di Sara Commodo
Il 13 marzo 2024 il Parlamento europeo ha approvato a larghissima maggioranza (523 i voti favorevoli, 46 i contrari, 49 le astensioni) il Regolamento Europeo sull’intelligenza artificiale il c.d. AI Act, il primo impianto normativo sull’intelligenza artificiale.
È un documento storico perché è il primo a livello mondiale, dopo l’Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence firmato da Biden il 23 ottobre u.s.
La legge entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi 24 mesi dopo l’entrata in vigore, salvo per quanto riguarda i divieti relativi a pratiche vietate, che si applicheranno decorsi sei mesi dall’entrata in vigore; i codici di buone pratiche che si applicheranno decorsi nove mesi dall’entrata in vigore; le norme sui sistemi di IA per finalità generali, compresa la governance che si applicheranno decorsi 12 mesi dall’entrata in vigore e gli obblighi per i sistemi ad alto rischio che si applicheranno decorsi 36 mesi dall’entrata in vigore.
Obiettivo principale dell’AI Act è quello di proteggere i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di IA ad alto rischio, promuovendo nel contempo l’innovazione e assicurando all’Europa un ruolo guida nel settore, settore che è in enorme crescita.
Secondo l’ultima edizione dell’Osservatorio Artificial Intelligence della School of Management del Politecnico di Milano, il mercato italiano dell’intelligenza artificiale cresce in maniera impetuosa: +52% nel 2023 per un valore complessivo di 760 milioni di euro.
Nel regolamento l’Intelligenza Artificiale è stata definita come “UN SISTEMA AUTOMATIZZATO PROGETTATO PER FUNZIONARE CON DIVERSI LIVELLI DI AUTONOMIA E CHE PUÒ MOSTRARE CAPACITÀ DI ADATTAMENTO DOPO L’INSTALLAZIONE E CHE, PER OBIETTIVI ESPLICITI O IMPLICITI, DEDUCE, DAGLI INPUT CHE RICEVE, COME GENERARE OUTPUT QUALI PREVISIONI, CONTENUTI, RACCOMANDAZIONI O DECISIONI CHE POSSONO INFLUENZARE AMBIENTI FISICI O VIRTUALI”.
Il nuovo Regolamento si applicherà a tutti i soggetti pubblici e privati che producono strumenti con tecnologia di intelligenza artificiale rivolti al mercato europeo, indipendentemente dal fatto che le aziende siano o meno europee: anche le aziende americane se vorranno continuare ad operare sul mercato europeo dovranno adeguarsi.
Non solo i fornitori, ma anche gli utilizzatori dovranno assicurarsi che il prodotto sia compliant.
Sono previste eccezioni nell’applicazione del Regolamento, che non varrà per i sistemi di AI per scopi militari, di difesa o di sicurezza nazionale, a quelli per scopi di ricerca e sviluppo scientifico, o a quelli rilasciati con licenze free e open source (fatta salva la verifica di sussistenza di un rischio), per l’attività di ricerca, prova e sviluppo relative a sistemi di intelligenza artificiale e per le persone fisiche che utilizzano i sistemi di AI per scopi puramente personali
I sistemi di AI sono divisi in quattro macrocategorie: a rischio minimo, limitato, alto ed inaccettabile: maggiore è il rischio maggiori le responsabilità e i limiti per sviluppatori e utilizzatori
Sono ad alto rischio quei sistemi di IA destinati a essere utilizzati come componente di sicurezza di un prodotto oppure quelli elencati nell’Allegato III. Saranno ammessi, a condizione che non presentino un rischio significativo di danni per la salute, la sicurezza o i diritti fondamentali delle persone fisiche
Per i sistemi a basso rischio come ChatGPT sono previsti solo degli obblighi di trasparenza e di informazione.
I fornitori di sistemi IA ad alto rischio e agli importatori hanno tra gli altri l’obbligo di
- garantire la conformità ai requisiti tecnici specifici indicatidal Regolamento,
- indicare informazioni essenziali sul sistema,
- disporre di un sistema di gestione della qualità,
- elaborare una dichiarazione di conformità UE,
- adottare misure correttive se necessario e fornire tutte le informazioni richieste alle Autorità competenti.
Ai deployer dei sistemi di IA ad alto rischio è posto l’obbligo di
- adottare misure tecniche ed organizzative adeguate ad un utilizzo conforme,
- affidare la sorveglianza umana dei sistemi a persone competenti,
- monitorare il funzionamento dei sistemi e cooperare con le autorità di vigilanza e controllo, se necessario.
- effettuare una valutazione dell’impatto sui diritti fondamentali in determinati casi, come previsto dall’art. 27.
La maggior parte degli obblighi è riservata ai fornitori cui sono assimilati gli importatori, i distributori o deployer o qualsiasi terza parte potrebbe essere identificata come il fornitore del sistema di intelligenza artificiale ad alto rischio se ha apposto il proprio nome o marchio sul sistema dopo che è stato già messo sul mercato o in servizio, se ha apportato modifiche sostanziali dopo la sua commercializzazione o messa in servizio (purché il sistema rimanga ad alto rischio), o se ha modificato lo scopo previsto del sistema di intelligenza artificiale, rendendolo ad alto rischio.
La norma prevede limiti all’uso dei sistemi di identificazione biometrica da parte delle autorità di contrasto, norme di contrasto delle manipolazioni e dello sfruttamento delle vulnerabilità degli utenti, i consumatori avranno diritto a presentare reclami e ricevere spiegazioni rilevanti.
Le nuove norme vietano alcune applicazioni di IA che rischiano di ledere i diritti dei cittadini. Tra queste:
- Sistemi di categorizzazione biometrica basati su caratteristiche sensibili: questi sistemi possono essere utilizzati per discriminare le persone in base alla razza, all’etnia, al sesso, alla religione o ad altri fattori sensibili.
- Estrapolazione indiscriminata di immagini facciali da internet o da sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale: tecnologia che può essere utilizzata per tracciare le persone senza il loro consenso violando la loro privacy.
- Sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole: questi sistemi possono essere utilizzati per monitorare le persone e discriminarle in base alle loro emozioni.
- Sistemi di credito sociale: questi sistemi possono essere utilizzati per controllare le persone e limitare la loro libertà.
- Pratiche di polizia predittiva basate sulla profilazione o sulla valutazione delle caratteristiche di una persona: queste pratiche possono essere utilizzate per discriminare le persone e privarle dei loro diritti.
- Sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone: Questi sistemi possono essere utilizzati per danneggiare le persone e privarle del loro libero arbitrio.
Le forze dell’ordine “non potranno fare ricorso ai sistemi di identificazione biometrica“, tranne in alcune situazioni specifiche espressamente previste dalla legge. Tra queste, ad esempio, la ricerca di una persona scomparsa, la prevenzione di un attacco terroristico o l’investigazione di un reato grave.
L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa.
Inoltre, le immagini e i contenuti audio o video artificiali o manipolati (i cosiddetti “deepfake”) dovranno essere chiaramente etichettati come tali.
I paesi Ue dovranno istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali (sandbox), in modo che PMI e start-up possano sviluppare sistemi innovativi e addestrarli prima di immetterli sul mercato.