Novità sulla legge dell'UE sull'IA: aggiornamenti, cosa resta valido e cosa è essenziale per i dirigenti

Le ultime novità sulla legge dell'UE sull'IA 

Se hai seguito gli sviluppi della legge sull'IA dell'UE, avrai notato un flusso costante di aggiornamenti, commenti e ipotesi negli ultimi mesi. Gran parte dell'attenzione si è concentrata su come l'Unione europea intenda applicare e far rispettare concretamente tale legge.

Uno dei fattori chiave delle recenti discussioni è stato il più ampio impegno della Commissione europea volto a semplificare e armonizzare le normative digitali dell'UE. Questo approccio è spesso denominato Digital Omnibus .

Queste proposte mirano a ridurre inutili complessità, migliorare la coerenza tra gli Stati membri e garantire che l'applicazione delle norme sia più in linea con la disponibilità di standard, orientamenti e capacità di vigilanza. Il risultato è una crescente enfasi sulla governance operativa , ovvero il modo in cui le organizzazioni gestiscono quotidianamente i rischi, la responsabilità e le evidenze relative all'IA, piuttosto che sulla sola conformità teorica.

In pratica, ciò significa che alcuni aspetti dell'attuazione della legge sull'IA potrebbero essere modificati o chiariti nel corso del tempo. Alcuni obblighi saranno legati più strettamente alla preparazione dell'ecosistema di conformità in senso lato che a date fisse. 

Ciò sposta la sfida per le organizzazioni dal monitoraggio dei singoli aggiornamenti al mantenimento di una preparazione costante man mano che le aspettative evolvono.

OneTrust supporta questa realtà operativa fornendo un unico sistema per la gestione dei requisiti di governance, privacy, rischio e sicurezza dell'IA. Ciò consente alle organizzazioni di adattarsi alle mutevoli linee guida senza dover ricostruire i flussi di lavoro o fornire evidenze ogni volta che cambiano le aspettative di applicazione.

È importante distinguere tra ciò che le proposte indicano chiaramente e ciò che è ancora in fase di sviluppo:

• ambiti in cui la direzione è già definita, come l'adozione di un approccio graduale e un maggiore allineamento agli standard e alle linee guida di supporto;
• ambiti che sono ancora in fase di definizione, tra cui le linee guida dettagliate, le pratiche di applicazione e le aspettative di vigilanza a livello degli Stati membri.

Queste proposte non riaprono la discussione sulla legge sull'intelligenza artificiale in sé, ma riflettono piuttosto lo sforzo di facilitarne l'applicazione in un panorama tecnologico complesso e in rapida evoluzione. 

Proposte  

Le recenti proposte in merito alla legge dell'UE sull'IA si sono concentrate principalmente sulle tempistiche, sui meccanismi e sulle linee guida piuttosto che su modifiche sostanziali alla legge.

Modifiche alle tempistiche e alle modalità di implementazione 

Le discussioni relative al Digital Omnibus hanno incluso proposte volte ad adeguare l'applicazione di determinati obblighi previsti dalla legge sull'IA, in particolare per casi d'uso più complessi o ad alto rischio. In alcuni casi, l'applicazione può dipendere dalla disponibilità di norme armonizzate, specifiche tecniche o orientamenti ufficiali.

Se da un lato ciò garantisce flessibilità alle imprese, dall'altro introduce anche incertezza.  

Quando gli obblighi sono legati a tappe di preparazione piuttosto che a date fisse, le organizzazioni che ritardano l'attuazione potrebbero trovarsi con meno tempo del previsto una volta che i requisiti entreranno in vigore.

Indicazioni sull'IA ad alto rischio e sulla supervisione 

I sistemi di IA ad alto rischio rimangono un punto focale. Gli aggiornamenti e i commenti recenti hanno sottolineato la necessità di linee guida più chiare su documentazione, gestione del rischio, supervisione umana e monitoraggio successivo all'immissione sul mercato. Questi chiarimenti mirano ad aiutare le organizzazioni ad applicare i requisiti in modo coerente, non ad abbassare il livello di conformità.

