AI Literacy e Digital Omnibus: come viene aggiornato l’articolo 4 dell’AI Act

Notizie

Negli ultimi mesi molte aziende hanno iniziato a confrontarsi con uno dei temi più discussi dell’AI Act: l’AI Literacy, ovvero l’obbligo di promuovere una conoscenza adeguata dell’intelligenza artificiale tra le persone che utilizzano questi strumenti nell’ambito delle attività lavorative.

L’approvazione del Digital Omnibus ha però introdotto una novità importante che merita attenzione.

Molti operatori hanno interpretato la riforma come una riduzione degli obblighi previsti dall’articolo 4 dell’AI Act. In realtà la situazione è più articolata.

AI Literacy: dall’obbligo di risultato all’obbligo organizzativo

Perché la modifica interessa anche le PMI

L’errore più pericoloso

Cosa dovrebbero fare concretamente le aziende

AI Literacy e Data Processor

Evidenze e documentazione

Meno formalismo, più responsabilità

La domanda corretta non è:

“L’AI Literacy è ancora obbligatoria?”

La domanda da porsi oggi è:

“Cosa deve fare concretamente un’organizzazione per dimostrare di aver affrontato il tema in modo adeguato?”

Ed è proprio qui che il nuovo articolo 4 cambia prospettiva.

AI Literacy: dall’obbligo di risultato all’obbligo organizzativo

Nella formulazione originaria dell’AI Act, fornitori e utilizzatori di sistemi di intelligenza artificiale erano chiamati a garantire un livello sufficiente di alfabetizzazione in materia di IA alle persone coinvolte nell’utilizzo di tali sistemi.

La revisione introdotta dal Digital Omnibus modifica questo approccio.

L’obiettivo non è più dimostrare che ogni singolo lavoratore abbia raggiunto uno specifico livello di competenza.

L’attenzione si sposta invece sulle misure adottate dall’organizzazione per favorire lo sviluppo della conoscenza e della consapevolezza sull’uso dell’intelligenza artificiale.

Può sembrare una differenza minima.

In realtà si tratta di un cambiamento molto rilevante.

L’impresa non viene più valutata soltanto sulla base della preparazione del singolo individuo, ma sulla capacità di costruire un sistema ragionevole di informazione, formazione e sensibilizzazione.

Perché la modifica interessa anche le PMI

Molte piccole e medie imprese hanno accolto con favore questa revisione.

Non perché il tema diventi meno importante.

Semplicemente perché il legislatore europeo ha riconosciuto che non tutte le organizzazioni dispongono delle stesse risorse, delle stesse competenze e degli stessi livelli di esposizione al rischio.

Una banca, una multinazionale farmaceutica e una struttura alberghiera non utilizzano l’intelligenza artificiale nello stesso modo.

Allo stesso modo, una PMI che impiega strumenti generativi per supportare attività amministrative o commerciali non può essere trattata come un’organizzazione che sviluppa modelli proprietari o utilizza sistemi ad alto rischio.

La nuova formulazione dell’articolo 4 introduce quindi un principio fondamentale: proporzionalità.

L’errore più pericoloso

Molte aziende stanno commettendo uno dei due errori opposti.

Il primo consiste nel considerare l’AI Literacy come un semplice corso annuale da far seguire a tutto il personale.

Il secondo consiste nel ritenere che la revisione introdotta dal Digital Omnibus renda inutile qualsiasi iniziativa.

Entrambe le interpretazioni sono sbagliate.

L’intelligenza artificiale è ormai presente in numerosi processi aziendali:

marketing;
customer care;
gestione documentale;
risorse umane;
amministrazione;
cybersecurity;
produttività individuale;
generazione di contenuti.

Quando questi strumenti vengono utilizzati senza adeguata consapevolezza, i rischi possono riguardare dati personali, informazioni riservate, proprietà intellettuale, discriminazioni, errori decisionali e responsabilità organizzative.

Cosa dovrebbero fare concretamente le aziende

La nuova impostazione dell’articolo 4 suggerisce un approccio molto pragmatico.

