KI

FAQ sul­l'in­tel­li­gen­za ar­ti­fi­cia­le IA

L'es­sen­zia­le in breve:

  • L'in­tel­li­gen­za ar­ti­fi­cia­le sta cam­bian­do ra­di­cal­men­te l'e­co­no­mia e la so­cie­tà, ma sol­le­va anche que­stio­ni com­ples­se. 
  • Le nuove FAQ di eco­no­mie­suis­se for­ni­sco­no ri­spo­ste e in­di­ca­zio­ni su al­cu­ne di que­ste im­por­tan­ti que­stio­ni.

L'im­por­tan­za del­l'in­tel­li­gen­za ar­ti­fi­cia­le (IA) per le im­pre­se e la so­cie­tà è in co­stan­te au­men­to. Ma il suo uti­liz­zo dà luogo a nu­me­ro­se que­stio­ni le­ga­li e pra­ti­che. In­sie­me al­l'av­vo­ca­to Cor­ne­lia Sten­gel e agli av­vo­ca­ti Luca Stäuble e Jonas Tre­sch, eco­no­mie­suis­se ha re­dat­to delle nuove FAQ. Que­ste for­ni­sco­no una pa­no­ra­mi­ca dei prin­ci­pa­li aspet­ti nor­ma­ti­vi e ap­pli­ca­ti­vi del­l'IA.

Nota le­ga­le: que­sta rac­col­ta ha uno scopo pu­ra­men­te in­for­ma­ti­vo e di sen­si­bi­liz­za­zio­ne e non so­sti­tui­sce la con­su­len­za le­ga­le. eco­no­mie­suis­se non si as­su­me al­cu­na re­spon­sa­bi­li­tà per azio­ni od omis­sio­ni in re­la­zio­ne al­l'u­so di que­ste in­for­ma­zio­ni.

A com­ple­ta­men­to e con­ti­nua­zio­ne delle se­guen­ti FAQ,, tro­ve­rà ul­te­rio­ri stru­men­ti e in­for­ma­zio­ni gra­zie allo stru­men­to di au­to­va­lu­ta­zio­ne del­l'IA e nel blog di Kel­le­rhals Car­rard.

FAQ sul­l’in­tel­li­gen­za ar­ti­fi­cia­le (IA)

Il ter­mi­ne «IA» non è fa­ci­le da de­fi­ni­re, per que­sto mo­ti­vo non è an­co­ra stata sta­bi­li­ta una de­scri­zio­ne stan­dar­diz­za­ta. Il Par­la­men­to eu­ro­peo for­ni­sce una pos­si­bi­le de­fi­ni­zio­ne con la se­guen­te for­mu­la­zio­ne:  

«L'in­tel­li­gen­za ar­ti­fi­cia­le è la ca­pa­ci­tà di una mac­chi­na di imi­ta­re le abi­li­tà umane come il pen­sie­ro lo­gi­co, l'ap­pren­di­men­to, la pia­ni­fi­ca­zio­ne e la crea­ti­vi­tà».

A dif­fe­ren­za dei pro­ces­si con­ven­zio­nal­men­te au­to­ma­tiz­za­ti, i casi d'uso del­l'IA non sono sche­mi “se-al­lo­ra” pre-pro­gram­ma­ti, ma al­go­rit­mi di “ap­pren­di­men­to”. Di con­se­guen­za, la mag­gior parte delle de­fi­ni­zio­ni ri­chie­de anche un certo grado di au­to­no­mia e un modo per imi­ta­re le ca­pa­ci­tà umane.

Le ap­pli­ca­zio­ni sup­por­ta­te dal­l'in­tel­li­gen­za ar­ti­fi­cia­le of­fro­no nu­me­ro­se op­por­tu­ni­tà. In par­ti­co­la­re, pos­so­no au­men­ta­re si­gni­fi­ca­ti­va­men­te l'ef­fi­cien­za, la pro­dut­ti­vi­tà, la di­spo­ni­bi­li­tà e la qua­li­tà (ad esem­pio, nel con­te­sto del mar­ke­ting, del ser­vi­zio clien­ti o della con­for­mi­tà). A causa delle nu­me­ro­se e sem­pre nuove aree di ap­pli­ca­zio­ne, con l'ul­te­rio­re svi­lup­po tec­ni­co del­l'IA emer­go­no co­stan­te­men­te nuovi van­tag­gi.

Le sfide che sor­go­no in re­la­zio­ne al­l'IA non sono solo di na­tu­ra tec­ni­ca, ma toc­ca­no anche di­men­sio­ni eti­che, eco­no­mi­che e le­ga­li. In par­ti­co­la­re, si trat­ta dei ri­schi di pro­te­zio­ne dei dati, del ri­schio di di­scri­mi­na­zio­ne, del­l'u­so di ap­pli­ca­zio­ni ba­sa­te sul­l'IA per at­ti­vi­tà il­le­ga­li e della fre­quen­te man­can­za di tra­spa­ren­za. Que­ste sfide de­vo­no es­se­re sem­pre te­nu­te in con­si­de­ra­zio­ne quan­do si pia­ni­fi­ca l'uso della tec­no­lo­gia ba­sa­ta sul­l'IA.

