L’AI Act è finalmente legge, dopo l’avvenuta pubblicazione sulla Gazzetta ufficiale europea. Non mancano però le preoccupazioni dell’industria sul corpo di regole che, dal 1 agosto ed entro il tempo massimo di due anni, tutti gli Stati membri dovranno adottare e far rispettare. Qualcuno teme che siano troppo restrittive e che possano soffocare un’industria che ha bisogno di molti capitali per svilupparsi.
La critica: l’AI Act può diventare una “tassa occulta” per le aziende AI europee
In un articolo del Financial Times, Andreas Cleve, amministratore delegato della start-up sanitaria danese Corti, ritiene che sarà difficile attrarre nuovi investitori, convincere i medici a utilizzare il “co-pilota IA” della sua azienda e tenersi aggiornato sugli ultimi progressi nell’intelligenza artificiale generativa. Egli teme che questi sforzi diventeranno più difficili a causa di una nuova preoccupazione: il nuovo Artificial Intelligence (AI) Act dell’UE, una legge senza precedenti che mira a garantire un uso etico della tecnologia. E non è l’unico. Molte start-up tecnologiche temono che questa legislazione dalle buone intenzioni possa soffocare l’industria emergente con eccessiva burocrazia. I costi di conformità, che i funzionari europei ammettono potrebbero ammontare a cifre a sei zeri per un’azienda con 50 dipendenti, rappresentano una sorta di “tassa” aggiuntiva sulle piccole imprese del blocco, afferma Cleve. “Temo una legislazione che diventa difficile da sostenere per una piccola azienda che non può permetterselo,” dice. “È un compito arduo raccogliere fondi e ora ti trovi questa tassa addosso. Devi anche impiegare tempo per capirla.”
Cleve accoglie comunque con favore la regolamentazione dell’AI, poiché ritiene che le salvaguardie sui prodotti che possono causare danni siano molto importanti. “L’ AI Act è una buona idea, ma temo che renderà molto difficile per gli imprenditori di deep tech avere successo in Europa.” La legge, che entrerà formalmente in vigore il 1° agosto e sarà implementata in fasi nei prossimi due anni, è la prima del suo genere, nata dal desiderio dell’UE di diventare il “centro globale per l’AI affidabile”.
Per la tabella di marcia dell’adozione dell’AI Act vedi qui.
L’AI Act promuove l’intelligenza artificiale creando fiducia o ne ostacola lo sviluppo?
La legislazione sull’AI è intesa a favorire la crescita delle nuove tecnologie, secondo i funzionari dell’UE, con regole chiare del gioco. Nasce dai pericoli visti dall’esecutivo dell’UE nell’interazione tra esseri umani e sistemi di AI, inclusi i crescenti rischi per la sicurezza e la protezione dei cittadini dell’UE e le potenziali perdite di posti di lavoro. L’impulso a regolamentare è nato anche dalle preoccupazioni che la sfiducia pubblica nei confronti dei prodotti di AI avrebbe alla fine rallentato lo sviluppo della tecnologia in Europa, lasciando il blocco indietro rispetto a superpotenze come gli Stati Uniti e la Cina. Ma le regole rappresentano anche un tentativo precoce di guidare il processo globale di regolamentazione della tecnologia del futuro, mentre gli Stati Uniti, la Cina e il Regno Unito lavorano anche loro a creare quadri normativi per l’AI.
Introducendo il regolamento, nell’aprile 2021, il capo del digitale, Margrethe Vestager, ha dichiarato: “Con queste regole storiche, l’UE sta guidando lo sviluppo di nuove norme globali per garantire che l’IA possa essere affidabile.”
Il lavoro della commissione è stato sconvolto alla fine del 2022, quando OpenAI ha rilasciato ChatGPT. L’emergere della cosiddetta AI generativa ha rimodellato il panorama tecnologico e ha costretto i parlamentari dell’UE a riscrivere le regole per tenere conto del nuovo sviluppo.
