Il processo di adattamento della nuova normativa europea sull'intelligenza artificiale è ancora in corso. Gli Stati membri dell'UE devono incorporare il Regolamento UE 2024/1689 nelle loro legislazioni nazionali, e in Spagna questo si concretizzerà attraverso la Legge per il Buon Uso e la Governance dell'Intelligenza Artificiale, prevista per agosto. Knowmad Mood sottolinea che la Legge sull'IA dell'UE introduce un quadro normativo pionieristico, che obbliga le aziende, in particolare quelle che sviluppano o utilizzano sistemi di IA ad alto rischio, a garantire la qualità dei dati, la trasparenza dei modelli, la supervisione umana, la cybersicurezza e la formazione dei team. In questo contesto, Knowmad Mood identifica sette requisiti chiave che le aziende spagnole dovranno attestare nel 2026. Tra questi, la tracciabilità dei dati utilizzati nell'addestramento, validazione e funzionamento dei sistemi di IA, assicurando la loro origine, qualità e utilizzo lungo tutto il ciclo di vita. Ciò implica meccanismi per garantire che i dati siano rappresentativi, aggiornati e privi di pregiudizi, nonché la capacità di ricostruire qualsiasi decisione automatizzata. La legge richiede che i modelli di IA siano comprensibili e auditabili, non semplici "scatole nere". Le organizzazioni dovranno disporre di documentazione tecnica e funzionale che spieghi il design dei modelli, le variabili che influenzano i loro risultati e le ipotesi su cui operano, facilitando il lavoro sia dei regolatori che dei team interni. Cosmomedia sottolinea l'importanza che le PMI registrino tutti gli strumenti di IA che utilizzano, dagli assistenti di scrittura fino al software di analisi dei dati, identificando il loro scopo e livello di rischio. Questo inventario è essenziale per la trasparenza richiesta dalla legge. Poiché molte aziende si avvalgono di fornitori esterni di IA, è imprescindibile richiedere tutta la documentazione tecnica e le istruzioni d'uso per certificare la conformità normativa. La legge obbliga i fornitori a fornire informazioni sufficienti per un uso sicuro. Il mancato rispetto di queste obbligazioni può comportare sanzioni fino a 35 milioni di euro o il 7% del fatturato globale in casi gravi, come la mancanza di documentazione o trasparenza. Tuttavia, per le PMI e le startup, la legge prevede sanzioni proporzionali per non mettere a rischio la loro sostenibilità. Uno dei pilastri della normativa è la supervisione umana efficace. Non basta che una persona sia presente: devono esistere ruoli definiti e procedure chiare per intervenire, correggere o annullare decisioni automatizzate in caso di errori o rischi. Nei sistemi ad alto rischio, come la selezione del personale, l'analisi creditizia o le infrastrutture critiche, la supervisione umana è obbligatoria e non è consentita l'automazione totale. Le aziende dovranno anche identificare e valutare continuamente i rischi tecnici, etici, legali e reputazionali associati ai loro sistemi di IA, implementando quadri di valutazione che contemplino possibili pregiudizi, impatti sui diritti fondamentali e conseguenze indesiderate. La cybersicurezza è un altro aspetto fondamentale. Knowmad Mood avverte che la protezione contro attacchi, manipolazione dei dati o fughe di informazioni deve essere integrata fin dalla progettazione e durante tutta l'operazione dei sistemi intelligenti. Secondo Perforce, il 60% delle organizzazioni ha subito violazioni dei dati in ambienti di addestramento di IA, il che sottolinea la necessità di rafforzare la sicurezza prima del dispiegamento in produzione. La conformità alla Legge sull'IA non termina con l'implementazione della tecnologia. Le aziende dovranno monitorare continuamente le prestazioni e il comportamento dei loro modelli, rilevando deviazioni o usi impropri e agendo preventivamente di fronte a possibili rischi. Infine, la normativa pone particolare enfasi sulla formazione dei team. Le aziende dovranno attestare che i loro professionisti dispongono della formazione adeguata e di programmi di aggiornamento per garantire competenze allineate con l'evoluzione tecnologica e normativa. Non basta installare un software: è imprescindibile formare il personale sul suo funzionamento e sui possibili pregiudizi, minimizzando così i rischi associati.