AI Act
Con la piattaforma Intric hai molta flessibilità e ottime possibilità di collaborazione. I comuni possono decidere — ogni volta o una volta per tutte — quanto controllo desiderano avere su come l’assistente viene utilizzato e condiviso.
Per garantire la conformità ai requisiti dell’AI Act dell’UE, sono necessarie due valutazioni fondamentali per ogni assistente che create:
- In quale classe di rischio rientra l’assistente?
- Qual è il ruolo del comune?
Sulla base di queste due valutazioni, il comune riceve un elenco chiaro di obblighi. Gli obblighi mirano a proteggere la salute, la sicurezza e i diritti fondamentali dei cittadini.
Passo dopo passo: come valutare il tuo assistente
Sezione intitolata “Passo dopo passo: come valutare il tuo assistente”Passo 1 — Descrivi il caso d’uso del tuo assistente
Sezione intitolata “Passo 1 — Descrivi il caso d’uso del tuo assistente”Inizia mappando esattamente cosa farà l’assistente nella pratica.
Domande da porsi:
- Qual è lo scopo dell’assistente?
- Chi sono gli utenti finali (operatori, insegnanti, cittadini)?
- Che tipo di dati elaborerà?
Passo 2 — Valuta la classe di rischio del caso d’uso
Sezione intitolata “Passo 2 — Valuta la classe di rischio del caso d’uso”Sulla base della descrizione, valuta in quale classe di rischio rientra l’assistente secondo la normativa.
Categorie:
- Alto rischio: Ad esempio gestione dei casi, accesso ai servizi di welfare e selezione del personale.
- Alto rischio, ma soddisfa i criteri di eccezione: Svolge solo un compito limitato e procedurale (es. controllo della chiarezza del linguaggio in un documento) senza prendere decisioni autonome.
- Rischio non elevato: Utilizzo con rischio minimo grazie a limitazioni chiare (es. semplici consultazioni di regole).
Passo 3 — Determina il tuo ruolo
Sezione intitolata “Passo 3 — Determina il tuo ruolo”Il tuo ruolo è determinato dal fatto che condividi o meno l’assistente al di fuori della tua organizzazione. Questo stabilisce dove nella “catena del valore dell’IA” si colloca la tua responsabilità.
Condividi l’assistente con un’altra organizzazione?
- No → Deployer: Costruisci e utilizzi l’assistente esclusivamente all’interno dell’organizzazione.
- Sì → Fornitore downstream (Downstream provider): Dai a un altro comune accesso diretto al sistema per un assistente che hai creato (condividere semplicemente un prompt nella “Assistant Library” non rientra in questa categoria).
Passo 4 — Identifica gli obblighi in base alla classe di rischio e al ruolo
Sezione intitolata “Passo 4 — Identifica gli obblighi in base alla classe di rischio e al ruolo”Sulla base delle scelte del Passo 2 e del Passo 3, sai ora esattamente quali requisiti si applicano alla vostra situazione. Vai alla checklist più adatta:
1. Classe di rischio: a cosa serve l’assistente?
Sezione intitolata “1. Classe di rischio: a cosa serve l’assistente?”La classe di rischio è determinata dallo scopo dell’assistente IA. L’AI Act suddivide l’utilizzo in diverse categorie:
| Categoria | Descrizione e aree comunali tipiche | Precisazioni importanti ed eccezioni |
|---|---|---|
| Alto rischio | Utilizzo in istruzione, occupazione e selezione del personale, accesso a servizi essenziali (incl. welfare) e processi democratici. | Eccezione: Se l’assistente svolge un compito limitato e procedurale che non rappresenta un rischio per la salute, la sicurezza o i diritti fondamentali, è possibile invocare un’eccezione. |
| Rischio non elevato | Utilizzo con rischio minimo. Ad esempio compiti che seguono una procedura puramente limitata, o che non sono destinati a sostituire o influenzare significativamente una valutazione umana. | |
| Utilizzo vietato | Sistemi con rischio inaccettabile per i diritti fondamentali (es. manipolazione deliberata, scoring sociale, valutazione del rischio che una persona commetta un reato). | In gran parte irrilevante per i comuni. |
Eccezione: come valutare il rischio nella pratica
Sezione intitolata “Eccezione: come valutare il rischio nella pratica”Le eccezioni sono molto comuni per l’utilizzo municipale degli assistenti IA. Anche se un assistente viene utilizzato in un’area originariamente definita ad alto rischio (come l’istruzione o il welfare), l’utilizzo può qualificarsi per un’eccezione dai requisiti più stringenti. Ciò vale in particolare se l’assistente:
- Non è destinato a sostituire o influenzare una valutazione umana.