I critici hanno avvertito che tentativi affrettati di regolamentare i modelli di base – i sistemi di AI pre-addestrati che supportano app come ChatGPT, con un’ampia gamma di usi – limiterebbero l’uso della tecnologia stessa, piuttosto che i rischi posti dagli usi dell’AI in generale.
Secondo i critici, le regole dell’AI Act sono “premature”
I legislatori hanno tenuto maratone di discussioni nel dicembre 2023 per portare a termine le regole, ma ora i critici affermano che sono premature. I regolatori hanno lasciato fuori dettagli essenziali urgentemente necessari per dare chiarezza alle aziende che cercano di conformarsi alle regolamentazioni, dicono ⎯ dalle regole chiare sui diritti di proprietà intellettuale a un codice di condotta per le aziende.
Alcuni stimano che l’UE abbia bisogno di 60 o 70 documenti di legislazione secondaria per supportare l’implementazione dell’AI Act.
“La legge è piuttosto vaga,” ammette Kai Zenner, un assistente parlamentare coinvolto nella stesura delle regole. “La pressione temporale ha portato a un risultato in cui molte cose rimangono aperte. [I regolatori] non sono riusciti a concordarle ed è stato più facile comprometterle. È stato un colpo al buio.”
“Questo approccio frammentario ha portato a regolamentazioni mal concepite che ostacoleranno i tentativi dell’Europa di competere con gli Stati Uniti nella produzione delle aziende di AI del futuro”, avverte Cecilia Bonefeld-Dahl, direttore generale di DigitalEurope, che rappresenta il settore tecnologico del continente.
“Il costo extra di conformità per le aziende dell’UE ci sta portando ulteriormente giù,” dice. “Noi assumeremo avvocati mentre il resto del mondo assumerà programmatori.”
Marco Trombetti, co-fondatore di Translated, che effettua le traduzioni di Airbnb in decine di lingue usando l’AI esprime le sue perplessità: “Vedo più di un aspetto problematico: da come dovranno essere i ‘dataset’ per allenare gli algoritmi, alle sanzioni che trovo sproporzionate e che spero non scoraggino giovani e startup a investire. Al contempo – aggiunge -, alcuni rischi veri non sono regolamentati: in primis le armi autonome. Ma anche la trasparenza dietro l’’allineamento’, che è la capacità degli algoritmi di restituire agli utenti risposte allineate con le loro preferenze e potenzialmente in grado di influenzarne in maniera sempre più sottile e pervasiva opinioni e comportamenti”.
Sabrina Pignedoli, europarlamentare del gruppo M5S (che si è astenuto durante la votazione della legge) spiega: “Il testo che è emerso rischia di essere più dannoso che utile. Le definizioni sono troppo vaghe, la ‘misurabilità’ dell’intelligenza artificiale è una chimera e l’AI Act si sovrappone, in alcune parti, ad altre norme europee, andando anche in contraddizione. In questo modo – ribadisce – diventa molto difficile, soprattutto per le piccole e medie imprese, poter avere un quadro normativo chiaro e semplice su cui basare i propri investimenti e la possibilità di accedere a tecnologie di intelligenza artificiale. Il rischio è che invece di promuovere la diffusione di una intelligenza artificiale sicura, si creino barriere d’entrata aumentando i divari e scoraggiando l’innovazione europea”.
In un articolo pubblicato su Agenda Digitale il 10 maggio 2024, Francesco Porzio (Porzio & Partners) fa notare che “Questa disciplina basata sul rischio che si verifichino eventi negativi vieta tutte le finalità non note di strumenti che potrebbero essere usati anche per scopi negativi. Essa pertanto è poco lontana dalla disciplina che sanziona presumendo la colpa senza accertarlo. Essa dunque presenta diverse criticità”. Porzio, dopo aver fatto un elenco di tutte le criticità rilevate nell’AI Act, afferma: “La brutta notizia è dunque che diventa vietato innovare inventando quello a cui il legislatore UE non ha già pensato. Non sarà possibile ideare applicazioni utili e positive con l’Intelligenza Artificiale nel luogo di lavoro o per l’istruzione perché sono vietate a priori né sarà possibile inventare altre finalità positive oltre a quelle mediche e di sicurezza, perché queste sono le uniche consentite”. E conclude: “Questa norma, se ora rassicura chi ha paura dell’ignoto, presto ci andrà stretta o frenerà l’AI in Europa lasciando che le stesse attività siano eseguite da persone. Ma allora il timore era davvero il possibile scopo malevolo con cui si usa l’Intelligenza Artificiale o la paura dell’ignoto o degli impatti di un cambio tecnologico così importante?”.
