I regolamenti europei su dati e IA sono sempre più complessi. Le aziende faticano a stare al passo, ma rischiano grosso in caso di non conformità. ACCOMPLISH vuole semplificare il processo di compliance sviluppando un tool digitale di supporto alle imprese lungo tutto il processo: dall’identificazione delle normative rilevanti alla definizione delle azioni per adeguarsi.
Tanti regolamenti, poca chiarezza: le aziende faticano a stare al passo
Per chi lavora con dati e Intelligenza Artificiale, il panorama normativo europeo può sembrare un labirinto. Tra GDPR, AI Act, Data Act, Cybersecurity Act e Data Governance Act, i regolamenti da rispettare sono tanti, complessi e spesso si sovrappongono; le norme, poi, possono cambiare da paese a paese e a seconda del settore. Essere in regola ha un prezzo: in termini di risorse umane, tempo e soldi. Per le grandi aziende l’investimento in compliance e certificazione è un impegno oneroso, ma per le PMI può diventare insostenibile. Soprattutto in termini economici. Mantenere la conformità e ottenere la certificazione per un singolo sistema di IA, per esempio, può costare 52.000 euro all’anno. Eppure, conviene comunque investire in compliance, sia per garantire trasparenza e affidabilità ai propri clienti e partner, sia per evitare rischi legali e multe salate. Pensiamo solo alle sanzioni previste dall’AI Act: fino a 35 milioni di euro oppure al 7% del fatturato annuo globale in base alla gravità della violazione e alle dimensioni dell’azienda. C’è poi un’altra questione: come dimostrare in modo chiaro e affidabile che un’azienda è in regola? Oggi tracciabilità della compliance e verifica delle certificazioni da parte di autorità governative ed enti regolatori – ma pure di clienti, fornitori e collaboratori – sono ancora processi complicati e poco standardizzati.
Cosa sta facendo l’Europa?
Che l’Europa stia investendo in digitalizzazione e Intelligenza Artificiale è evidente. L’ultimo sforzo in questa direzione è l’AI Continent Action Plan lanciato la scorsa primavera, un piano per la promozione dell’IA declinato in varie azioni, dal rafforzamento delle infrastrutture digitali all’incoraggiamento alla condivisione dei dati, all’investimento nella ricerca e allo sviluppo di un’IA etica e responsabile.
“La strategia europea è solida e coerente ma, essendo stata pensata e messa in atto nel giro di pochi anni, richiede sforzi di adeguamento molto onerosi alle pratiche di compliance e certificazione previste dai nuovi regolamenti: si è passati da una decina di norme a decine o centinaia a seconda dei casi”, spiega Elisa Spiller, esperta di etica e responsabilità nel campo dell’Intelligenza Artificiale, consulente in Deep Blue dove si occupa tra le altre cose di conformità e certificazione dati e IA nel quadro europeo.
“Alla luce di queste considerazioni, oggi una delle grandi sfide dell’Europa è facilitare l’adempimento degli oneri di compliance e certificazione per chi vuole investire in questo settore, senza che ciò comporti una moltiplicazione dei costi oltre il sistema e coerentemente a un framework normativo che va evolvendosi e ramificandosi. Quest’ultimo punto in particolare, ovvero l’adeguamento a un panorama prescrittivo ‘dinamico’, rappresenta la sfida più impegnativa”, aggiunge Spiller.
Il progetto ACCOMPLISH: rendere la compliance automatica, tracciabile, accessibile
È in questo contesto che nasce ACCOMPLISH, progetto europeo che affronta i problemi della conformità e della certificazione puntando sull’automazione. “ACCOMPLISH vuole aiutare chi sviluppa prodotti e servizi a capire fin da subito quali regole devono rispettare e come adeguarsi, in modo concreto e guidato. A tal fine abbiamo pensato a uno strumento digitale che prima aiuti nella valutazione self-assesment dei regolamenti o degli aggiornamenti dei regolamenti rilevanti per il prodotto in uno specifico dominio o contesto organizzativo, e poi supporti le persone nei vari passaggi da seguire per essere conformi nel tempo”, spiega Daniele Ruscio, psicologo cognitivo esperto di Fattori Umani in Deep Blue, che è partner di progetto e responsabile delle azioni di metodologia human-centric per l’ideazione e la valutazione dello strumento e delle raccomandazioni.
Verso uno strumento integrato: analisi preliminare e costruzione degli scenari d’uso
Il progetto ha preso il via con una prima fase di “mappatura”: i ricercatori del consorzio stanno analizzando tecnologie e normative di riferimento, nonché i bisogni delle persone che si occupano di compliance nei vari ruoli e contesti. “Con i colleghi di progetto stiamo raccogliendo le informazioni di partenza e descrivendo tutte le azioni che compongono il percorso di conformità, che è un processo in continua evoluzione a cui devono adeguarsi nel tempo non solo le organizzazioni, ma anche i prodotti e i sistemi di IA”, spiega Ruscio. “A partire da questa analisi preliminare, che include anche le principali sfide affrontate dai diversi attori coinvolti (dai ricercatori agli sviluppatori e agli esperti legali), costruiremo i modelli e gli scenari d’uso concreti in cui ACCOMPLISH potrà intervenire per semplificare e supportare il lavoro di operatrici e operatori”, prosegue Ruscio. Da lì inizierà lo sviluppo tecnico dello strumento digitale che dovrà essere in grado di “digerire” tutte le regole, le procedure e gli aspetti sistemici della compliance e restituire, in base al ruolo della persona e al tipo di dati, indicazioni chiare su cosa fare per essere (e continuare a essere) conformi.