La Sviz­ze­ra non di­spo­ne (an­co­ra) di una nor­ma­ti­va spe­ci­fi­ca per lo svi­lup­po, la di­stri­bu­zio­ne o l'u­ti­liz­zo di ap­pli­ca­zio­ni sup­por­ta­te dal­l'IA. Ma il Con­si­glio fe­de­ra­le ha in­ca­ri­ca­to il DATEC di pre­sen­ta­re un rap­por­to entro la fine del 2024, che do­vreb­be in­di­vi­dua­re pos­si­bi­li ap­proc­ci per la re­go­la­men­ta­zio­ne del­l'IA. È quin­di pre­ve­di­bi­le che la re­go­la­men­ta­zio­ne del­l'IA ar­ri­vi anche in Sviz­ze­ra. Resta da ve­de­re quale forma as­su­me­rà que­sta re­go­la­men­ta­zio­ne. Ini­zial­men­te è ipo­tiz­za­bi­le un ap­proc­cio “oriz­zon­ta­le” o in­ter­set­to­ria­le, come nel caso del­l'UE con il re­go­la­men­to sul­l'IA (“AI-Act”), en­tra­to in vi­go­re il 1° ago­sto 2024. Tut­ta­via, que­sto ap­proc­cio non tiene ade­gua­ta­men­te conto delle ca­rat­te­ri­sti­che spe­ci­fi­che del set­to­re e, se­con­do gli au­to­ri, do­vreb­be es­se­re re­spin­to. Si do­vreb­be in­ve­ce per­se­gui­re un ap­proc­cio orien­ta­to ai ri­sul­ta­ti, che di­sci­pli­ni solo i casi in cui ciò sia ap­pro­pria­to sulla base di una va­lu­ta­zio­ne pre­ven­ti­va del ri­schio.  

No. Le norme giu­ri­di­che sviz­ze­re sono in ge­ne­re con­ce­pi­te in modo tale da es­se­re ap­pli­ca­te in­di­pen­den­te­men­te dalla tec­no­lo­gia uti­liz­za­ta (la co­sid­det­ta “neu­tra­li­tà tec­no­lo­gi­ca”). Un'a­zien­da che offre ad esem­pio con­su­len­za sugli in­ve­sti­men­ti deve ri­spet­ta­re le leggi in ma­te­ria (ad esem­pio la legge sulla fi­nan­za) anche se ese­gue l'a­na­li­si fi­nan­zia­ria con il sup­por­to del­l'IA. Inol­tre, anche que­stio­ni tra­sver­sa­li come la legge sulla pro­te­zio­ne dei dati svol­go­no un ruolo im­por­tan­te nelle ap­pli­ca­zio­ni del­l'IA.

Inol­tre, le au­to­ri­tà sviz­ze­re (ad esem­pio la FINMA) pub­bli­ca­no re­go­lar­men­te con­si­gli pra­ti­ci e aiuti al­l'in­ter­pre­ta­zio­ne per au­men­ta­re la cer­tez­za del di­rit­to per le so­cie­tà.

Nei casi in cui è pre­vi­sto l'uso di IA ge­ne­ra­ti­va (ad esem­pio, ChatGPT), sor­go­no di­ver­se que­stio­ni re­la­ti­ve al co­py­right. Ad esem­pio, è im­por­tan­te che lo svi­lup­pa­to­re di tali ap­pli­ca­zio­ni sap­pia quali dati è au­to­riz­za­to a uti­liz­za­re come dati di ad­de­stra­men­to. Que­sta que­stio­ne è at­tual­men­te al­l'e­sa­me dei tri­bu­na­li di molti Paesi e resta da ve­de­re se e in che mi­su­ra si tro­ve­rà una so­lu­zio­ne stan­dar­diz­za­ta. Per l'o­pe­ra­to­re del­l'ap­pli­ca­zio­ne si pone il pro­ble­ma di quali dati può uti­liz­za­re come dati di input, cioè per il “prompt”. Se i dati di input sono opere pro­tet­te dal di­rit­to d'au­to­re (ad esem­pio testi o im­ma­gi­ni), è ge­ne­ral­men­te ne­ces­sa­ria una li­cen­za. Va inol­tre no­ta­to che l'out­put ge­ne­ra­to dal­l'IA può anche vio­la­re il co­py­right di terzi. Que­sto pro­ble­ma è par­ti­co­lar­men­te ri­le­van­te se l'out­put deve es­se­re reso di­spo­ni­bi­le a terzi. In­fi­ne, si pone la que­stio­ne se e a quali con­di­zio­ni l'out­put ge­ne­ra­to dal­l'IA goda della pro­te­zio­ne del co­py­right. La tu­te­la del di­rit­to d'au­to­re ri­chie­de una “crea­zio­ne in­tel­let­tua­le”, che ge­ne­ral­men­te manca nel caso delle opere ge­ne­ra­te dal­l'IA. Sono pos­si­bi­li ec­ce­zio­ni se l'out­put ri­flet­te la crea­zio­ne in­tel­let­tua­le del­l'o­pe­ra­to­re o sem­pli­ce­men­te si ag­giun­ge alla crea­zio­ne in­tel­let­tua­le di un es­se­re umano (ad esem­pio nel caso di tra­du­zio­ni). Altri pa­re­ri sono fa­vo­re­vo­li al­l'ap­pli­ca­zio­ne del di­rit­to d'au­to­re alle ap­pli­ca­zio­ni di IA a de­ter­mi­na­te con­di­zio­ni. Essi so­sten­go­no che la crea­zio­ne in­tel­let­tua­le è pre­sen­te anche nel­l'out­put ge­ne­ra­to dal­l'IA (ad esem­pio, at­tra­ver­so l'im­po­sta­zio­ne di pa­ra­me­tri). A causa delle in­cer­tez­ze sopra de­scrit­te, le que­stio­ni de­vo­no es­se­re va­lu­ta­te caso per caso, te­nen­do conto delle cir­co­stan­ze spe­ci­fi­che, e si de­vo­no os­ser­va­re gli ul­te­rio­ri svi­lup­pi.