Silvia Speranza, Regional vicepresident di Appian Italia, una software company che automatizza i processi aziendali, dichiara un atteggiamento sicuramente meno critico, ma sottolinea alcuni aspetti e pone delle richieste. “L’EU AI Act è considerato più restrittivo in merito alla regolamentazione dell’IA rispetto agli approcci adottati da altre potenze globali come Stati Uniti e Regno Unito. Tuttavia, alcuni dei principali Stati membri dell’UE e una percentuale significativa di aziende del settore in Europa preferiscono un approccio normativo più morbido che consenta loro di competere in modo più efficace nel mercato globale dell’IA”. Speranza ricorda che “le restrizioni introdotte dalla legge non entreranno in vigore fino a maggio 2025, con i grandi leader tecnologici che otterranno un’ulteriore proroga di 24 mesi, con la possibilità, quindi, di potersi conformare alla legislazione entro maggio 2027”.
Ma l’argomento che tiene banco è sicuramente quello della privacy e dei dati. “Un altro aspetto fondamentale dell’evoluzione dell’intelligenza artificiale – spiega il Regional vicepresident di Appian Italia – è legato al modo in cui le organizzazioni utilizzano i dati per alimentarne gli algoritmi: questi dati devono essere protetti e riconosciuti come preziosi; essi meritano il giusto riconoscimento. Ciò significa proteggere i diritti dei proprietari e dei creatori dei dati e garantire la riservatezza di questi ultimi, una priorità assoluta per i regolatori di tutto il mondo”.
Secondo Speranza, “Per proteggere la privacy dei dati e la proprietà intellettuale nell’era dell’intelligenza artificiale, i governi devono introdurre disposizioni normative, come la divulgazione obbligatoria delle fonti utilizzate per addestrare i modelli LLM (Large Language Model), il consenso e il compenso per l’uso di informazioni protette da copyright e di dati privati”.
Infine, tiene a precisare Speranza, “Noi sviluppiamo le nuove funzionalità tenendo come riferimento la private AI, per cui i dati dei clienti non vengono mai condivisi al di fuori del perimetro di conformità di Appian Cloud, non vengono mai addestrati i modelli sui dati dei clienti, né vengono condivisi i modelli dei clienti con altre organizzazioni, per cui i dati rimangono sempre sotto il controllo del cliente”.
I funzionari Ue stanno cercando rimedi prima dell’entrata in vigore della legge
I funzionari Ue stanno ora freneticamente cercando di tappare i buchi nella regolamentazione prima che entri in vigore (ormai mancano davvero pochissimi giorni). Un problema su cui il testo attuale manca di chiarezza è se sistemi come ChatGPT agiscano illegalmente quando “imparano” da fonti protette dalla legge sul copyright. “Qual è la giusta remunerazione [per i creatori di contenuti]? Quali informazioni sono protette se sono state in parte generate da IA? Non abbiamo risposte a queste domande,” afferma un veterano funzionario dell’UE.
I diplomatici a Bruxelles stanno ora tentando di trovare risposte attraverso consultazioni con gli Stati membri. Un documento riservato, emesso dalla precedente presidenza dell’UE detenuta dal Belgio, ha chiesto agli stati membri “sondaggi, studi o ricerche pertinenti” sul rapporto tra IA e copyright, insieme a prove di leggi locali che trattano la questione. Il Belgio ha cercato opinioni su chi sia responsabile dei contenuti generati dall’AI e se debba essere istituito un “sistema di remunerazione” per coloro che creano i contenuti da cui l’AI attinge. Il veterano funzionario suggerisce che le corpose regole sul copyright del regolamento potrebbero essere modificate per affrontare queste questioni pendenti. Ma altri sono riluttanti a riaprire vecchie leggi.
