Manca poco all’approvazione del nuovo regolamento europeo sull’intelligenza artificiale. Negli scorsi giorni è trapelato il testo che a breve sarà votato in Europa. È l’ultima tappa di un percorso iniziato ad aprile 2021 con la proposta della Commissione, seguita dalle posizioni di Consiglio e Parlamento. Lo scorso dicembre è arrivato l’accordo politico provvisorio e nelle scorse settimane il testo è stato rifinito per percorrere l’ultimo miglio. Scopriamo allora i principali contenuti di quella che sarà la prima legge al mondo sull’IA.
La definizione di IA e le materie escluse
L’AI Act disciplina lo sviluppo, l’immissione sul mercato e l’utilizzo dei «sistemi di IA». Alla fine, le istituzioni europee hanno scelto la definizione di IA dell’OCSE, abbandonando la proposta della Commissione di rinviare a una elenco tassativo di tecnologie. Il regolamento – che ha portata extraterritoriale – si applica a fornitori, importatori e distributori, ma anche a chi utilizza un’IA sotto la propria autorità, ad eccezione dell’attività personale non professionale.
È escluso anche l’utilizzo per scopi militari, di difesa o di sicurezza nazionale, per finalità di ricerca scientifica e in tutti i settori non regolati dal diritto europeo. La legge non si applica nemmeno ai sistemi di IA rilasciati sotto licenze free e open source (a meno che non siano usi proibiti o a rischio).
Gli usi vietati
Seguendo un approccio basato sul rischio, l’AI Act elenca una serie di pratiche bandite in Europa. Vi rientrano, ad esempio, le tecniche di manipolazione cognitivo comportamentale, il riconoscimento delle emozioni nei luoghi di lavoro o a scuola, il social scoring e la polizia predittiva.
È vietato anche l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico. Si tratta di una delle eccezioni sui cui più si è discusso in questi anni. Alla fine, è stato deciso di ammetterla in sole tre circostanze: la ricerca di vittime di alcuni gravi delitti o di persone scomparse, la prevenzione di minacce all’incolumità pubblica o di attacchi terroristici, la localizzazione o l’identificazione di sospettati di certi reati. Per avvalersi di questi strumenti è necessario ottenere l’autorizzazione preventiva di un’autorità giudiziaria o amministrativa, ma in caso di urgenza si può procedere senza, a condizione però di farsi autorizzare entro 24 ore. In caso di rifiuto occorre interrompere ogni operazione e cancellare tutti i dati raccolti.
Gli obblighi per i sistemi ad alto rischio
Il regolamento detta regole molto rigorose per le applicazioni di IA ad alto rischio, come il riconoscimento delle emozioni, il monitoraggio degli studenti durante gli esami o la selezione del personale. Si può però dimostrare che questi sistemi, anche se inclusi nell’elenco fatto dal regolamento, non presentano un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali.
I sistemi ad alto rischio devono rispettare a una serie di requisiti, ad esempio in materia di gestione dei rischi, data governance, documentazione tecnica e cybersicurezza. Ci sono anche misure di trasparenza, come l’adozione di istruzioni d’uso, e per garantire la supervisione umana degli algoritmi (ad esempio, si deve progettare un pulsante di “stop” per interrompere il funzionamento dell’IA). Bisogna inoltre sottoporre il sistema a una valutazione di conformità, apporvi la marcatura CE e registrarlo in un apposito database europeo. Tra i nuovi requisiti c’è anche una valutazione d’impatto sui diritti fondamentali.
IA generativa e per finalità generali
Ci sono poi alcune misure di trasparenza per i sistemi di IA a rischio limitato. Si tratta innanzitutto delle applicazioni destinate a interagire con le persone, che devono essere consapevoli di interfacciarsi con un algoritmo. Inoltre, occorre che tutti i prodotti di un’IA generativa siano contrassegnati in un formato leggibile da una macchina e che la loro genesi artificiale sia riconoscibile. Anche per i deep fake bisogna dichiarare che il video o la foto è stato generato o manipolato dall’intelligenza artificiale.
Alcuni nuovi obblighi riguardano i modelli di IA per finalità generali (general purpose AI model). Si tratta di modelli capaci di eseguire una vasta gamma di compiti: è il caso, ad esempio, dell’IA generativa. Tra questi ci sono l’adozione di una policy per rispettare il diritto d’autore europeo e la pubblicazione di report sui contenuti utilizzati per il training delle macchine. Misure ulteriori si applicano se uno di questi modelli è considerato a rischio sistemico (ciò si presume quando la potenza di calcolo utilizzata per l’addestramento supera 10^25 FLOPS).
Supporto all’innovazione, autorità e sanzioni
Per creare un equilibrio tra protezione e sostegno al progresso, l’AI Act riserva una serie di agevolazioni a startup e PMI e introduce strumenti come gli spazi di sperimentazione normativa e i codici di condotta.
Sul piano della governance, a livello europeo l’organo di riferimento sarà l’European Artificial Intelligence Board, composto da rappresentanti degli Stati membri. La Commissione istituirà poi l’European AI Office e verranno costituiti un Advisory forum e un gruppo scientifico di esperti indipendenti. A livello nazionale, ogni Paese avrà la proprie autorità di controllo, a cui ogni cittadino o impresa avrà il diritto di presentare reclami.
Violare le norme dell’AI Act costerà caro. Per le trasgressioni più gravi sono previste sanzioni fino a 35 milioni di euro o, per le società, fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Per le altre ipotesi di non conformità si scende a 15 milioni e al 3%, mentre in caso di informazioni inesatte alle autorità i massimali sono 7,5 milioni e 1%.
Da quando si applicheranno le nuove regole
Una volta approvato, dovranno passare 24 mesi prima della piena applicazione del regolamento. Alcune norme, però, diventeranno operative già dopo sei mesi (per le pratiche di IA vietate), altre dopo un anno (per l’IA per finalità generali), altre ancora dopo tre anni (per alcuni sistemi di IA ad alto rischio).
Fonte : Repubblica