Poi­ché i dati per­so­na­li ven­go­no re­go­lar­men­te ela­bo­ra­ti anche in re­la­zio­ne al­l'u­so di ap­pli­ca­zio­ni sup­por­ta­te dal­l'in­tel­li­gen­za ar­ti­fi­cia­le, è ne­ces­sa­rio pre­sta­re par­ti­co­la­re at­ten­zio­ne al ri­spet­to della legge sulla pro­te­zio­ne dei dati, anche per­ché la vio­la­zio­ne di al­cu­ne di­spo­si­zio­ni della legge sulla pro­te­zio­ne dei dati è (ora) sog­get­ta a san­zio­ni (ad esem­pio l'ob­bli­go di for­ni­re in­for­ma­zio­ni). 

Nei casi in cui le ap­pli­ca­zio­ni sup­por­ta­te dal­l'IA siano for­ni­te da un for­ni­to­re di ser­vi­zi (ad esem­pio, Soft­ware as a Ser­vi­ce [SaaS]), tale for­ni­to­re di ser­vi­zi ri­ce­va l'ac­ces­so ai dati per­so­na­li ed ela­bo­ri tali dati per conto del pro­prio clien­te, oc­cor­re inol­tre ga­ran­ti­re che ven­ga­no ef­fet­tua­ti i ne­ces­sa­ri chia­ri­men­ti in me­ri­to alla ga­ran­zia della si­cu­rez­za dei dati e che ven­ga­no presi i ne­ces­sa­ri ac­cor­di con­trat­tua­li con il for­ni­to­re di ser­vi­zi (ad esem­pio, la con­clu­sio­ne di un con­trat­to di ela­bo­ra­zio­ne degli or­di­ni).  

Se le ap­pli­ca­zio­ni sup­por­ta­te dal­l'in­tel­li­gen­za ar­ti­fi­cia­le ven­go­no uti­liz­za­te per pren­de­re de­ci­sio­ni (azien­da­li), oc­cor­re ve­ri­fi­ca­re in ogni caso se si trat­ta di una «de­ci­sio­ne in­di­vi­dua­le au­to­ma­tiz­za­ta» ai sensi della legge sulla pro­te­zio­ne dei dati. Que­sto è il caso se la de­ci­sio­ne si basa esclu­si­va­men­te sul trat­ta­men­to au­to­ma­tiz­za­to di dati per­so­na­li ed è di una certa com­ples­si­tà (ad esem­pio, la se­le­zio­ne di can­di­da­ti al la­vo­ro o le de­ci­sio­ni su un cre­di­to). L'e­si­sten­za di una tale de­ci­sio­ne può com­por­ta­re par­ti­co­la­ri ob­bli­ghi di in­for­ma­zio­ne.

In pra­ti­ca, spes­so de­vo­no es­se­re os­ser­va­te ul­te­rio­ri di­spo­si­zio­ni spe­ci­fi­che per il set­to­re, che de­vo­no es­se­re iden­ti­fi­ca­te prima di tutto in base alle cir­co­stan­ze in cui av­vie­ne l'ap­pli­ca­zio­ne del­l'IA.

L'uso di ap­pli­ca­zio­ni AI può por­ta­re ra­pi­da­men­te a con­se­guen­ze le­ga­li. Lo ha di­mo­stra­to anche il pro­ces­so tra il con­si­glie­re na­zio­na­le del­l’U­DC An­dreas Glar­ner e la con­si­glie­ra na­zio­na­le Sibel Ar­slan (Verdi). An­dreas Glar­ner ha pub­bli­ca­to un video mo­di­fi­ca­to dal­l'in­tel­li­gen­za ar­ti­fi­cia­le del con­si­glie­re na­zio­na­le che in­vi­ta­va, tra l'al­tro, a vo­ta­re per il con­si­glie­re na­zio­na­le del­l'U­DC. La con­si­glie­ra na­zio­na­le Sibel Ar­slan ha suc­ces­si­va­men­te in­tra­pre­so un'a­zio­ne le­ga­le ed ha ot­te­nu­to ra­gio­ne.  

Per evi­ta­re con­se­guen­ze ne­ga­ti­ve, prima di uti­liz­za­re un'ap­pli­ca­zio­ne di IA è sem­pre ne­ces­sa­rio ef­fet­tua­re un'a­na­li­si dei ri­schi. Tra le altre cose, oc­cor­re ve­ri­fi­ca­re se l'ap­pli­ca­zio­ne for­ni­sce ri­sul­ta­ti af­fi­da­bi­li e non di­scri­mi­na­to­ri, se il for­ni­to­re del­l'ap­pli­ca­zio­ne in que­stio­ne è in grado di ga­ran­ti­re la si­cu­rez­za dei dati e se i di­rit­ti di uti­liz­zo dei dati in en­tra­ta e in usci­ta sono re­go­la­men­ta­ti. Altri punti da re­go­la­re con il for­ni­to­re ri­guar­da­no in par­ti­co­la­re la ri­ser­va­tez­za dei se­gre­ti azien­da­li e le que­stio­ni di re­spon­sa­bi­li­tà.  

