Il Regno Unito sta tracciando la propria rotta sulla regolamentazione dell’AI
Mentre l’Unione Europea ha adottato un approccio prescrittivo, incentrato sulla legislazione, per la governance dell’AI con l’EU AI Act, il Regno Unito ha deliberatamente scelto un percorso diverso. Dopo la Brexit, il governo britannico si è posizionato come leader globale nell’innovazione AI — e il suo quadro normativo riflette una filosofia fondamentalmente diversa.
Per le organizzazioni che operano nel Regno Unito, nell’UE o in entrambe le giurisdizioni, comprendere queste differenze non è opzionale. Sbagliare significa soffocare l’innovazione attraverso un eccesso di conformità o esporre la propria organizzazione ad azioni regolatorie attraverso una conformità insufficiente.
L’approccio britannico: pro-innovazione, guidato dai settori
Il quadro normativo britannico sull’AI, delineato nel libro bianco del 2023 “A Pro-Innovation Approach to AI Regulation” e rafforzato da successive dichiarazioni politiche, si basa su cinque principi fondamentali:
- Sicurezza, protezione e robustezza — I sistemi AI dovrebbero funzionare in modo sicuro e come previsto
- Trasparenza e spiegabilità — Le organizzazioni dovrebbero essere in grado di spiegare adeguatamente le proprie decisioni AI
- Equità — L’AI non dovrebbe minare i diritti legali degli individui o creare discriminazioni ingiuste
- Responsabilità e governance — Devono esistere linee di responsabilità chiare per i risultati dell’AI
- Contestabilità e ricorso — Le persone dovrebbero poter contestare le decisioni AI che le riguardano
Fondamentalmente, il Regno Unito non ha creato un’unica legge centralizzata sull’AI. Al contrario, conferisce potere ai regolatori settoriali esistenti — la FCA per i servizi finanziari, l’ICO per la protezione dei dati, Ofcom per le comunicazioni, la CMA per la concorrenza, la MHRA per la sanità — per interpretare e applicare questi principi nei rispettivi ambiti.
In cosa differisce dall’EU AI Act
Legislazione vs. Principi
L’EU AI Act è un regolamento vincolante con obblighi legali specifici, classificazioni di rischio, tempistiche di conformità e sanzioni fino a 35 milioni di euro o il 7% del fatturato globale. Il quadro britannico è basato su principi e si affida ai regolatori esistenti per emettere linee guida e applicare standard all’interno dei loro settori.
Cosa significa in pratica: Un’organizzazione con sede nell’UE può leggere l’AI Act e sapere esattamente cosa è richiesto per un sistema AI “ad alto rischio”. Un’organizzazione con sede nel Regno Unito deve consultare le linee guida di più regolatori per comprendere cosa ci si aspetta — e la risposta può variare a seconda del settore.
Classificazione del rischio
L’EU AI Act definisce quattro livelli di rischio — inaccettabile, alto, limitato e minimo — con sistemi specifici assegnati a ciascuna categoria. Le pratiche vietate includono il punteggio sociale e la sorveglianza biometrica in tempo reale (con eccezioni limitate).
Il Regno Unito non dispone di un sistema formale di classificazione del rischio per l’AI. Le organizzazioni sono invece tenute a valutare il rischio in modo proporzionale in base al contesto, con i regolatori settoriali che forniscono linee guida specifiche per dominio. Il Regno Unito ha inoltre adottato una posizione più permissiva su tecnologie come il riconoscimento facciale, consentendo casi d’uso da parte della polizia che dovrebbero affrontare restrizioni significative nell’ambito del quadro UE.
Valutazione della conformità
L’EU AI Act richiede che i sistemi AI ad alto rischio siano sottoposti a valutazioni di conformità prima di essere immessi sul mercato, con obblighi di monitoraggio continuo. Alcune categorie richiedono la valutazione da parte di terzi tramite organismi notificati.
Il Regno Unito non ha una valutazione pre-commercializzazione obbligatoria equivalente per i sistemi AI. La conformità viene monitorata attraverso i canali regolatori esistenti — la supervisione della FCA sulle aziende finanziarie, l’applicazione della legge sulla protezione dei dati da parte dell’ICO e così via.
AI per scopi generali e modelli fondazionali
L’EU AI Act include disposizioni specifiche per i modelli AI per scopi generali (GPAI), richiedendo trasparenza, documentazione tecnica e — per i modelli con rischio sistemico — test avversariali e segnalazione degli incidenti.
L’approccio britannico ai modelli fondazionali si è evoluto attraverso l’AI Safety Institute (AISI), che conduce test volontari pre-implementazione dei modelli di frontiera. L’enfasi è sulla collaborazione con gli sviluppatori piuttosto che su requisiti obbligatori, sebbene il governo abbia segnalato che poteri statutari potrebbero seguire se gli approcci volontari si rivelassero insufficienti.
