Il 2 febbraio 2024, l’Unione Europea ha fatto un passo storico nella regolamentazione dell’intelligenza artificiale (IA) con l’approvazione definitiva del testo dell’AI Act (qui il testo completo: https://data.consilium.europa.eu/doc/document/ST-5662-2024-INIT/en/pdf).
Questo atto normativo rappresenta il primo tentativo al mondo di fornire un quadro regolamentare olistico per la gestione dell’IA, segnando un momento cruciale per la legislazione tecnologica globale.
L’AI Act mira a stabilire un equilibrio tra il fomentare l’innovazione e l’adozione dell’IA, proteggendo al contempo i diritti fondamentali dei cittadini europei.
Centrali a questa normativa sono le disposizioni volte a mitigare i rischi che l’IA può presentare alla società e alla democrazia. In particolare, il regolamento categorizza i sistemi di IA in base al livello di rischio che presentano, introducendo restrizioni specifiche per quelli considerati ad alto rischio (vedi scheda ad espansione qui di seguito).
Classificazione dei sistemi di intelligenza artificiale ad alto rischio come definita nell’AI Act
- Biometria:
- Sistemi di identificazione biometrica a distanza.
- Sistemi AI per la categorizzazione biometrica basata su attributi o caratteristiche sensibili o protette.
- Sistemi AI per il riconoscimento delle emozioni.
Esempio: un’azienda che sviluppa sistemi di riconoscimento facciale per aeroporti o altre infrastrutture critiche dovrà assicurarsi che i suoi prodotti siano conformi ai rigorosi standard di sicurezza e privacy imposti dall’AI Act. Questo potrebbe includere l’implementazione di meccanismi di consenso esplicito degli utenti e la garanzia che i dati biometrici siano trattati in modo sicuro.
- Infrastrutture critiche:
- Sistemi AI utilizzati come componenti di sicurezza nella gestione e operatività delle infrastrutture digitali critiche, traffico stradale, fornitura di acqua, gas, riscaldamento ed elettricità.
Esempio: la gestione della rete elettrica attraverso un sistema AI che prevede e gestisce la distribuzione dell’energia, richiedendo standard elevati di affidabilità e sicurezza per prevenire malfunzionamenti o interruzioni.
- Sistemi AI utilizzati come componenti di sicurezza nella gestione e operatività delle infrastrutture digitali critiche, traffico stradale, fornitura di acqua, gas, riscaldamento ed elettricità.
- Educazione e formazione professionale:
- Sistemi AI per determinare l’accesso, l’ammissione o l’assegnazione a istituti di istruzione e formazione professionale.
- Sistemi AI per valutare i risultati di apprendimento.
- Sistemi AI per monitorare e rilevare comportamenti proibiti degli studenti durante i test.
Esempio: piattaforma di AI per l’ammissione universitaria che analizza le candidature per determinare l’idoneità degli studenti, dovendo assicurare equità e trasparenza nelle decisioni di ammissione.
- Occupazione, gestione dei lavoratori e accesso al lavoro autonomo:
- Sistemi AI per il reclutamento o la selezione di persone, compresa la pubblicità mirata e la valutazione dei candidati.
- Sistemi AI per prendere decisioni che influenzano i termini delle relazioni lavorative, la promozione e la cessazione di rapporti contrattuali lavorativi.
Esempio: le piattaforme di intelligenza artificiale utilizzate per filtrare le candidature o per valutare i candidati dovranno essere progettate per evitare pregiudizi e garantire la trasparenza delle decisioni. Le aziende che utilizzano queste tecnologie dovranno rivedere i loro processi per assicurarsi che rispettino i criteri di equità e non discriminazione previsti dall’AI Act.
- Accesso e godimento di servizi privati essenziali e servizi pubblici e benefici:
- Sistemi AI utilizzati dalle autorità pubbliche per valutare l’idoneità dei cittadini a ricevere assistenza pubblica essenziale e servizi.
- Sistemi AI per valutare l’affidabilità creditizia delle persone o stabilire il loro punteggio creditizio.
- Sistemi AI per valutare e classificare le chiamate di emergenza.
Esempio: applicazione AI utilizzata da una banca per valutare l’idoneità al credito, che deve evitare discriminazioni e garantire che le valutazioni siano basate su criteri trasparenti e giusti.
- Applicazione della legge:
- Sistemi AI utilizzati dalle autorità di applicazione della legge per valutare il rischio che una persona diventi vittima di reati.
- Sistemi AI per valutare l’affidabilità delle prove nel corso delle indagini o dei procedimenti penali.
- Sistemi AI per il profiling di persone nel contesto della rilevazione, indagine o persecuzione di reati.
Esempio:sistema AI per la previsione dei crimini utilizzato da un dipartimento di polizia, che deve essere attentamente monitorato per assicurare che non conduca a pratiche di sorveglianza ingiuste o discriminatorie.
- Gestione della migrazione, dell’asilo e del controllo delle frontiere:
- Sistemi AI utilizzati dalle autorità competenti per valutare i rischi, compresi i rischi di sicurezza, migrazione irregolare o rischi per la salute.
- Sistemi AI per assistere le autorità competenti nell’esame delle domande di asilo, visti e permessi di soggiorno.
Esempio: strumento AI per l’analisi del rischio nei controlli di frontiera, che valuta i potenziali rischi associati ai viaggiatori, dovendo rispettare i diritti fondamentali e evitare profilazioni ingiuste.
