Negli ultimi anni abbiamo assistito a un crescente utilizzo dell’Intelligenza Artificiale da parte dei dipendenti delle Imprese di tutto il mondo. Tanto che molti lavori, già adesso, vengono normalmente svolti mediante l’utilizzo di tali strumenti. Prendiamo ad esempio la programmazione di software: è noto come moltissimi developer utilizzino l’IA, in particolare la c.d. Intelligenza Artificiale Generativa, al fine di scrivere interi frammenti di codice sorgente di software “tradizionali”, ovvero anche solamente di correggere eventuali errori.
Tale pratica, seppur molto efficace nell’efficientare i processi lavorativi, può tuttavia portare diverse problematiche. In questa sede ne accenneremo solo alcune. Una prima possibile deriva direttamente dall’utilizzo che potremmo definire “conforme”, nel senso che è rispettoso di ogni presupposto richiesto. Infatti, i sistemi di Intelligenza Artificiale sono loro stessi soggetti alle c.d. allucinazioni, diventate oggetto di dibattito molto di recente proprio nel settore del diritto. Ciò comporta che l’esito di una elaborazione non sia affidabile al 100% e ciò sulla base del naturale funzionamento di un’IA, che lavora mediante strumenti statistici e probabilistici.
Vi sono poi problemi di diverso ordine, attinenti al diritto d’autore. Celebre sul punto è il caso Samsung, che riguardava proprio alcuni programmatori, i quali avrebbero utilizzato un’Intelligenza Artificiale come assistente al fine di scrivere un software. Ebbene, sembrerebbe che tale utilizzo abbia comportato una fuoriuscita di dati aziendali ritenuti segreto commerciale.
Il rischio di rivelazione del segreto commerciale è facilmente intuibile, basti pensare al modo con il quale un’IA generativa funziona. La prima operazione che è necessario svolgere, nell’utilizzare qualsiasi piattaforma è l’inserimento di un Prompt, cioè di un comando o di una richiesta o di una domanda corredato da tutte le informazioni di contesto e di risultato necessarie al fine di raggiungere un obiettivo che si è preposto l’utilizzatore. Appare dunque facile per l’utente inserire (anche accidentalmente) dati “sensibili” all’interno del testo, quali ad esempio i citati segreti commerciali, oppure i dati personali di dipendenti o clienti. Altro evento che potrebbe verificarsi è quello di un accesso abusivo (data breach) al sistema di IA, e quindi ad informazioni sensibili, banalmente per una disattenzione o poca cura nella conservazione delle credenziali. Su tali profili è evidente la necessità di sensibilizzazione e formazione adeguata anche nell’ottica di adempimento degli obblighi di IA literacy previsti dal nuovo Regolamento EU sull‘Intelligenza Artificiale 2024/1689.
Un diverso problema attiene agli utilizzi che potrebbero essere fatti delle Intelligenze Artificiali nell’ambito della gestione dell’azienda. Spesso, infatti, le IA sono soggette a Bias, cioè distorsioni, che comportano la possibilità di output discriminatori, i quali poi possono portare ad una gestione discriminatoria dei lavoratori nell’impresa.
A questo punto, ci si potrebbe chiedere che cosa si può fare per utilizzare in modo corretto l’IA in azienda. A tal fine occorre anche tener conto di quanto disposto dal già citato Regolamento sull‘IA (Artificial Intelligence Act), che impone numerosi adempimenti per la creazione e per l’utilizzo dei sistemi di Intelligenza Artificiale in modo che non generi pericoli o danni per l’essere umano. L’utilizzatore professionale (come ad esempio le imprese), denominato “Deployer”, infatti, è obbligato a predisporre numerose misure tecniche e organizzative per poter utilizzare sistemi di IA ad alto rischio.
Pertanto, alcune misure potrebbero essere prese in considerazione per evitare i problemi sopra menzionati e per adempiere agli obblighi citati. Anzitutto, l’adozione di Policy aziendali di individuazione, valutazione, scelta e utilizzo nell’organizzazione aziendale dei sistemi di IA. Al fine di implementare veramente questa Policy rimane essenziale formare tutti i dipendenti su tali argomenti, sempre nell’ottica della menzionata alfabetizzazione sull’IA.
Si rammenta, infine, che esistono altre normative che si intersecano nell’ambito appena citato tra cui, solo per citarne alcune, la Direttiva NIS2, il Regolamento DORA (Digital Operational Resilience Act per il settore finanziario ed assicurativo) e il Cybersecurity Act (che istituisce e regola, tra l’altro, l’Agenzia Europea sulla cybersicurezza ENISA), a cui verranno dedicati ulteriori approfondimenti.
di Avv. Piergiorgio Belotti, Studio legale Vincenzi
