Il Consiglio dell’UE ha approvato l’Artificial Intelligence Act (AI Act), la prima regolamentazione completa sull’IA al mondo.
Questa legislazione stabilisce norme uniformi per l’uso dei sistemi di IA nell’Unione, utilizzando un approccio basato sul rischio.
Il processo legislativo dell'AI Act ha subito un ritardo nel dicembre 2022 in seguito all'introduzione di ChatGPT.
Di conseguenza, la bozza del testo è stata rivista per includere norme specifiche per l’IA generativa. Si prevede che la legge sarà finalizzata e votata durante una sessione plenaria prevista per il 10 e 11 aprile 2024.
Ecco i punti salienti:
1. Definizione Estesa dell'IA: Focus su Autonomia e Adattabilità in Ambienti Fisici e Virtuali
L’ambito dei sistemi di intelligenza artificiale è stato ampiamente definito, concentrandosi sull’autonomia e sulla capacità di adattamento.
La definizione comprende qualsiasi sistema basato su macchina che dimostri diversi livelli di autonomia, possa adattarsi dopo l'implementazione e influenzi ambienti fisici o virtuali.
2. Esiste un elenco chiuso di pratiche di IA vietate, tra cui:
- Utilizzo di tecniche subliminali o manipolative per distorcere in modo significativo il comportamento.
- Sfruttare le vulnerabilità di individui o gruppi, provocando gravi danni.
- Sistemi di categorizzazione biometrica che classificano le persone in base a informazioni sensibili, ad eccezione degli scopi di applicazione della legge.
- Sistemi di punteggio sociale.
- Sistemi di identificazione biometrica remota in tempo reale utilizzati negli spazi pubblici per le forze dell'ordine.
- Polizia predittiva basata esclusivamente sulla profilazione o sui tratti della personalità, a meno che non supporti valutazioni umane basate su fatti oggettivi legati alla criminalità.
- Database di riconoscimento facciale creati tramite scraping non mirato.
- Inferire emozioni nei luoghi di lavoro o negli istituti scolastici, ad eccezione di motivi medici o di sicurezza.
- La legge introduce una duplice definizione di sistemi di IA ad alto rischio, classificandoli in due categorie:
- L'intelligenza artificiale destinata a essere utilizzata come prodotto o componente di sicurezza regolamentato da una specifica legislazione dell'UE.
3. Doppia definizione di sistemi di intelligenza artificiale ad alto rischio
Una parte importante della legge sull’intelligenza artificiale prevede una regolamentazione rigorosa ed estensiva dei sistemi di intelligenza artificiale ad alto rischio.
Nella pratica sarà quindi della massima importanza per un’impresa impegnata nel settore dell’intelligenza artificiale determinare se il sistema di intelligenza artificiale che sviluppa, importa, distribuisce o impiega costituisce un sistema di intelligenza artificiale ad alto rischio.
La legge sull’AI considera due tipi di sistemi di IA considerati ad alto rischio:
L'intelligenza artificiale destinata a essere utilizzata come prodotto (o componente di sicurezza di un prodotto) disciplinato da una normativa specifica dell'UE, come l'aviazione civile, la sicurezza dei veicoli, l'equipaggiamento marittimo, i giocattoli, gli ascensori, le attrezzature a pressione e i dispositivi di protezione individuale.
Sistemi di IA elencati nell'allegato III, come i sistemi di identificazione biometrica remota, l'IA utilizzata come componente di sicurezza nelle infrastrutture critiche e l'IA utilizzata nell'istruzione, nell'occupazione, nel punteggio del credito, nell'applicazione della legge, nella migrazione e nel processo democratico.
Possiamo aspettarci linee guida che specifichino l’attuazione pratica della classificazione dei sistemi di IA, completate da un elenco completo di esempi pratici di casi d’uso ad alto e non ad alto rischio sui sistemi di IA entro e non oltre 18 mesi dall’entrata in vigore della legge sull’IA .
4. Esiste un’importante eccezione alla seconda categoria di sistemi di IA ad alto rischio.
Se il sistema è progettato per eseguire un compito procedurale ristretto, migliorare i risultati di precedenti attività umane o rilevare modelli decisionali senza sostituire la valutazione umana, non sarà considerato ad alto rischio.
5. I fornitori di sistemi di IA ad alto rischio devono garantire che i loro sistemi siano affidabili, trasparenti e responsabili.