- Amministrazione della giustizia e processi democratici:
- Sistemi AI utilizzati dall’autorità giudiziaria per assistere nella ricerca e interpretazione dei fatti e della legge.
- Sistemi AI per influenzare l’esito di elezioni o referendum o il comportamento di voto delle persone.
Esempio: sistema AI per assistere nella decisione giudiziaria, usato per analizzare i precedenti e suggerire interpretazioni della legge, che deve garantire che le raccomandazioni siano basate su logiche comprensibili e non pregiudizievoli.
Uno degli aspetti più dibattuti dell’AI Act è stata la sua posizione sui cosiddetti “modelli fondamentali” di IA, come le piattaforme di IA generativa tipo ChatGPT. Il legislatore europeo ha deciso di regolamentare non solo i prodotti finali immessi sul mercato ma anche l’intera catena di produzione dell’IA, inclusi questi modelli fondamentali. Questa decisione ha sollevato discussioni significative, con alcuni attori che preferivano un approccio regolamentare meno invasivo.
Il regolamento stabilisce inoltre una “blacklist” di pratiche di IA considerate inaccettabili per il loro potenziale di minacciare i diritti umani, come le applicazioni che manipolano il comportamento umano per aggirare il libero arbitrio. Allo stesso tempo, introduce l’obbligo per gli sviluppatori e i distributori di IA di garantire che gli utenti siano consapevoli di interagire con una macchina, richiedendo che i deepfake e altri contenuti generati dall’IA siano chiaramente etichettati.
Le violazioni delle disposizioni dell’AI Act possono comportare multe significative, che vanno da un minimo di 7,5 milioni di euro o l’1,5% del fatturato globale, fino a un massimo di 35 milioni di euro o il 7% del fatturato globale, a seconda della gravità della violazione. Questo evidenzia la determinazione dell’UE a far rispettare rigorosamente le nuove regole.
La reazione del settore è stata mista. Alcuni hanno criticato l’AI Act per le potenziali restrizioni all’innovazione e l’aggiunta di oneri amministrativi per le aziende. Tuttavia, altri hanno accolto positivamente il tentativo di creare un ambiente digitale più sicuro e responsabile. Le preoccupazioni esistono anche per le implicazioni sul riconoscimento facciale in tempo reale e la sorveglianza biometrica, con alcune voci che sollevano dubbi sulla loro regolamentazione all’interno dell’atto.
L’AI Act segna un punto di svolta nella regolamentazione dell’intelligenza artificiale, cercando di navigare le complesse acque tra l’innovazione tecnologica e la protezione dei diritti individuali. La sua implementazione e gli effetti a lungo termine saranno osservati attentamente da legislatori, aziende e società civile in tutta Europa e oltre.
Quali sono le implicazioni per le aziende?
- Requisiti per i sistemi di intelligenza artificiale ad alto rischio: le aziende che sviluppano o utilizzano sistemi di IA classificati come ad alto rischio dovranno conformarsi a requisiti rigorosi, inclusi la gestione del rischio, la trasparenza, la supervisione umana, e la robustezza. Questo potrebbe richiedere significative revisioni nei processi di sviluppo e valutazione dei sistemi di IA.
- Obblighi di documentazione e registrazione: sarà necessario che le aziende mantengano una documentazione dettagliata sui processi di sviluppo, valutazione e deployment dei loro sistemi di IA ad alto rischio, e potrebbero essere tenute a registrare questi sistemi in un database dell’UE.
- Implicazioni per la privacy e la protezione dei dati: le aziende dovranno garantire che i loro sistemi di IA rispettino i principi di minimizzazione dei dati e di protezione dei dati fin dalla progettazione, in linea con il GDPR e altre normative sulla protezione dei dati. Potrebbero essere necessari ulteriori misure come l’anonimizzazione e la crittografia dei dati.
- Supervisione umana e responsabilità: i sistemi di IA ad alto rischio dovranno essere progettati in modo da permettere una supervisione umana efficace, garantendo che gli esseri umani possano comprendere, monitorare e intervenire sull’operato del sistema. Questo potrebbe implicare la formazione specifica per gli operatori e la creazione di protocolli per la supervisione umana.
- Rischi specifici associati all’uso di dati biometrici: i sistemi che elaborano dati biometrici saranno sottoposti a requisiti particolarmente stringenti, data la loro capacità di incidere sui diritti fondamentali e sulla privacy delle persone. Questo potrebbe influenzare l’uso di tecnologie come il riconoscimento facciale o l’identificazione emotiva.
- Gestione del rischio e robustezza tecnica: le aziende dovranno adottare un sistema di gestione del rischio continuo e iterativo per tutta la vita del sistema di IA, finalizzato a identificare e mitigare i rischi per la salute, la sicurezza e i diritti fondamentali. Inoltre, dovranno garantire che i loro sistemi di IA siano tecnicamente robusti, accurati e sicuri.
Queste implicazioni richiederanno un’attenta valutazione da parte delle aziende che operano con l’intelligenza artificiale, nonché l’adozione di pratiche di conformità appropriate per assicurare che i loro sistemi di IA rispettino il nuovo quadro normativo dell’UE. La complessità e la portata dell’AI Act rendono fondamentale per le aziende avvalersi di consulenza legale specializzata per navigare efficacemente in questo nuovo ambiente regolatorio.