizzazione un controllo attento sull’IA, per intercettare tempestivamente qualsiasi requisito applicabile alla società.
Anche le best practice che si stanno definendo a livello di mercato diventano un riferimento per chi è chiamato a mantenere un livello alto di conformità per l’organizzazione e a evitare l’esposizione della stessa alle conseguenze estremamente dannose, a livello economico e reputazionale, in caso di violazioni delle regole o di incidenti.
Il comitato
In ottica operativa e di collocazione nel funzionigramma societario, una figura con questi compiti riporta al vertice gerarchico e si coordina con tutte le funzioni direttamente coinvolte nello sviluppo o nell’uso dell’AI: IT, cyber, HR, legal, privacy, procurement, operation, marketing, eccetera.
Per favorire il coordinamento e lo scambio di informazioni interno, potrebbe essere costituito un comitato, che coinvolga alcune figure chiave delle funzioni maggiormente impattate da questa tecnologia.
Rispetto alle attività di sorveglianza e ai piani di intervento connessi all’ambito IA, dovranno essere informati e coinvolti, in base alle diverse prerogative, anche altri organi aziendali di controllo, come il DPO, l’OdV 231 e il collegio sindacale.
Le procedure
Il set di procedure da definire per il governo dell’IA ricalcherà il modello individuato a livello di ruoli, affinché sia nell’ordinario (sviluppo e deployment della tecnologia) che in situazioni straordinarie o emergenziali (incidenti, reclami, contenziosi, procedimenti avviati da autorità di controllo) siano chiari i compiti attribuiti, le responsabilità delle diverse figure e le modalità e i tempi di intervento di ciascun soggetto rilevante.
Verso una maggiore conformità alle nuove norme
L’introduzione della figura dell’AI Officer nelle organizzazioni che sviluppano o utilizzano intelligenza artificiale può rappresentare, innanzitutto, un passo importante verso una maggiore conformità alle nuove norme, vista l’applicabilità di una parte dell’AI Act già dall’inizio del 2025 e il generale livello di ritardo delle organizzazioni nell’adeguamento al Regolamento.
Ulteriori benefici derivanti dall’individuazione di soggetti idonei a ricoprire un simile ruolo sarebbero la promozione di una cultura aziendale solida in materia di IA e la supervisione sugli impatti della tecnologia per le persone, bilanciando innovazione, sicurezza e diritti.
Seguendo l’approccio human centric, la fiducia nei confronti della tecnologia risulterebbe così rafforzata, con effetti positivi anche per lo sviluppo del mercato europeo.