Un aspetto importante sarà la possibilità di integrare il tool di ACCOMPLISH nei sistemi esistenti delle imprese attraverso interfacce API. In questo modo, le aziende potranno chiamare i servizi di compliance direttamente dai propri ambienti di lavoro ricevendo indicazioni personalizzate, automatizzate e aggiornate in tempo reale.
I casi studio del progetto ACCOMPLISH
Riguardo agli scenari d’uso in cui il tool verrà testato, coinvolgono 4 settori sempre più dati e IA driven: energia, manifattura, automotive, aviazione. “Nel consorzio del progetto ci sono sia partner tecnici che si occupano di raccolta dati e sviluppo del sistema, sia partner operativi, cioè legati alle realtà in cui caleremo gli scenari d’uso”, precisa Ruscio.
La manifattura, per esempio, in cui ACCOMPLISH si confronterà con le esigenze di un’azienda che vorrebbe ottimizzare le postazioni di lavoro rispettando sia gli standard ergonomici sia le capacità fisiche di lavoratrici e lavoratori attraverso un sistema di IA in grado di raccogliere e utilizzare, tra gli altri, alcuni dati sanitari – quindi di responsabilità del Medico del Lavoro – per lo svolgimento di compiti specifici nella linea di produzione. Come procedere nel rispetto del GDPR? Chi può avere accesso a quei dati? Il tool di ACCOMPLISH aiuterà a definire confini legali e operativi del processo.
Oppure l’automotive, in cui il caso studio riguarda una partnership di aziende che vogliono sviluppare sistemi basati su IA che richiedono la registrazione di video dei conducenti per il rilevamento della distrazione in scenari di guida automatizzata. Se i video vengono rilevati e modificati per essere dati a una terza parte che si occupa del training dell’IA, a chi appartengono i dati risultanti? Chi ha l’obbligo di conservarli? E se il veicolo equipaggiato con tale sistema fosse venduto in Giappone, ci sarebbero regole diverse da tenere in considerazione? ACCOMPLISH guiderà le aziende in questo scenario complesso.
“Il caso studio in aviazione coinvolge l’aeroporto di Bergamo e riguarda nello specifico la gestione dei dati relativi ai passeggeri a ridotta mobilità per ottimizzare la visibilità/opacità dei dati sensibili come identità e condizione fisica dei passeggieri senza perdere la compliance nei diversi passaggi che compongono le operazioni aeroportuali regolamentate (dalla necessità di identificare i passeggeri da parte degli addetti alla sicurezza vs. la necessità di garantire la privacy dei passeggeri senza creare ritardi da parte dei ground handler ecc.)”, aggiunge Ruscio. Questi stessi dati, poi, finiranno in un sistema di Digital Twin centralizzato per continuare a migliorare la gestione dei flussi di passeggeri e potrebbero essere condivisi anche con gli altri attori e stakeholder coinvolti nei processi di ottimizzazione della gestione del traffico aereo. Di nuovo, il tool di ACCOMPLISH guiderà gli addetti ai lavori nella raccolta e condivisione dei dati dei passeggeri.
Verso una compliance by design
Applicare un approccio sistematico per integrare i requisiti regolamentari/normativi in attività e processi sia manuali sia automatizzati, questa è la compliance by design. Ed è ciò su cui il progetto ACCOMPLISH sta lavorando, per valutare e migliorare la conformità normativa dei prodotti basati su dati e IA fin dalle prime fasi del loro sviluppo.
“Uno degli elementi centrali di questo approccio è il concetto di Compliance Digital Passport, un passaporto digitale del prodotto che raccoglie informazioni chiave come il tipo di sistema, le operazioni svolte sui dati, gli attori coinvolti, i contesti applicativi, i processi e le normative interessati – spiega Ruscio – una sorta di fotografia dello stato dell’arte del prodotto rispetto ai requisiti di compliance applicabili”. Passaporto che potrà aiutare in fase di certificazione del prodotto, quindi a uso “esterno” da parte di autorità governative ed enti regolatori. A uso interno invece, ovvero per chi lavora allo sviluppo di un prodotto, ACCOMPLISH ha pensato a un approccio multi-livello alla compliance: si tratta di schede di valutazione (scorecards) che permettono di sapere in quali parti il prodotto è conforme, in quali pur essendo conforme può migliorare, in quali invece manca il requisito di conformità.
“L’idea è quella di facilitare una panoramica chiara sugli obiettivi di compliance secondo le specificità del prodotto e, in seconda battuta, far capire quali possono essere i gap attuali, anche giustificati dal livello di maturità dell’idea e dal modo in cui è stata sviluppata, così che, alla luce di questa consapevolezza, si possano avere riferimenti utili e strumenti che aiutino gli sviluppatori a intervenire e raggiungere una compliance affidabile rispetto alla gestione dei rischi legali – sottolinea Spiller – un approccio, quello a una compliance proattiva e by design, che Deep Blue porta avanti da tempo in aviazione e manufacturing sia per la parte legale sia per quella etica”.
“Un’iniziativa come questa incanala verso lo sviluppo di soluzioni che a un livello di maturità più alto, contestualizzato meglio nei singoli settori piuttosto che in un unico progetto, supportato dai corpi regolatori di categoria, dagli IA Office, dalla Commissione, può dare un input molto importante, molto spendibile e molto in linea con la visione che abbiamo in Deep Blue, ovvero che la regolamentazione non deve essere un ostacolo ma un facilitatore di un’innovazione sana”, conclude Spiller.