È con­si­glia­bi­le te­ne­re un re­gi­stro delle ap­pli­ca­zio­ni AI uti­liz­za­te in azien­da. Que­sto può in­clu­de­re, ad esem­pio, le re­spon­sa­bi­li­tà in­ter­ne e le mi­su­re (con­trat­tua­li) adot­ta­te (ad esem­pio in ma­te­ria di si­cu­rez­za dei dati). Se ne­ces­sa­rio, tale re­gi­stro può anche es­se­re in­te­gra­to in qual­sia­si re­gi­stro esi­sten­te sul trat­ta­men­to dei dati per­so­na­li (“re­gi­stro del trat­ta­men­to”).

In­fi­ne, oc­cor­re ve­ri­fi­ca­re se l'u­ti­liz­zo del­l'ap­pli­ca­zio­ne AI rien­tra nel­l'am­bi­to di ap­pli­ca­zio­ne della legge sul­l'AI. In caso di in­cer­tez­za sul ruolo della vo­stra im­pre­sa nel­l'am­bi­to del­l'AI Act, vi­si­ta­te lo stru­men­to di au­to­va­lu­ta­zio­ne del­l'IA. La vo­stra im­pre­sa po­treb­be es­se­re sog­get­ta a se­ve­ri re­qui­si­ti di con­for­mi­tà, so­prat­tut­to quan­do uti­liz­za “si­ste­mi di IA ad alto ri­schio”.  

a.    Qual è lo scopo e il con­te­nu­to nor­ma­ti­vo del­l'EU AI Act?

Con l'AI Act (in vi­go­re dal 1° ago­sto 2024), l'UE in­ten­de pro­muo­ve­re lo svi­lup­po e l'uso dei si­ste­mi di IA ri­du­cen­do al mi­ni­mo i ri­schi per la sa­lu­te, la si­cu­rez­za e i di­rit­ti fon­da­men­ta­li.

L’AI Act adot­ta un ap­proc­cio alla re­go­la­men­ta­zio­ne dei si­ste­mi di IA ba­sa­to sul ri­schio. Il li­vel­lo di ri­schio di ogni sin­go­lo caso e gli ob­bli­ghi da ri­spet­ta­re de­vo­no es­se­re chia­ri­ti nel det­ta­glio.  

L’AI Act di­stin­gue di prin­ci­pio le se­guen­ti ca­te­go­rie di ri­schio:  

  • Pra­ti­che di IA vie­ta­te (ad es. so­cial sco­ring): tali si­ste­mi di IA non de­vo­no es­se­re im­pie­ga­ti.
  • Si­ste­mi di IA ad alto ri­schio: tali si­ste­mi di IA sono sog­get­ti a re­qui­si­ti spe­ci­fi­ci come parte di un si­ste­ma di ge­stio­ne del ri­schio. Gli re­la­ti­vi ob­bli­ghi si ap­pli­ca­no prin­ci­pal­men­te ai for­ni­to­ri del si­ste­ma di IA. Ma al­cu­ni ob­bli­ghi si ap­pli­ca­no anche agli ope­ra­to­ri del si­ste­ma.
  • Si­ste­mi di IA con ri­schio li­mi­ta­to: in par­ti­co­la­re i si­ste­mi di IA che in­te­ra­gi­sco­no con gli in­te­res­sa­ti (ad esem­pio, i chat­bot) e i si­ste­mi di IA ge­ne­ra­ti­vi sono sog­get­ti ad al­cu­ni ob­bli­ghi di tra­spa­ren­za.
  • Si­ste­mi di IA con ri­schio mi­ni­mo: sono esclu­si dal­l'am­bi­to di ap­pli­ca­zio­ne della legge sul­l'IA.

L’AI Act è en­tra­to in vi­go­re il 1° ago­sto 2024, ma pre­ve­de di­ver­si pe­rio­di di tran­si­zio­ne per l'at­tua­zio­ne dei re­qui­si­ti: un breve pe­rio­do di tran­si­zio­ne di sei mesi si ap­pli­ca al re­go­la­men­to sulle pra­ti­che di IA vie­ta­te. I re­qui­si­ti per i si­ste­mi di IA ad alto ri­schio de­vo­no es­se­re im­ple­men­ta­ti entro 36 mesi. Agli altri re­qui­si­ti si ap­pli­ca un pe­rio­do di 24 mesi.

b.    A chi si ap­pli­ca in linea di prin­ci­pio l’AI Act?

L’AI Act ri­guar­da prin­ci­pal­men­te i for­ni­to­ri e gli ope­ra­to­ri di si­ste­mi di IA. I for­ni­to­ri sono per­so­ne o azien­de che svi­lup­pa­no si­ste­mi di IA e li im­met­to­no sul mer­ca­to del­l'UE; gli ope­ra­to­ri sono per­so­ne o azien­de che uti­liz­za­no tali si­ste­mi sotto la pro­pria re­spon­sa­bi­li­tà. Il set­to­re per­so­na­le e non pro­fes­sio­na­le, in­ve­ce, non è con­tem­pla­to.

c.    L’AI Act si ap­pli­ca anche a per­so­ne o im­pre­se in Sviz­ze­ra?