La necessità di una legislazione aggiuntiva per l’applicazione dell’AI Act
Legislazione aggiuntiva è anche richiesta per stabilire codici di condotta, che forniranno orientamenti alle aziende tecnologiche su come implementare le regole dell’AI Act, che finora mancano di dettagli praticabili. Un’applicazione come il riconoscimento facciale, ad esempio, richiede test secondo i requisiti dell’atto esponendo il sistema a vulnerabilità, come cambiare alcuni pixel per vedere se riconosce ancora un volto. Ma l’AI Act non contiene linee guida chiare su come dovrebbe essere eseguito un tale test.
L’AI Office, una nuova divisione all’interno della Commissione Europea, avrà un ruolo chiave nella stesura delle leggi secondarie che stabiliscono come i principi della legislazione primaria dovrebbero essere applicati nella pratica. Ma il tempo stringe, poiché i codici di condotta devono essere in atto nove mesi dopo l’entrata in vigore dell’AI Act. A febbraio dell’anno prossimo, alcuni dei suoi principali divieti dovranno entrare in vigore. Questi includono i divieti sui “rischi inaccettabili” — inclusi il social scoring, che valuta le persone in base al loro comportamento; il predictive policing, che utilizza i dati per anticipare i crimini; e il controllo degli umori dei lavoratori sul posto di lavoro, potenzialmente invadendo la loro privacy.
“Il diavolo sta nei dettagli,” dice un diplomatico che ha avuto un ruolo di primo piano nella stesura dell’AI Act. “Ma le persone sono stanche e la tempistica è stretta.”
Un altro rischio è che il processo venga dirottato dalle lobbies di potenti gruppi imprenditoriali che cercano non di chiarire le regole, ma di annacquarle. Un alto funzionario dell’UE dice che i lobbisti stanno già andando in giro “seminando il panico” tra coloro che hanno influenza nel processo normativo. “È un po’ simile – anche se non esattamente lo stesso – alle tattiche che le grandi piattaforme online come YouTube hanno usato quando sono state approvate le regole sulla privacy,” dice il funzionario senior. “Hanno pianto per la fine di internet, la fine di tutto. Non è successo nulla.”
Brando Benifei, parlamentare italiano di centro-sinistra che ha co-guidato le discussioni nel parlamento europeo, dice che una gamma di stakeholder deve essere coinvolta per evitare questo risultato. “Vogliamo che la società civile sia coinvolta nella stesura dei cosiddetti Codici di Condotta che la commissione dovrà preparare per le regole applicabili ai modelli linguistici di grandi dimensioni più potenti,” dice.
La sfida dell’applicazione delle regole
Scrivere regole sufficientemente chiare è una sfida, ma un’altra è farle rispettare nei singoli Stati membri. L’AI Act non specifica chiaramente quale agenzia a livello nazionale dovrebbe vigilare sulle regole. Un funzionario con un ruolo di primo piano nell’implementazione dell’AI Act prevede che ci sarà una lotta tra le autorità locali delle telecomunicazioni, della concorrenza e della protezione dei dati su chi avrà il potere di farle rispettare. “Potrebbe diventare complicato,” dice. “C’è una disparità di opinioni su chi dovrebbe essere l’esecutore. Ma abbiamo bisogno di coerenza nell’implementazione.”
Senza maggiore chiarezza, i funzionari avvertono di un’implementazione “frammentaria” della regolamentazione che innescherebbe confusione tra le aziende mentre lanciano i prodotti in diversi paesi. La creazione di un AI Office aiuterà a riempire i dettagli, ma questo non è ancora completamente operativo. Bruxelles deve coprire 140 posizioni a tempo pieno, inclusi personale tecnico, ma anche esperti di politica che sono difficili da trovare. L’AI Office, ad esempio, avrà bisogno di uno scienziato come capo. Alcuni dicono che l’UE faticherà ad assumere questo genere di esperti tecnici, poiché le grandi aziende tecnologiche stanno anch’esse cercando di reclutare persone talentuose e spesso offrono salari più alti.