- È progettato per svolgere un compito limitato e procedurale.
Ecco due esempi tipici del lavoro quotidiano dei comuni che illustrano i molti casi d’uso sicuri e molto utili che non sono classificati ad alto rischio:
Esempio 1: Controllo qualità di documenti amministrativi (La valutazione umana è mantenuta)
Un funzionario utilizza un assistente IA per verificare la qualità dei documenti prima di inviarli al consiglio comunale. L’assistente IA fa riferimento ai modelli pertinenti e fornisce feedback sui documenti: verifica che i numeri di riferimento dei casi precedenti siano citati nel punto corretto, che il contenuto soddisfi i requisiti minimi e che lo stile di scrittura rispetti i requisiti di linguaggio chiaro.
- Perché è un’eccezione? L’assistente IA viene utilizzato solo per migliorare la qualità del lavoro già svolto dai funzionari. Il responsabile legge il feedback, effettua le proprie valutazioni e modifica manualmente i documenti prima dell’invio. L’assistente non sostituisce né prende decisioni autonome.
Esempio 2: Consultazione di regole per scuole e servizi extrascolastici (Limitato e procedurale)
Il responsabile del dipartimento scolastico crea un assistente IA basato sui regolamenti comunali di ammissione, sulle norme di iscrizione e sui criteri di priorità. Lo scopo è che i colleghi possano facilmente trovare risposte a domande procedurali: quale documentazione è richiesta per iscriversi a un servizio extrascolastico? Quali sono le scadenze? Come sono definiti i confini dei bacini d’utenza scolastica?
- Perché è un’eccezione? Anche se riguarda “l’istruzione”, l’assistente IA svolge solo un compito limitato e procedurale — spiegare regole già pubblicate sul sito web del comune. Non effettua alcuna valutazione di un singolo bambino o di un caso specifico. È il dipendente che prende le informazioni, le valuta e scrive la risposta ai genitori.
2. Il tuo ruolo: condividi l’assistente?
Sezione intitolata “2. Il tuo ruolo: condividi l’assistente?”Perché il tuo ruolo è importante?
L’AI Act è ampiamente concepito come una normativa sulla sicurezza dei prodotti. Ciò significa che la responsabilità e gli obblighi vengono distribuiti in base alla posizione dell’organizzazione nella catena del valore dell’IA. Questa distinzione deliberata colloca la responsabilità dove può essere gestita al meglio:
- Fornitori (Providers) hanno la responsabilità più pesante e devono documentare che il sistema IA è sicuro prima di renderlo disponibile (progettazione, documentazione tecnica, test, marcatura CE).
- Deployer hanno una responsabilità orientata all’utilizzo concreto del sistema nelle operazioni quotidiane (garantire supervisione umana, seguire le istruzioni per l’uso e tutelare i diritti dei cittadini).
Il tuo ruolo ai sensi dell’AI Act è determinato principalmente dal fatto che tu condivida o meno l’assistente al di fuori della tua organizzazione:
- Deployer: Sei un deployer se il tuo comune utilizza gli assistenti esclusivamente al proprio interno.
- Fornitore downstream (Downstream provider): Diventi fornitore downstream se il tuo comune condivide un assistente già creato con altri comuni. (Assumi quindi la responsabilità di “Fornitore” per ciò che condividi.)
- Nota: Per “condivisione” si intende dare a un altro comune accesso a un assistente che hai creato, che quel comune non ha costruito autonomamente sulla piattaforma. Se un altro comune crea il proprio assistente sulla base delle tue istruzioni/prompt (ad esempio tramite “Assistant Library”), non si tratta di condivisione del sistema e rimani deployer.