Come il GDPR, l'AI Act ha un campo di ap­pli­ca­zio­ne ex­tra­ter­ri­to­ria­le. Ciò si­gni­fi­ca che anche i for­ni­to­ri e gli ope­ra­to­ri di si­ste­mi di IA in Paesi terzi come la Sviz­ze­ra pos­so­no rien­tra­re nel campo di ap­pli­ca­zio­ne del re­go­la­men­to se il si­ste­ma di IA in que­stio­ne viene uti­liz­za­to al­l'in­ter­no del­l'UE o il ri­sul­ta­to (“out­put”) ge­ne­ra­to dal si­ste­ma di IA viene uti­liz­za­to al­l'in­ter­no del­l'UE.

Le im­pre­se sviz­ze­re do­vran­no ve­ri­fi­ca­re caso per caso se esi­ste un “col­le­ga­men­to” con l'a­rea del­l'UE per i si­ste­mi di IA che uti­liz­za­no. Vi­si­ti in me­ri­to lo stru­men­to di au­to­va­lu­ta­zio­ne del­l'IA.

Sono re­spon­sa­bi­le della cam­pa­gna pub­bli­ci­ta­ria di un nuovo pro­dot­to e vor­rei uti­liz­za­re un'ap­pli­ca­zio­ne di IA ge­ne­ra­ti­va per crea­re un po­ster con un'im­ma­gi­ne e uno slo­gan pub­bli­ci­ta­rio. Cosa devo te­ne­re pre­sen­te?

In primo luogo, oc­cor­re chia­ri­re in­ter­na­men­te se esi­sto­no linee guida spe­ci­fi­che per l'ac­qui­sto e/o l'u­ti­liz­zo di ap­pli­ca­zio­ni di IA. In caso con­tra­rio, il pro­get­to do­vreb­be es­se­re colto come un'op­por­tu­ni­tà per im­ple­men­ta­re un'a­de­gua­ta go­ver­nan­ce del­l'IA in azien­da, che in­clu­da in par­ti­co­la­re la de­fi­ni­zio­ne di re­spon­sa­bi­li­tà e pro­ces­si.

Nella scel­ta del for­ni­to­re di ser­vi­zi per l'ap­pli­ca­zio­ne di IA, è ne­ces­sa­rio te­ne­re in con­si­de­ra­zio­ne, tra gli altri, i se­guen­ti punti:

  • Il for­ni­to­re del ser­vi­zio con­ce­de alla no­stra azien­da i ne­ces­sa­ri di­rit­ti di pro­prie­tà in­tel­let­tua­le o il di­rit­to di uti­liz­za­re com­mer­cial­men­te l'out­put ge­ne­ra­to dal­l'ap­pli­ca­zio­ne AI (de­si­gn del car­tel­lo­ne, slo­gan, ecc.)?
  • Se i dati per­so­na­li (ad esem­pio dei no­stri clien­ti o col­la­bo­ra­to­ri) sono ri­chie­sti come dati di input quan­do si uti­liz­za l'ap­pli­ca­zio­ne AI: il for­ni­to­re di ser­vi­zi ga­ran­ti­sce la si­cu­rez­za dei dati (ri­ser­va­tez­za, in­te­gri­tà e di­spo­ni­bi­li­tà dei dati per­so­na­li in que­stio­ne) ed esi­ste un con­trat­to scrit­to di ela­bo­ra­zio­ne degli or­di­ni (il co­sid­det­to “ADV”) in con­for­mi­tà con la legge ap­pli­ca­bi­le sulla pro­te­zio­ne dei dati (LPD e, se ap­pli­ca­bi­le, GDPR)?
  • Se i no­stri dati azien­da­li (ad esem­pio, know-how) sono ri­chie­sti come dati di input: il for­ni­to­re di ser­vi­zi ga­ran­ti­sce la ri­ser­va­tez­za dei no­stri se­gre­ti azien­da­li?

Se l’AI Act si ap­pli­ca al­l'u­so del­l'ap­pli­ca­zio­ne AI (si veda la do­man­da 8 di cui sopra; ad esem­pio, per­ché la cam­pa­gna è con­dot­ta anche nel­l'UE e l'out­put è quin­di uti­liz­za­to nel­l'UE), si ap­pli­ca quan­to segue: se un car­tel­lo­ne coin­vol­ge un con­te­nu­to di im­ma­gi­ne che è un co­sid­det­to “dee­p­fa­ke” (cioè ma­te­ria­le di im­ma­gi­ne dal­l'a­spet­to in­gan­ne­vol­men­te reale), deve es­se­re reso noto che que­sto con­te­nu­to è stato crea­to o ma­ni­po­la­to ar­ti­fi­cial­men­te. Que­sta in­for­ma­zio­ne deve es­se­re por­ta­ta al­l'at­ten­zio­ne delle per­so­ne fi­si­che in­te­res­sa­te (cioè del pub­bli­co nel caso della cam­pa­gna pub­bli­ci­ta­ria) in modo chia­ro e ri­co­no­sci­bi­le al più tardi al mo­men­to della prima espo­si­zio­ne.

