Il quadro legale dell'intelligenza artificiale in Europa si trova in una fase cruciale, con importanti interrogativi ancora da risolvere. La Commissione Europea ha proposto di estendere i termini affinché le aziende si adattino agli obblighi relativi ai sistemi ad alto rischio, concedendo così un margine di manovra maggiore. Inizialmente, agosto 2026 era la data prevista per l'entrata in vigore delle norme che regolano gli usi dell'IA con potenziale di causare danni gravi alla salute, alla sicurezza o ai diritti fondamentali, come la biometria, la valutazione del credito o la correzione degli esami. Tuttavia, all'interno del pacchetto Digital Omnibus, Bruxelles ha proposto a novembre di rinviare l'applicazione fino a dicembre 2027, consentendo un massimo di sedici mesi di proroga, a condizione che siano garantiti strumenti di supporto per le aziende. Questa proposta deve ancora essere approvata dal Parlamento e dal Consiglio Europeo. Sebbene la data possa sembrare lontana, l'implementazione di una governance robusta rappresenta una sfida considerevole. Le organizzazioni che si preparano in anticipo eviteranno fretta e possibili inadempienze, ma molte hanno ancora dubbi su aspetti chiave del regolamento, il che complica la loro adattamento. Per facilitare questo processo, l'Agenzia Spagnola di Supervisione dell'Intelligenza Artificiale (AESIA) ha pubblicato 16 guide pratiche, frutto del Sandbox di IA, con l'obiettivo di aiutare le aziende a sviluppare sistemi innovativi e responsabili e a soddisfare i requisiti per strumenti ad alto rischio. Guillermo Hidalgo, consulente e responsabile di diritto informatico presso MAIO Legal, sottolinea che la Commissione cerca di introdurre flessibilità nell'applicazione degli obblighi, collegando la sua entrata in vigore alla disponibilità di standard armonizzati e strumenti di supporto. Così, l'applicazione non sarebbe automatica nell'agosto 2026, ma dopo una decisione della Commissione, con un limite di sedici mesi di proroga. Tuttavia, questa misura non è ancora definitiva. Il mercato mostra una certa confusione di fronte al nuovo regolamento, che introduce un quadro di conformità basato su livelli di rischio, nuovi ruoli (fornitore, importatore, distributore, responsabile del dispiegamento) e richiede evidenze tecniche come gestione dei rischi, governance dei dati e tracciabilità, aspetti che molte aziende non hanno interiorizzati. In Spagna, l'incertezza è aggravata dalla difficoltà di classificare i casi d'uso e determinare se siano considerati ad alto rischio, così come dalla dipendenza da fornitori esterni. Molte aziende utilizzano IA integrata in software di terzi e si chiedono se, acquisendola, assumano responsabilità legali. Inoltre, la mancanza di standard e guide definitive genera quella che Hidalgo definisce "incertezza operativa". In questo contesto, le guide di AESIA risultano particolarmente preziose poiché offrono un approccio pratico e allineato con il Sandbox. Nel caso delle PMI, è comune che utilizzino IA di terzi, il che implica che sia il fornitore che l'utente assumano responsabilità. Lo sviluppatore si fa carico della maggior parte degli obblighi, ma l'azienda utente deve anche rispettare requisiti di utilizzo, supervisione, gestione delle incidenti e trasparenza. Un aspetto critico è che un'azienda può diventare fornitore se modifica sostanzialmente lo strumento, lo ri-etichetta o cambia la sua finalità, specialmente se lo colloca in un contesto di alto rischio. Pertanto, si raccomanda una gestione dei fornitori basata sulla compliance, richiedendo garanzie, audit e mantenendo un inventario di casi d'uso e valutazioni di rischio. César Alonso, direttore di consulenza in GlobalSuite Solutions, sottolinea che se una PMI modifica l'IA o cambia la sua finalità, assume le responsabilità di un fornitore, comprese quelle legali e tecniche. Inoltre, segnala la fatica normativa che le aziende subiscono nel tentativo di adattare il Regolamento IA ad altre normative come il RGPD, NIS2 o DORA, il che rende la sfida una di governance integrata. Víctor Morán, socio di Letslaw, osserva che il regolamento obbliga le aziende a autodiagnosticarsi in due dimensioni: il loro ruolo nella catena del valore e la classificazione di ciascun caso d'uso secondo il rischio. Le principali preoccupazioni riguardano la classificazione ad alto rischio, il carico di governance e documentazione, e l'impatto sugli strumenti di IA generativa e di uso generale. Morán avverte che il regolamento può rappresentare una barriera all'ingresso, specialmente per le PMI, poiché la conformità richiede di inventariare usi, classificare rischi, documentare processi e richiedere garanzie ai fornitori, compiti che le grandi aziende possono affrontare con maggiore facilità. Tuttavia, considera che le guide di AESIA aiutano a rendere la conformità più accessibile e pratica. Hidalgo ricorda che il regolamento è basato sul rischio, quindi non è la stessa cosa utilizzare un chatbot informativo che applicare l'IA in processi critici come la selezione del personale o il punteggio creditizio. La maggiore sfida per le PMI si presenta quando sviluppano o integrano IA ad alto rischio senza un supporto sufficiente, poiché la conformità richiede capacità tecniche e documentali avanzate. Pertanto, raccomanda un approccio incrementale, affrontando prima gli aspetti essenziali e avanzando verso quelli più complessi. Alonso riconosce che la legge implica uno sforzo considerevole, specialmente per le organizzazioni con meno risorse, a causa della necessità di documentazione tecnica, registrazione degli eventi e supervisione umana. Tuttavia, sottolinea che il regolamento prevede misure di supporto per le PMI, come la partecipazione a Sandboxes regolatori, e considera che più che una barriera, è un filtro di qualità che può apportare vantaggi competitivi in termini di fiducia e sicurezza. La principale preoccupazione attuale è la corretta classificazione dei casi d'uso, insieme alla complessità della governance dei dati, della tracciabilità e della trasparenza. Molte aziende temono di non poter giustificare di fronte al regolatore le decisioni prese dai loro sistemi di IA, specialmente di fronte a un calendario di applicazione che avanza senza sosta. Sebbene la norma sia entrata in vigore nel 2024, il prossimo agosto inizieranno ad applicarsi gli obblighi per i sistemi ad alto rischio, inclusa l'IA nella biometria, nelle infrastrutture critiche, nell'istruzione, nell'occupazione e nei servizi pubblici essenziali. Dopo 36 mesi, si aggiungeranno gli obblighi settoriali di sicurezza del prodotto. Le aziende devono prepararsi già, poiché l'adattamento tecnico e documentale richiede tempo e non può essere lasciato all'ultimo momento. Il conto alla rovescia è iniziato. (Fonte: abc.es)