3. I tuoi obblighi
Sezione intitolata “3. I tuoi obblighi”I vostri obblighi sono determinati dalla combinazione di classe di rischio (come viene utilizzato l’assistente) e ruolo (se viene condiviso).
Ecco i tre scenari più comuni per i comuni. Gli elenchi seguenti descrivono i requisiti specifici che dovete soddisfare prima e durante l’utilizzo.
Scenario A: Deployer + Rischio non elevato
Sezione intitolata “Scenario A: Deployer + Rischio non elevato”Si applica ai comuni che utilizzano assistenti sviluppati internamente esclusivamente per attività a basso rischio.
Esempio di utilizzo: Il comune ha creato un assistente che aiuta il dipartimento HR a redigere annunci di lavoro sulla base di modelli esistenti, o un assistente che riassume lunghi rapporti pubblici per la dirigenza comunale.
Questi sono i vostri obblighi (checklist):
- Requisito di alfabetizzazione all’IA: Il comune deve garantire un’adeguata conoscenza dell’IA (“AI literacy”) tra gli utenti. I dipendenti devono avere competenze sufficienti per utilizzare la piattaforma in modo sicuro e prendere decisioni informate sui contenuti generati da Intric.
Scenario B: Deployer + Alto rischio
Sezione intitolata “Scenario B: Deployer + Alto rischio”Si applica ai comuni che utilizzano assistenti internamente in aree classificate ad alto rischio.
Esempio di utilizzo: Il comune utilizza un assistente IA come parte di un processo automatizzato di gestione dei casi per calcolare l’assegnazione di sussidi di assistenza sociale, o per ordinare e valutare candidati in un processo di selezione del personale in cui l’assistente prende o influenza significativamente decisioni su individui.
Questi sono i vostri obblighi (checklist):
- Supervisione umana: Garantire una reale supervisione umana da parte di persone con la giusta autorità e competenza. Un essere umano deve avere sempre l’ultima parola.
- Notifica a dipendenti e sindacati: Informare i rappresentanti dei lavoratori e i dipendenti prima che il sistema venga messo in uso sul posto di lavoro.
- Notifica ai cittadini: Le persone interessate (es. i richiedenti) devono essere informate che sono soggette a processi decisionali automatizzati o che l’IA viene utilizzata come supporto decisionale.
- Dati di input corretti: Garantire che nell’assistente vengano inseriti solo dati rilevanti e appropriati (input).
- Utilizzo in conformità alle istruzioni: L’assistente deve essere utilizzato esclusivamente in conformità alle istruzioni per l’uso fornite dal fornitore (Intric).
- Monitoraggio e registrazione: Monitorare l’utilizzo del sistema e registrare gli eventi in modo sistematico.
- Registrazione presso le autorità: Il sistema deve essere registrato in un registro pubblico presso la Norwegian Communications Authority (Nkom).
- Privacy (DPIA): Effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) se la soluzione tratta dati personali.
Scenario C: Fornitore downstream + Alto rischio
Sezione intitolata “Scenario C: Fornitore downstream + Alto rischio”Si applica ai comuni che hanno creato un assistente per un’area ad alto rischio e scelgono di condividere l’accesso effettivo al sistema con altre organizzazioni o comuni.
Esempio di utilizzo: Il comune ha creato uno strumento IA avanzato per la valutazione delle licenze edilizie. Invece di condividere solo la ricetta (il prompt), fornisce a un comune limitrofo accesso diretto al sistema tramite una collaborazione intercomunale. Il comune “consegna” quindi il sistema a terzi.
Questi sono i vostri obblighi (checklist):
- Gestione della qualità: Stabilire e mantenere un sistema formale di gestione della qualità per l’assistente IA.
- Valutazioni del rischio: Effettuare e documentare valutazioni formali del rischio prima e durante la condivisione.
- Data governance: Stabilire procedure rigorose per la gestione dei dati e la qualità dei dati (“Data governance”).
- Registrazione presso le autorità: Registrare l’assistente come sistema ad alto rischio presso Nkom.
- Monitoraggio e registrazione: Implementare monitoraggio sistematico e registrazione delle modalità di utilizzo e delle prestazioni del sistema da parte degli altri comuni.