Perché sono state apportate queste modifiche 

Questi cambiamenti riflettono delle realtà pratiche:

• gli enti di normazione e le autorità di vigilanza hanno bisogno di tempo per finalizzare le linee guida; 
  
• le organizzazioni hanno bisogno di chiarezza per implementare correttamente i controlli;
• le autorità di regolamentazione vogliono che l'applicazione delle norme sia credibile e coerente in tutta l'UE. 

In breve, si tratta di chiarire le modalità della compliance, non di ridurne i requisiti.

Cosa resta valido 

Anche se scadenze e indicazioni possono variare, i principi chiave della legge sull'IA restano invariati: ed è proprio qui che molte aziende fraintendono la situazione.

L'approccio basato sul rischio rimane invariato 

La legge sull'IA si basa ancora su un quadro di valutazione del rischio. Gli obblighi imposti variano a seconda di come e dove viene utilizzata l'IA, in particolare quando i sistemi incidono sui diritti, sulla sicurezza o sull'accesso alle persone a servizi essenziali.

Le organizzazioni sono ancora tenute a comprendere: 

• quali sistemi di IA utilizzano e forniscono;
  
• come tali sistemi vengono distribuiti; 
• il livello di rischio che tali sistemi rappresentano.

La responsabilità continua a essere delle organizzazioni 

I fornitori e i distributori rimangono responsabili della conformità. Saranno le organizzazioni, e non le autorità di regolamentazione, i fornitori o le future linee guida, a continuare ad essere ritenute responsabili. Le aziende dovranno dimostrare che i loro sistemi di governance sono in atto e funzionano in modo efficace.

Una governance comprovabile rimane un obbligo

Le sole policy non bastano. Le organizzazioni devono dimostrare di disporre di quanto segue:

• valutazioni dei rischi e degli impatti;
  
• decisioni e approvazioni documentate;
• monitoraggio e supervisione continui; 
• chiare responsabilità e percorsi di escalation.

La portata transfrontaliera e settoriale rimane significativa

La legge sull'IA continua a interessare vari settori e Paesi: organizzazioni multinazionali, filiali UE e aziende globali che servono utenti nell'UE.

È qui che una piattaforma come OneTrust diventa fondamentale. Crea uno spazio in cui le aspettative di governance rimangono forti, ma i dettagli dell'implementazione si evolvono.

È ideale poiché le organizzazioni hanno bisogno di un modo unico e connesso per gestire evidenze, flussi di lavoro e supervisione, non strumenti scollegati e processi ad hoc. 

Perché è importante per i leader aziendali

Non è solo una questione legale, ma riguarda il modello operativo che determina come un'azienda pianifica, sviluppa e scala l'IA.

Un sistema di IA raramente è confinato a una sola funzione. Viene ideato, addestrato, distribuito e supervisionato da team diversi, spesso situati in regioni differenti e con linee di reporting non omogenee. In pratica, l'IA interagisce con molteplici parti dell'azienda:

• i team che si occupano del prodotto e dell'ingegneria sviluppano le funzionalità che possono lavorare con l'IA;
• i team addetti alla gestione dei dati addestrano, testano ed effettuano la manutenzione dei modelli;
• i team di sicurezza gestiscono gli accessi, il monitoraggio e la risposta agli incidenti;
• i team che si occupano di privacy e rischio valutano impatto, obblighi e conformità;
• i team che lavorano con l'approvvigionamento gestiscono i fornitori e gli strumenti di IA di terze parti.

Per i dirigenti, questa è una sfida che le sole modifiche normative non sono in grado di superare.

Quando la gestione è frammentata, la responsabilità si perde. Le decisioni vengono prese in modo isolato, i dati sono distribuiti su piattaforme diverse e non esiste una visione complessiva del rischio IA. 