Prima di parlare di formazione è opportuno capire:

quali sistemi di IA vengono utilizzati;
da chi vengono utilizzati;
per quali finalità;
quali dati vengono trattati;
quali rischi possono generarsi.

Solo successivamente è possibile costruire un percorso coerente.

Tra le attività che un’organizzazione dovrebbe valutare troviamo:

mappatura degli strumenti di IA utilizzati;
definizione di regole interne per l’utilizzo dell’IA;
individuazione dei ruoli maggiormente esposti;
attività informative periodiche;
aggiornamento delle procedure interne;
integrazione con GDPR, cybersecurity e compliance aziendale.

L’obiettivo non è creare specialisti dell’intelligenza artificiale in ogni reparto.

L’obiettivo è evitare che strumenti sempre più potenti vengano utilizzati senza consapevolezza delle conseguenze.

AI Literacy e Data Processor

Un aspetto spesso trascurato riguarda i Responsabili del trattamento.

Molti Data Processor utilizzano oggi sistemi di intelligenza artificiale per:

assistenza clienti;
elaborazione documentale;
classificazione delle informazioni;
supporto amministrativo;
attività operative.

In questi casi il tema dell’AI Literacy si intreccia inevitabilmente con il GDPR.

Un cliente potrebbe infatti chiedere non soltanto quali misure tecniche siano state adottate, ma anche quali iniziative siano state messe in campo per garantire un utilizzo corretto e consapevole degli strumenti di IA da parte del personale.

Evidenze e documentazione

La vera novità introdotta dal Digital Omnibus è che l’attenzione si sposta dalla singola persona all’organizzazione.

Per questo motivo assume particolare importanza la capacità di conservare evidenze documentali.

Tra gli elementi che possono risultare utili troviamo:

policy aziendali;
istruzioni operative;
registri delle attività formative;
materiali informativi;
newsletter tematiche;
audit interni;
riesami periodici.

Non si tratta necessariamente di documentazione complessa.

Conta soprattutto la capacità di dimostrare che il tema è stato affrontato in modo concreto e proporzionato rispetto ai rischi presenti nell’organizzazione.

Meno formalismo, più responsabilità

La revisione dell’articolo 4 dell’AI Act non elimina l’AI Literacy.

La rende più realistica.

Il legislatore europeo sembra aver compreso che non è possibile misurare la competenza di ogni singolo individuo attraverso un approccio uniforme.

Diventa invece essenziale verificare se l’organizzazione abbia costruito un percorso credibile di accompagnamento all’utilizzo dell’intelligenza artificiale.

Per le PMI questo rappresenta probabilmente la vera opportunità introdotta dal Digital Omnibus.

Non viene richiesto di trasformare ogni lavoratore in un esperto di IA.

Viene richiesto di dimostrare che l’azienda non ha ignorato il problema e che ha adottato misure ragionevoli per consentire alle persone di utilizzare questi strumenti in modo consapevole, sicuro e responsabile.

Approfondimento: AI Literacy: perché è diventata una competenza chiave per le aziende, dipendenti e professionisti

ai act ai literacy art.4 AI ACT data processor digital omnibus

AI Literacy e Digital Omnibus: come viene aggiornato l’articolo 4 dell’AI Act

AI Literacy: dall’obbligo di risultato all’obbligo organizzativo

Perché la modifica interessa anche le PMI

L’errore più pericoloso

Cosa dovrebbero fare concretamente le aziende

AI Literacy e Data Processor

Evidenze e documentazione

Meno formalismo, più responsabilità

Altri Articoli

Chi governa davvero l’AI in azienda? Il contributo della UNI 11621-8

Trasparenza retributiva e organizzazione aziendale: indicazioni per datori di lavoro

Data Breach – La sanzione ad Ambrosetti parla a tutta la filiera

Padova IT – 35129

Via della Navigazione Interna, 51 padova(AT)kairo.srl REA PD-464257

Attestazione Professionale ASSODPO
Data Protection Officer no.DPO100574

Milano IT – 20024

S.Maria Rossa di Garbagnate milano(AT)kairo.srl REA MI-2629185