Per le im­pre­se in Sviz­ze­ra che non sono sog­get­te al­l’AI Act, l'at­tua­le le­gi­sla­zio­ne sviz­ze­ra non pre­ve­de l'ob­bli­go espli­ci­to di espor­re un av­vi­so cor­ri­spon­den­te. Per­tan­to, se la cam­pa­gna pub­bli­ci­ta­ria è ri­vol­ta esclu­si­va­men­te a per­so­ne in Sviz­ze­ra, l’AI Act non do­vreb­be es­se­re ap­pli­ca­ta. Ma l'I­FPDT ri­chie­de alle azien­de di ga­ran­ti­re che l'uso di si­ste­mi che con­sen­to­no di rea­liz­za­re dee­p­fa­kes sia sem­pre chia­ra­men­te ri­co­no­sci­bi­le dalle per­so­ne in­te­res­sa­te. Inol­tre, l'e­ti­chet­ta­tu­ra può es­se­re ri­chie­sta anche in base alla legge sul com­mer­cio equo e so­li­da­le.

Sono re­spon­sa­bi­le del­l'ac­qui­sto e del­l'in­tro­du­zio­ne di un si­ste­ma di in­tel­li­gen­za ar­ti­fi­cia­le in­ter­no che, nel­l'am­bi­to del no­stro pro­ces­so di re­clu­ta­men­to, ef­fet­tua una pre­se­le­zio­ne sup­por­ta­ta dal­l'in­tel­li­gen­za ar­ti­fi­cia­le delle can­di­da­tu­re pre­sen­ta­te da Ger­ma­nia, Lie­ch­ten­stein e Sviz­ze­ra, sug­ge­ri­sce pro­fi­li adat­ti e in­for­ma i can­di­da­ti sul­l'ul­te­rio­re pro­ces­so di re­clu­ta­men­to. Le altre can­di­da­tu­re ri­ce­ve­ran­no au­to­ma­ti­ca­men­te una de­ci­sio­ne ne­ga­ti­va. Ab­bia­mo degli ob­bli­ghi par­ti­co­la­ri?

Per de­ter­mi­na­re even­tua­li ob­bli­ghi in re­la­zio­ne al­l’AI Act po­ten­zial­men­te ap­pli­ca­bi­le, è ne­ces­sa­ria la se­guen­te va­lu­ta­zio­ne ini­zia­le: (1) il ruolo della vo­stra azien­da nel con­te­sto del­l'ap­pli­ca­zio­ne del­l'IA, (2) l'e­si­sten­za del le­ga­me al­l'UE ri­chie­sto e (3) la ca­te­go­ria di ri­schio del­l'ap­pli­ca­zio­ne del­l'IA. Dal mo­men­to che l’AI Act è una nor­ma­ti­va com­ples­sa, è con­si­glia­bi­le con­sul­ta­re esper­ti le­ga­li per va­lu­ta­re que­ste que­stio­ni.  

1.    In par­ti­co­la­re, chiun­que svi­lup­pi o fac­cia svi­lup­pa­re un si­ste­ma di IA e lo im­met­ta sul mer­ca­to o lo metta in fun­zio­ne con il pro­prio nome o mar­chio (nel­l'UE) è con­si­de­ra­to un for­ni­to­re e quin­di sog­get­to al­l’AI Act. Se l'ap­pli­ca­zio­ne di IA è svi­lup­pa­ta da una terza parte in base alle esi­gen­ze e alle istru­zio­ni spe­ci­fi­che della vo­stra azien­da, l'at­ti­vi­tà di svi­lup­po sarà pro­ba­bil­men­te at­tri­bui­ta alla vo­stra azien­da. D'al­tro canto, se la vo­stra azien­da “ac­qui­sta” un si­ste­ma di IA esi­sten­te o si li­mi­ta ad adat­tar­ne la pre­sen­ta­zio­ne al de­si­gn azien­da­le, si può so­ste­ne­re che ciò non co­sti­tui­sca un'at­ti­vi­tà di svi­lup­po. Seb­be­ne l’AI Act non pre­ve­de il ruolo di for­ni­to­re senza l'im­mis­sio­ne sul mer­ca­to o la messa in ser­vi­zio nel­l'UE, que­sta for­mu­la­zio­ne con­trad­di­ce la chia­ra in­ten­zio­ne del le­gi­sla­to­re eu­ro­peo di as­sog­get­ta­re alla legge sul­l'IA anche “for­ni­to­ri e ope­ra­to­ri” di Paesi terzi “se l'out­put pro­dot­to dal si­ste­ma di IA viene uti­liz­za­to nel­l'U­nio­ne”. A causa della dif­fe­ren­za tra la for­mu­la­zio­ne e l'in­ten­zio­ne del le­gi­sla­to­re, si do­vreb­be ri­te­ne­re in via pre­cau­zio­na­le che le azien­de che im­met­to­no un si­ste­ma di IA sul mer­ca­to o lo met­to­no in fun­zio­ne al di fuori del­l'UE con il pro­prio nome o mar­chio siano con­si­de­ra­te an­ch'es­se for­ni­to­ri, pur­ché l'out­put del si­ste­ma di IA sia uti­liz­za­to nel­l'UE.

