Il quadro normativo europeo sull’intelligenza artificiale alla luce della recente approvazione del primo regolamento al mondo in materia, lo AI Act
Negli ultimi anni, l’intelligenza artificiale ha assunto un ruolo fondamentale nella trasformazione digitale di diversi settori, dall’industria all’assistenza sanitaria, dalla mobilità alla finanza. Questo rapido avanzamento ha reso cruciale la necessità di regolamentare la tecnologia, data la sua intrinseca complessità etica.
There is no ads to display, Please add some
Da aprile 2021, l’UE ha lavorato all’Artificial Intelligence Act (AI Act), un primo quadro normativo sull’intelligenza artificiale il cui obiettivo è quello di assicurare che i sistemi AI utilizzati all’interno dell’Unione Europea siano completamente in linea con i diritti e i valori dell’UE, garantendo il controllo umano, la sicurezza, la privacy, la trasparenza, la non discriminazione e il benessere sociale e ambientale.
Il Regolamento mira, inoltre, a stimolare gli investimenti e l’innovazione in tale settore in Europa.
Con il voto del Coreper del 2 febbraio 2024, gli Stati membri dell’UE hanno approvato formalmente e definitivamente il testo dell’AI Act: questa intesa si basa sull’accordo provvisorio raggiunto con i negoziatori del Parlamento europeo l’8 dicembre 2023.
Si tratta di un evento estremamente importante per il percorso legislativo dell’AI Act, poiché solo ora si può finalmente dire che le negoziazioni sul testo sono definitivamente chiuse.
I prossimi passaggi procedurali, ovvero l’approvazione da parte del Parlamento Europeo (in Commissione e in Aula, quest’ultima prevista nell’aprile 2024) e la successiva pubblicazione del testo sulla Gazzetta Ufficiale, appaiono passaggi evidenti o meramente formali.
Il testo integrale, dopo il voto finale di Parlamento e Consiglio, entrerà in vigore dopo 20 giorni dalla pubblicazione sulla Gazzetta Ufficiale. L’accordo provvisorio prevede che l’AI Act si applicherà due anni dopo la sua entrata in vigore.
Un altro importante passaggio normativo sarà quello del 21 febbraio 2024, quando entrerà in vigore la decisione della Commissione europea che stabilisce la nascita dell’Ufficio europeo per l’Intelligenza Artificiale (AI Office), all’interno della Direzione generale delle Reti di comunicazione, dei contenuti e delle tecnologie (DG CNECT).
Tale ufficio sarà incaricato di supervisionare modelli avanzati di AI, contribuire a promuovere norme e pratiche di prova e far rispettare le norme comuni in tutti gli Stati membri.
Un gruppo scientifico di esperti indipendenti fornirà consulenza all’ufficio per l’AI in merito ai modelli per finalità generali, contribuendo allo sviluppo di metodologie per valutare le capacità dei modelli di base, fornendo consulenza sulla designazione e l’emergere di modelli di base ad alto impatto e monitorando i possibili rischi materiali di sicurezza connessi ai modelli di base.
I punti chiave dell’AI Act
Con l’approvazione dell’AI Act, l’Unione Europea è la prima organizzazione sovranazionale a regolamentare l’utilizzo dell’Intelligenza Artificiale.
Nell’articolo 3 del Regolamento è contenuta la prima definizione legislativa al mondo di Intelligenza Artificiale:
“L’intelligenza artificiale consiste in una famiglia di tecnologie in rapida evoluzione che può contribuire al conseguimento di un’ampia gamma di benefici a livello economico e sociale nell’intero spettro delle attività industriali e sociali.
L’uso dell’intelligenza artificiale, garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale ed ambientale, ad esempio in materia di assistenza sanitaria, agricoltura, istruzione e formazione, gestione delle infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza dal punto di vista energetico e delle risorse, mitigazione dei cambiamenti climatici e adattamento ad essi”.
L’idea principale della legge è quella di regolamentare l’AI sulla base della capacità di quest’ultima di causare danni alla società seguendo un approccio “basato sul rischio”: tanto maggiore è il rischio, quanto più rigorose sono le regole.
In quanto prima proposta legislativa di questo tipo al mondo, può fissare uno standard globale per la regolamentazione dell’AI in altre giurisdizioni, come ha fatto il regolamento generale sulla protezione dei dati, promuovendo in tal modo l’approccio europeo alla regolamentazione della tecnologia sulla scena mondiale.
Rispetto alla proposta iniziale della Commissione, l’accordo raggiunto dal Coreper prevede le seguenti garanzie: regole sui modelli di AI per finalità generali ad alto impatto che possono comportare rischi sistemici in futuro, nonché sui sistemi di AI ad alto rischio; un sistema di governance riveduto con alcuni poteri di esecuzione a livello dell’UE; l’ampliamento dell’elenco dei divieti, ma con la possibilità di utilizzare l’identificazione biometrica remota da parte delle autorità di contrasto negli spazi pubblici, fatte salve le tutele; una migliore protezione dei diritti tramite l’obbligo per gli operatori di sistemi di AI ad alto rischio di effettuare una valutazione d’impatto sui diritti fondamentali prima di utilizzare un sistema di AI.