Sono responsabili di condurre valutazioni del rischio, utilizzare dati di alta qualità, documentare le proprie scelte, conservare i registri di sistema, informare gli utenti, consentire la supervisione umana e garantire accuratezza, robustezza e sicurezza informatica.
6. Gli obblighi si estendono lungo tutta la catena del valore, compresi “importatori”, “distributori” e “distributori” di sistemi di IA ad alto rischio.
Importatori e distributori devono verificare la conformità di questi sistemi. Gli addetti alla distribuzione sono tenuti a rispettare le istruzioni del fornitore e a garantire la supervisione e l'intervento umano.
7.La Necessità di Valutazioni d'Impatto sui Diritti Fondamentali per l'Implementazione di Sistemi di IA ad Alto Rischio nel Settore Pubblico e Privato
Gli enti del settore pubblico e gli enti privati che forniscono servizi pubblici sono tenuti a condurre una valutazione d’impatto sui diritti fondamentali prima di implementare sistemi di IA ad alto rischio.
Questa valutazione riguarda i rischi, le misure di supervisione, le persone interessate e la frequenza di utilizzo.
8. La responsabilità lungo la catena del valore può cambiare.
Se un soggetto diverso dal fornitore modifica il sistema di IA o ne cambia lo scopo previsto, rendendolo ad alto rischio, può essere considerato fornitore e soggetto agli obblighi associati.
9. Sistemi di Ai ad alto rischio
Per i sistemi di IA ad alto rischio le persone hanno il diritto a una spiegazione del ruolo del sistema nei processi decisionali.
Ciò potrebbe innescare conflitti con i fornitori che proteggono i segreti commerciali.
10. Diritto degli individui
Gli individui hanno un ampio diritto di denunciare potenziali violazioni della legge sull’AI alle autorità di vigilanza del mercato, senza l’obbligo di dimostrare la propria legittimazione.
11. I modelli General Purpose AI (GPAI) sono regolamentati separatamente.
I modelli GPAI che presentano rischi sistemici comportano obblighi aggiuntivi, come l’esecuzione di valutazioni dei modelli e la risoluzione dei problemi di sicurezza informatica.
12. Obblighi di Trasparenza e Etichettatura per Sistemi di IA e Modelli GPAI nell'Interazione Umano-Macchina e nella Generazione di Contenuti Sintetici
Alcuni sistemi di intelligenza artificiale e modelli GPAI sono soggetti a speciali obblighi di trasparenza, compresi i sistemi destinati a interagire con gli esseri umani e quelli che generano contenuti sintetici.
In questi casi, gli utenti devono essere informati e potrebbe essere necessario etichettare il contenuto come generato artificialmente.
13. Struttura di Governance e Ruoli nell'Enforcement della Legge sull'AI: Ufficio AI, Autorità Nazionali e di Vigilanza del Mercato
La legge sull’AI è associata a una complessa struttura di governance che coinvolge più entità, come l’Ufficio AI, le autorità nazionali competenti e le autorità di vigilanza del mercato.
Questi organismi faranno rispettare le regole, esamineranno i reclami e imporranno sanzioni.
14. Sanzioni Salate per Inadempienze nell'IA: Multe fino a 35 Milioni di Euro o il 7% del Fatturato Globale
Le sanzioni per inadempienza sono significative e arrivano fino a 35 milioni di euro o al 7% del fatturato annuo globale dell'azienda. Per i sistemi di IA ad alto rischio la sanzione può arrivare a 15 milioni di euro o al 3% del fatturato.
15. L'AI Act e la Sua Integrazione con le Leggi Esistenti su Proprietà Intellettuale, Protezione dei Dati e Sicurezza Informatica
L’AI Act verrà applicato insieme ad altre leggi e regolamenti che disciplinano l’IA, compresi quelli relativi alla proprietà intellettuale, alla protezione dei dati, ai contratti e alla sicurezza informatica.
La legge sull’AI dovrebbe essere pubblicata a metà del 2024, con tempistiche di conformità variabili.
Mentre le norme sulle pratiche vietate di IA entreranno in vigore dopo sei mesi, la maggior parte degli altri obblighi entreranno in vigore dopo 24 mesi.
Nel frattempo, le norme per i sistemi di IA ad alto rischio verranno introdotte dopo 36 mesi, mentre quelle per i sistemi ad alto rischio utilizzati dalle autorità pubbliche entreranno in vigore dopo 48 mesi.