2.    Nel caso in esame, il si­ste­ma di in­tel­li­gen­za ar­ti­fi­cia­le è de­sti­na­to a ve­ri­fi­ca­re le do­man­de ri­ce­vu­te in base alla sua fi­na­li­tà, a sug­ge­ri­re le do­man­de ido­nee e a in­for­ma­re i ri­chie­den­ti di una de­ci­sio­ne po­si­ti­va o ne­ga­ti­va senza ul­te­rio­re in­ter­ven­to umano. Si può ipo­tiz­za­re che la co­mu­ni­ca­zio­ne della de­ci­sio­ne sia an­da­ta a buon fine e che l'out­put del si­ste­ma di IA sia “uti­liz­za­to” nel­l'UE e che vi sia un le­ga­me suf­fi­cien­te con l'UE. L'uso del­l'out­put del si­ste­ma di IA nel­l'UE, come de­scrit­to sopra, sod­di­sfa i re­qui­si­ti per il ruolo di for­ni­to­re e gli ob­bli­ghi cor­ri­spon­den­ti de­vo­no es­se­re os­ser­va­ti.

3.    L'en­ti­tà degli ob­bli­ghi del­l'a­zien­da in qua­li­tà di for­ni­to­re di si­ste­mi di in­tel­li­gen­za ar­ti­fi­cia­le di­pen­de, in ul­ti­ma ana­li­si, dalla ca­te­go­ria di ri­schio in que­stio­ne. I for­ni­to­ri di si­ste­mi di IA ad alto ri­schio sono sog­get­ti agli ob­bli­ghi più com­ple­ti. L’AI Act elen­ca tra le ca­te­go­rie di si­ste­mi di IA ad alto ri­schio i si­ste­mi che de­vo­no es­se­re uti­liz­za­ti per il re­clu­ta­men­to o la se­le­zio­ne di per­so­ne fi­si­che e che va­glia­no e fil­tra­no le can­di­da­tu­re. Nel caso in que­stio­ne, è pro­prio que­sto il com­pi­to pre­vi­sto del si­ste­ma di IA. Di con­se­guen­za, il si­ste­ma di IA pre­vi­sto è un si­ste­ma di IA ad alto ri­schio, il che si­gni­fi­ca che la vo­stra azien­da deve ri­spet­ta­re re­qui­si­ti e ob­bli­ghi com­ple­ti (ad esem­pio, ge­stio­ne del ri­schio, go­ver­nan­ce dei dati, do­cu­men­ta­zio­ne tec­ni­ca, su­per­vi­sio­ne umana, cy­ber­se­cu­ri­ty, va­lu­ta­zio­ne della con­for­mi­tà). Anche se c'è an­co­ra tempo per ga­ran­ti­re la con­for­mi­tà gra­zie ai pe­rio­di di tran­si­zio­ne, è ne­ces­sa­rio pia­ni­fi­ca­re un tempo suf­fi­cien­te per l'at­tua­zio­ne delle mi­su­re cor­ri­spon­den­ti (de­fi­ni­zio­ne delle re­spon­sa­bi­li­tà e dei pro­ces­si).

Inol­tre, l'e­la­bo­ra­zio­ne dei dati ri­le­van­ti ai fini del GDPR av­vie­ne nel­l'am­bi­to del­l'ap­pli­ca­zio­ne AI. Il si­ste­ma di IA ana­liz­za le do­man­de pre­sen­ta­te - e quin­di i dati per­so­na­li - e de­ci­de, senza ul­te­rio­re in­ter­ven­to umano, se inol­tra­re la do­man­da al­l'u­ten­te o in­via­re una de­ci­sio­ne ne­ga­ti­va al ri­chie­den­te. Nel caso di trat­ta­men­ti di dati che com­por­ta­no de­ci­sio­ni in­di­vi­dua­li au­to­ma­tiz­za­te, po­treb­be es­se­re ne­ces­sa­rio os­ser­va­re re­qui­si­ti spe­cia­li (ad esem­pio, in­for­ma­zio­ni sul di­rit­to a un'“au­di­zio­ne umana” e sul di­rit­to di pre­sen­ta­re os­ser­va­zio­ni). Ul­te­rio­ri ob­bli­ghi ri­man­go­no ri­ser­va­ti.

Sono re­spon­sa­bi­le del­l'ac­qui­sto e del­l'in­tro­du­zio­ne di un chat­bot sul no­stro sito web. Il chat­bot for­ni­rà agli uten­ti sviz­ze­ri e stra­nie­ri in­for­ma­zio­ni sui no­stri pro­dot­ti e ser­vi­zi e ri­spon­de­rà a sem­pli­ci do­man­de su di essi. Cosa devo con­si­de­ra­re dal punto di vista nor­ma­ti­vo?
L'im­ple­men­ta­zio­ne del chat­bot sul sito web, che si ri­vol­ge (anche) a uten­ti di altri Paesi del­l'UE, por­te­rà in que­sto caso pro­ba­bil­men­te al­l'ap­pli­ca­zio­ne del­l’AI Act (si veda l’e­sem­pio di caso II per i re­qui­si­ti).  