Ambiti di applicazione dell’AI Act
Il regolamento non si applica a settori che non rientrano nell’ambito di applicazione del diritto dell’Ue e non dovrebbe, in ogni caso, incidere sulle competenze degli Stati membri in materia di sicurezza nazionale o su qualsiasi entità competente in questo ambito.
Inoltre, il regolamento non si applicherà ai sistemi utilizzati esclusivamente per scopi militari o di difesa. Analogamente, l’accordo prevede che il regolamento non si applichi ai sistemi di AI utilizzati solo a scopo di ricerca e innovazione o alle persone che utilizzano l’AI per motivi non professionali.
Livello di protezione e pratiche vietate
L’accordo stabilisce un livello orizzontale di protezione, compresa una classificazione ad alto rischio, al fine di garantire che non siano inclusi i sistemi di AI che non presentano il rischio di causare gravi violazioni dei diritti fondamentali o altri rischi significativi.
I sistemi di AI che presentano solo un rischio limitato sarebbero soggetti a obblighi di trasparenza molto leggeri, ad esempio rendere noto che il contenuto è stato generato dall’AI, affinché gli utenti possano prendere decisioni informate in merito all’ulteriore utilizzo.
Un’ampia gamma di sistemi di AI ad alto rischio sarebbe autorizzata, ma soggetta a una serie di requisiti e obblighi per ottenere accesso al mercato dell’Ue. Tali requisiti sono stati chiariti e adeguati dai colegislatori, in modo tale da renderli tecnicamente più realizzabili e meno onerosi per i portatori di interessi, ad esempio per quanto riguarda la qualità dei dati, o in relazione alla documentazione tecnica che le Pmi dovrebbero redigere per dimostrare che i loro sistemi ad alto rischio sono conformi ai requisiti.
Per alcuni usi dell’AI, il rischio è considerato inaccettabile, pertanto tali sistemi saranno vietati dall’Ue. L’accordo vieta, ad esempio, la manipolazione comportamentale cognitiva, lo scraping non mirato delle immagini facciali da Internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, il punteggio sociale, la categorizzazione biometrica per dedurre dati sensibili, quali l’orientamento sessuale o le convinzioni religiose, e alcuni casi di polizia predittiva per le persone.
AI Act e AI generativa
Il regolamento europeo sull’Intelligenza Artificiale ha introdotto una regolamentazione specifica per i “foundation model”, ora “General Purpose AI Model” (GPAI) ossia l’AI generativa. Questi modelli, fondamentali per lo sviluppo di sistemi AI vari, saranno soggetti a obblighi di trasparenza e valutazione del rischio, con una distinzione tra modelli generici e sistemici.
I “GPAI” sono quei modelli in grado di elaborare una sconfinata mole di dati (audio, video, testi, immagini) per scopi generali e la cui tecnologia è successivamente integrata in un altro sistema ad alto rischio. Per questi modelli e per le loro applicazioni di AI generativa (alla base di sistemi di sistemi come ChatGPT, Gemini e Midjourney) il regolamento distingue tra GPAI ad “alto impatto” e “non ad alto impatto”, predisponendo rispettivamente due livelli di obblighi.
Per i sistemi “non ad alto impatto” è previsto il rispetto, al momento della loro introduzione sul mercato a scopi commerciali, di adempimenti specifici atti a garantire la sicurezza informatica, la trasparenza dei processi di addestramento e la condivisione della documentazione tecnica.
Andrà dunque pubblicata una lista contenente indicazione dei materiali utilizzati nell’addestramento degli algoritmi, onde rendere riconoscibili i contenuti generati e tutelare, per questa via, i diritti d’autore.
Per quelli invece “ad alto impatto” – suscettibili di ingenerare rischi sistemici significativi lungo la catena del valore – viene predisposto, prima del loro ingresso sul mercato, uno specifico sistema di valutazione dei pericoli e delle relative strategie di mitigazione, oltre che l’obbligo di comunicare eventuali incidenti alla Commissione dotata, in ragione di ciò, di apposito AI Office, chiamato a supervisionare i modelli IA avanzati, a promuovere standard e pratiche di test e a far rispettare le regole comuni nei paesi membri.
Sanzioni
Le sanzioni pecuniarie per le violazioni del regolamento sull’AI sono state fissate in percentuale del fatturato annuo globale nell’esercizio finanziario precedente della società che ha commesso il reato o, se superiore, in un importo predeterminato.
Ciò ammonterebbe a 35 milioni, o il 7% per le violazioni relative ad applicazioni di IA vietate, 15 milioni o il 3% per violazioni degli obblighi del regolamento sull’AI e 7,5 milioni o l’1,5% per la fornitura di informazioni inesatte. Tuttavia, l’accordo provvisorio prevede massimali più proporzionati per le sanzioni amministrative pecuniarie per le Pmi e le start-up in caso di violazione delle disposizioni del regolamento.
Si chiarisce inoltre che una persona fisica o giuridica può presentare un reclamo alla pertinente autorità di vigilanza del mercato riguardo alla non conformità con il regolamento sull’AI e può aspettarsi che tale reclamo sia trattato in linea con le procedure specifiche di tale autorità.
Leggi altro su Innovazione- Tech