In un precedende post avevamo dato notizia dell’approvazione del regolamento per l’intelligenza artificiale da parte della UE, ora vi proponiamo una sintesi dei contenuti principali che dovranno essere ratificati dal Consiglio europeo e successivamente dal Parlamento. Lo scopo è quello di evitare la mala gestio delle tecnologie emergenti.
Quello rappresentato è l’ultimo steep di un percorso iniziato nell’aprile 2021, per arrivare al 21 gennaio 2024 con l’ultima bozza. Lo strumento legislativo del “Regolamento” è direttamente applicabile senza che i singoli Stati membri lo debbano recepire con altra legge. L’impostazione generale è basata su quattro categorie di rischio: “minimi, limitati, alti, inaccettabili”, per cui, tanto maggiore sarà il rischio, quanto più elevate saranno le responsabilità, e non di meno rigorosi i paletti per chi sviluppa o adopera sistemi di AI.
Definizione di AI ed esclusioni
Poiché l’AI Act intende disciplinare lo sviluppo, l’immissione sul mercato e l’utilizzo dei “sistemi di IA”, occorre definire cosa si intenda per intelligenza artificiale. L’OCSE al riguardo, promuove un uso dell’IA innovativo, affidabile nel pieno del rispetto dei diritti umani e i valori democratici. Le esclusioni dal perimetro del Regolamento, dovranno essere applicate non solo a fornitori, importatori e distributori, ma anche a chi utilizza l’AI nella propria attività professionale.
Usi vietati
Seguendo l’approccio risk based, l’AI Act fa un elenco di pratiche proibite in Europa. Per esempio, sono tali le “tecniche di manipolazione cognitivo comportamentale, il riconoscimento delle emozioni nei luoghi di lavoro o a scuola, il social scoring e la polizia predittiva”. Sono invece ammessi sistemi di analisi del rischio che non profilano individui. Risulta vietato anche l’uso dei sistemi d’identificazione biometrica remota in tempo reale e negli spazi pubblici.
Tale pratica è concessa in tre circostanze soltanto:
- la ricerca di vittime di alcuni gravi delitti o di persone scomparse;
- la prevenzione di minacce alla sicurezza/incolumità pubblica o di attacchi terroristici; l
- a localizzazione o identificazione dei sospettati per la commissione di certi reati.
Il riconoscimento facciale e biometrico
Il tema del riconoscimento facciale e biometrico in tempo reale e l’utilizzo dei sistemi a ciò finalizzati resta un’applicazione proibita, in quanto può portare “a risultati marcati da pregiudizi e provocare effetti discriminatori”, salvo quelle tre situazioni sopra elencate. Ne consegue che tale pratica deve essere utilizzata “solo per confermare l’identità” dell’individuo, dopo aver fatto un’analisi del rischio che si corre nell’evitare di ricorrere a questa tecnologia per lo stretto necessario, “nello spazio e nel tempo”. É comunque ammesso l’uso di questi strumenti solo ad autorizzazione preventiva ottenuta da un’Autorità competente, amministrativa o giudiziaria, producendo entro non oltre le 24 ore successive giusta autorizzazione. In caso contrario ogni operazione dovrà essere subito sospesa, cancellando tutti i dati raccolti.
Obblighi per i sistemi ad alto rischio
Il Regolamento intende poi disciplinare in maniera molto stretta e rigorosa le “applicazioni di AI ad alto rischio”, come il riconoscimento delle emozioni, il monitoraggio degli studenti durante gli esami o la selezione del personale, per smascherare frodi finanziarie o stabilire il grado di rischio in caso di assicurazione, ecc. In sostanza, tutti i sistemi che mettono a repentaglio la salute, sicurezza e i diritti fondamentali dei cittadini sono vietati. I sistemi ad alto rischio devono poi rispettare una serie di requisiti, come la data governance, la privacy, la cybersecurity. Chi sviluppa questi sistemi, è tenuto a rispettare in primis la privacy gestendo in modo trasparente i dati, registrando correttamente e automaticamente i log che saranno da conservare per tutto il ciclo di vita dell’algoritmo, affinché si possa risalire a eventuali situazioni di rischio sin dalle origini. Gli sviluppatori dovranno comunicare il livello di accuratezza dell’AI, ivi comprese le “metriche” stabilite dalla Commissione, in termini di robustezza e sicurezza informatica.
Sistemi di AI generativa e finalità generali
Il testo poi intende regolamentare i “sistemi di AI per uso generale” in grado cioè di svolgere svariati compiti come, ad esempio, creare un’immagine o riprodurre un testo, grazie alla mole di dati non categorizzati immessi, per esempio, nei chatbot. Di qui, l’importanza che i contenuti generati da una macchina siano riconoscibili come prodotti da un’AI, dal momento che un utente deve sapere con “chi” sta interagendo e deve essere messo nelle condizioni di poter riconoscere contenuti falsi/fake news deep-fake, che andranno etichettati in quanto tali grazie a sistemi come la filigrana. Perciò il ddl in parola intende stabilire una soglia identificante i sistemi ad alto rischio/impatto il cui valore dev’essere “un’unità di misura della capacità computazionale”. Qualora dovesse superare tale soglia, ecco che si sarà “a rischio sistemico”.
Supporto all’innovazione
Per creare un equilibrio tra protezione e sostegno al progresso, l’AI Act riserva poi una serie di agevolazioni a startup e PMI, introducendo strumenti come gli spazi di sperimentazione normativa e i codici di condotta.
Insomma, un work in progress importante, laddove il supporto all’innovazione è, e dev’esserlo, in prima linea.
Autorità, uffici, controllo e sanzioni
L’AI Act intende, tra gli altri, delegare altresì una serie di controlli alle Autorità locali che, nei due anni successivi all’entrata in vigore, dovranno istituire una sandbox regolatoria almeno, a livello nazionale. In pratica, andrà previsto uno “schema che consenta di effettuare test in sicurezza, in deroga alla legge, per non soffocare l’innovazione a causa dei troppi obblighi da rispettare e sostenere l’addestramento di algoritmi, anche con test condotti nel mondo reale”.
La Commissione dovrà avere un Consiglio dell’AI. Il Garante europeo dei dati personali sarà invitato quale “osservatore”, così come l’Ufficio dell’AI sarà collocato sotto la Direzione generale Connect.
Chi non si adeguerà all’AI Act rischierà multe fino a 35 milioni di euro o al 7% del fatturato globale qualora incorra in usi vietati. Se poi saranno coinvolti sistemi ad alto rischio o quelli di uso generale, la sanzione potrà ammontare fino a un massimo di 15 milioni o del 3% del fatturato globale. In caso di informazioni scorrette, infine multe fino a un tetto di 7,5 milioni di euro o dell’1% del fatturato globale.
AI ACT, a quando le nuove regole
Una volta approvato il testo, questo diventerà definitivo, potendone solo allora parlare in termini di reale ed effettiva “approvazione”, fase che coinciderà con l’uscita del testo in Gazzetta Ufficiale europea. Fino ad allora dobbiamo andare cauti con le valutazioni.
RIPRODUZIONE RISERVATA ® 