La frammentazione amplifica il rischio quando i dirigenti rimandano le decisioni in attesa di una ''definizione completa'':

• il lavoro di governance si trasforma in una risposta reattiva, anziché in un'azione programmata;
  
• i team aziendali cercano di allinearsi in fretta, spinti dalla pressione delle scadenze;
• la documentazione e gli audit trail vengono ricostruiti in un secondo momento, anziché essere predisposti in anticipo;
• i team locali sono i primi a risentirne, spesso senza risorse o direttive per garantire una risposta coerente.

Le ultime novità relative alla legge sull'IA dell'UE evidenziano una realtà chiara: l'incertezza normativa non colpisce tutti allo stesso modo. Le organizzazioni con governance frammentata faticano, mentre quelle con supervisione coordinata e responsabilità definite si adattano con più agilità ai cambiamenti.

Per i dirigenti, il vero interrogativo non è se la governance dell'IA sarà applicata, ma se sono pronti a gestirla su larga scala.

Occorre passare da una gestione disconnessa a un modello di governance unificato, capace di integrare IA, privacy, rischio, sicurezza e controllo dei partner in un unico sistema, come quello supportato da piattaforme quali OneTrust .

Quali azioni dovrebbero intraprendere i leader aziendali

Muoversi ora non significa correre per essere conformi alla legge sull'IA, bensì gettare le fondamenta adeguate.

1. Rendere la governance dell'IA parte integrante della gestione complessiva del rischio

L'IA non deve operare in isolamento: la governance va integrata con i programmi di rischio, privacy e sicurezza, così da condividere controlli e prove.

2. Allineare la supervisione dell'IA con privacy, dati e sicurezza

Molti obblighi legati all'IA si basano sugli stessi controlli fondamentali previsti dal GDPR e da altri quadri di sicurezza. Allineare questi sforzi riduce duplicazioni e lacune.

3. Creare processi revisionabili e ripetibili

Un errore ricorrente nella gestione dell'IA è affrontare ogni valutazione come un episodio isolato: ciò rallenta i team e complica i processi necessari per dimostrare una conformità coerente e verificabile nel corso del tempo.

• Inventario e categorizzazione dei modelli di IA
  
• Valutazioni dei rischi e degli impatti
• Revisione e approvazione
• Monitoraggio e rivalutazione periodica

4. Prepararsi agli audit e all'applicazione delle norme in continua evoluzione

I regolatori non si accontenteranno di sapere che esiste una policy, ma vorranno prove concrete che la governance funziona nella pratica. 

Ed è proprio in questo contesto che soluzioni come OneTrust fanno la differenza: consentono di gestire IA, privacy, rischio e governance dei fornitori con processi integrati e prove condivise, evitando la complessità del coordinamento manuale.

In sintesi

La legge dell'UE sull'IA continuerà a evolversi: le linee guida matureranno, gli standard verranno affinati e le pratiche di applicazione prenderanno forma più chiara nel tempo. Questo periodo di cambiamento non è un'eccezione, ma il modello con cui la regolazione dell'IA in Europa opererà nel lungo periodo.

In questo contesto, il vantaggio passa alle organizzazioni che sanno adattarsi senza dover ricostruire i programmi di governance ogni volta che cambiano le aspettative. Le aziende che investono in una governance unificata riescono ad assorbire gli aggiornamenti con meno interruzioni, perché supervisione, evidenze e responsabilità sono già connesse. Al contrario, le organizzazioni che si affidano a fogli di calcolo, soluzioni puntuali e coordinamento informale spesso faticano quando i requisiti convergono e le tempistiche si riducono.

Non sarà la sola lettura delle leggi a fare la differenza, bensì l'approccio strategico alla governance.

Il successo dipenderà dalla prontezza operativa: dimostrare governance reale e tracciabile dei sistemi di IA, ovunque e in ogni momento. 

Soluzioni come OneTrust facilitano questo cambiamento, consentendo alle aziende di integrare la governance dell'IA in un quadro connesso di gestione del rischio e della conformità.

Scopri come una governance integrata ti consente di affrontare la legge dell'UE sull'IA e di adattarti rapidamente ai cambiamenti normativi. Richiedi subito una demo.  

Domande frequenti