Un chat­bot non è di per sé un si­ste­ma di in­tel­li­gen­za ar­ti­fi­cia­le ad alto ri­schio, mo­ti­vo per cui i re­la­ti­vi for­ni­to­ri e ope­ra­to­ri non sono sog­get­ti a re­qui­si­ti e ob­bli­ghi com­ple­ti. Ma de­vo­no sod­di­sfa­re al­cu­ni re­qui­si­ti, in par­ti­co­la­re per quan­to ri­guar­da la tra­spa­ren­za. L’AI Act sta­bi­li­sce che le per­so­ne de­vo­no es­se­re in­for­ma­te del fatto che stan­no in­te­ra­gen­do con un si­ste­ma di IA, a meno che ciò non sia ovvio a causa delle cir­co­stan­ze. Tut­ta­via, que­sto ob­bli­go si ap­pli­ca solo ai for­ni­to­ri, non al­l'o­pe­ra­to­re. Se la vo­stra azien­da svi­lup­pa o fa svi­lup­pa­re il chat­bot, do­ve­te for­ni­re in­for­ma­zio­ni ade­gua­te nel­l'am­bi­to del pro­ces­so di pro­get­ta­zio­ne e svi­lup­po. Se, in­ve­ce, ac­qui­sta­te il chat­bot come “so­lu­zio­ne stan­dard” da una terza parte, la vo­stra azien­da po­treb­be, a de­ter­mi­na­te con­di­zio­ni, qua­li­fi­car­si solo come ope­ra­to­re del si­ste­ma di IA e quin­di non es­se­re sog­get­ta al­l'ob­bli­go di tra­spa­ren­za.  

Non è (an­co­ra) de­fi­ni­ti­va­men­te chia­ro quan­do esi­sta esat­ta­men­te un'at­ti­vi­tà di svi­lup­po e quin­di lo sta­tus di pro­vi­der ai sensi del­l'AI Act. Tut­ta­via, la que­stio­ne della mi­su­ra in cui il “chat­bot stan­dard” di un pro­vi­der può es­se­re per­so­na­liz­za­to in base alle esi­gen­ze in­di­vi­dua­li di un'a­zien­da senza che l'a­zien­da stes­sa di­ven­ti un pro­vi­der a se­gui­to di tali per­so­na­liz­za­zio­ni è pro­ba­bil­men­te di no­te­vo­le im­por­tan­za pra­ti­ca. Esi­sto­no nu­me­ro­si modi per adat­ta­re un si­ste­ma di IA alle esi­gen­ze in­di­vi­dua­li di un'a­zien­da (ad esem­pio spe­ci­fi­can­do “prompt”, ad­de­stran­do­si su dati spe­cia­liz­za­ti [il co­sid­det­to “fine-tu­ning”] o uti­liz­zan­do mo­del­li ba­sa­ti su query [la co­sid­det­ta “re­trie­val aug­men­ted ge­ne­ra­tion”]). Il fat­to­re de­ci­si­vo è pro­ba­bil­men­te il fatto che il si­ste­ma di IA in quan­to tale venga (ul­te­rior­men­te) svi­lup­pa­to come ri­sul­ta­to degli ag­giu­sta­men­ti. Que­sto po­treb­be es­se­re il caso del fine-tu­ning, per­ché in que­sto caso si in­ter­fe­ri­sce con il mo­del­lo su cui si basa il si­ste­ma. Per il RAG, in­ve­ce, si po­treb­be fare un ra­gio­na­men­to di­ver­so, per­ché non è il si­ste­ma di IA in sé a es­se­re per­so­na­liz­za­to, ma solo i dati a cui si può ac­ce­de­re come parte del­l'ap­pli­ca­zio­ne di IA.

Prima del­l'ac­qui­sto e del­l'in­tro­du­zio­ne del chat­bot, è ne­ces­sa­rio chia­ri­re la que­stio­ne dello sta­tus di for­ni­to­re e del­l'a­dem­pi­men­to degli ob­bli­ghi cor­ri­spon­den­ti, se ne­ces­sa­rio in­sie­me al for­ni­to­re. Il chat­bot non do­vreb­be es­se­re adat­ta­to dopo la sua im­ple­men­ta­zio­ne senza una pre­ven­ti­va con­sul­ta­zio­ne con il ser­vi­zio le­ga­le, poi­ché tali adat­ta­men­ti pos­so­no por­ta­re a un cam­bia­men­to del ruolo del­l'a­zien­da (da ope­ra­to­re a for­ni­to­re) e quin­di a ob­bli­ghi ag­giun­ti­vi. Per fare chia­rez­za sulle ap­pli­ca­zio­ni di IA uti­liz­za­te in azien­da e sul ri­spet­ti­vo ruolo del­l'a­zien­da, è con­si­glia­bi­le te­ne­re un elen­co. Oltre al caso d'uso e al ruolo o agli ob­bli­ghi pre­vi­sti dalla legge sul­l'IA, que­sto può con­te­ne­re anche in­for­ma­zio­ni sul ri­spet­ti­vo pro­prie­ta­rio del si­ste­ma, sui con­trat­ti con terzi, sul trat­ta­men­to dei dati e sulla va­lu­ta­zio­ne dei ri­schi.

In­fi­ne, è utile ema­na­re di­ret­ti­ve e/o istru­zio­ni d'uso sul­l'u­so dei si­ste­mi di IA o dei chat­bot per ga­ran­ti­re la con­for­mi­tà e sen­si­bi­liz­za­re i col­la­bo­ra­to­ri.