Applicazione e sanzioni
L’EU AI Act crea un nuovo Ufficio europeo per l’AI con poteri di applicazione diretta e sanzioni finanziarie sostanziali. Il Regno Unito si affida ai regolatori esistenti, ciascuno con i propri meccanismi di applicazione e regimi sanzionatori. L’ICO può già comminare multe fino a 17,5 milioni di sterline o il 4% del fatturato globale per violazioni della protezione dei dati che coinvolgono l’AI.
L’AI Safety Institute: l’asset unico del Regno Unito
L’AI Safety Institute del Regno Unito, istituito a seguito dell’AI Safety Summit del 2023 a Bletchley Park, rappresenta una capacità che non ha equivalenti diretti nell’UE. AISI conduce ricerche tecniche sulla sicurezza dell’AI, esegue valutazioni di modelli AI di frontiera e sviluppa metodologie di test per capacità AI avanzate.
Sebbene AISI non disponga di poteri di applicazione normativa, le sue valutazioni hanno un peso significativo. Ci si aspetta sempre più che le organizzazioni che sviluppano o implementano sistemi AI avanzati nel Regno Unito si confrontino con i framework di valutazione di AISI come dimostrazione di sviluppo responsabile dell’AI.
Cosa devono fare ora le organizzazioni britanniche
1. Mappare il proprio panorama normativo
Identificare quali regolatori settoriali hanno giurisdizione sui propri sistemi AI. La maggior parte delle organizzazioni ricadrà sotto più regolatori — una banca che utilizza l’AI per decisioni creditizie deve considerare simultaneamente le regole FCA, i requisiti di protezione dei dati dell’ICO e gli obblighi dell’Equality Act.
2. Implementare una governance proporzionata
Anche senza un’unica legge sull’AI, le organizzazioni britanniche devono affrontare obblighi di conformità reali attraverso la legislazione esistente: il Data Protection Act 2018, l’Equality Act 2010, la legge sulla protezione dei consumatori, le normative specifiche del settore e i doveri di diligenza di common law. Un solido quadro di governance AI affronta tutti questi aspetti.
3. Prepararsi all’evoluzione
Il governo britannico ha dichiarato esplicitamente che l’intervento statutario rimane un’opzione se l’approccio basato su principi non fornisce una protezione adeguata. Il panorama normativo dell’AI continuerà ad evolversi e le organizzazioni dovrebbero costruire framework di governance sufficientemente flessibili per accogliere requisiti futuri.
4. Considerare le implicazioni transfrontaliere
Le organizzazioni britanniche che servono clienti UE o elaborano dati di residenti UE devono conformarsi all’EU AI Act per tali attività, indipendentemente dall’approccio nazionale del Regno Unito. Allo stesso modo, le organizzazioni UE che operano nel Regno Unito devono soddisfare le aspettative normative britanniche. La doppia conformità è una realtà per molte aziende.
Conformità all’EU AI Act: ancora rilevante per le aziende britanniche
Anche le aziende puramente focalizzate sul Regno Unito dovrebbero prestare attenzione all’EU AI Act per diversi motivi:
- Accesso al mercato: Qualsiasi sistema AI immesso sul mercato UE deve conformarsi all’AI Act, indipendentemente da dove è stato sviluppato
- Requisiti della catena di approvvigionamento: I clienti UE potrebbero imporre requisiti di conformità all’AI Act ai fornitori britannici
- L’effetto Bruxelles: La regolamentazione UE tende a diventare lo standard globale de facto, come visto con il GDPR. Allinearsi ora all’AI Act può evitare costosi adattamenti successivi
- Aspettative di investitori e clienti: Dimostrare la conformità con la regolamentazione AI più completa al mondo segnala maturità e affidabilità
Come LittleData può aiutare
Navigare nel panorama AI multi-regolatore del Regno Unito richiede sia competenza tecnica che conoscenza normativa. La piattaforma LittleData.ai monitora la conformità rispetto ai framework normativi britannici insieme ai requisiti dell’EU AI Act, offrendovi una visione unificata dei vostri obblighi attraverso le giurisdizioni.
I nostri servizi di sicurezza AI includono analisi dei gap normativi, progettazione di framework di governance e monitoraggio continuo della conformità personalizzati per le organizzazioni britanniche. Che operiate esclusivamente nel Regno Unito, nell’UE o a livello globale, vi aiutiamo a costruire una governance AI che soddisfi tutti i requisiti applicabili senza costi generali non necessari.
Contattate il nostro team per discutere dei vostri requisiti di conformità AI nel Regno Unito.