“Bruxelles troverà facile reclutare burocrati,” dice un funzionario dell’UE. “Ma quando si tratta di ottenere programmatori, faremo fatica.” Anche se la commissione riuscirà ad attirare il talento giusto e il numero richiesto di persone, ci vorrà tempo per reclutarle perché il processo di assunzione è noto per essere lungo e burocratico, ha dichiarato Zenner del parlamento europeo al Financial Times. Ma altri minimizzano qualsiasi imminente carenza di talento. “Stiamo ricevendo eccellenti CV,” dice una persona responsabile del reclutamento per l’AI Office. “Abbiamo coperto circa 40-50 posizioni e non prevedo una carenza. Attiriamo persone che vogliono fare un buon lavoro e hanno le giuste competenze.”
Non c’è solo l’AI Act
A complicare gli sforzi dell’UE c’è il fatto che diversi blocchi — dall’OCSE al G7 e agli Stati Uniti — stanno spingendo le loro agende quando si tratta di introdurre salvaguardie sulla tecnologia dell’IA. In passato, i regolatori della Commissione Europea si sono mossi presto per influenzare il modo in cui le regolamentazioni vengono attuate in tutto il mondo — il cosiddetto “effetto Bruxelles”. Le sue regole sulla privacy, ad esempio, sono ora state emulate da molte diverse giurisdizioni. Ma sull’AI, non è nemmeno l’unico regolatore in Europa. Il Consiglio d’Europa, un organismo paneuropeo dedicato alla protezione dei diritti umani, ha adottato a maggio il primo trattato internazionale legalmente vincolante sull’AI incentrato sulla protezione dei diritti umani, dello stato di diritto e della democrazia. Contrariamente all’AI Act, che riguarda la sicurezza dei consumatori nell’uso dell’AI, il trattato del Consiglio d’Europa è incentrato sul rendere l’AI compatibile con i valori delle società democratiche che rispettano i diritti umani. Hanne Juncher, direttore della sicurezza, integrità e stato di diritto del Consiglio d’Europa, afferma che il trattato e l’AI Act possono coesistere. “Non sono in competizione e c’è bisogno di entrambi.”
Altri blocchi stanno anche cercando di influenzare l’uso dell’AI. I paesi del G7 hanno approvato principi che si concentrano sulla trasparenza nei sistemi di AI, mentre gli Stati Uniti hanno prodotto la propria iniziativa con la ricerca e lo sviluppo al centro.
Nel Regno Unito, il governo laburista dovrebbe presentare un disegno di legge sull’AI nel discorso del re questa settimana. I funzionari dell’UE respingono l’idea che le loro regole siano in competizione con altri sforzi per stabilire standard sull’AI.
“Per certificare un dispositivo medico, ad esempio, hai bisogno di standard. Non c’è un’unica agenzia di regolamentazione in controllo. Le procedure di sicurezza coinvolgeranno la cooperazione di altri. L’AI è ovunque e non può esserci un super regolatore,” dice un altro alto funzionario dell’UE.
Nuove regole concorrenti o meno, molti pensano che la legislazione dell’UE sull’AI sia in conflitto con l’ambizione più ampia di far competere le aziende tecnologiche locali con gli Stati Uniti sull’AI — trasformando l’effetto Bruxelles in un ostacolo.
Bonefeld-Dahl di DigitalEurope avverte che Bruxelles deve guardare agli investimenti nei sistemi di AI e nelle persone se vuole avere un impatto sulla corsa all’AI. “Tutti i nostri membri stanno investendo negli Stati Uniti e nel marketing dei loro prodotti lì. Non si tratta solo dell’AI Act. La leadership tecnologica richiede competenze e abbiamo un enorme divario di investimenti in Europa.”
Il parlamento europeo si difende
I funzionari stanno attivamente respingendo le nozioni che Bruxelles sia indietro. “L’UE può ancora trovare il suo posto nella corsa all’AI,” dice un funzionario. Altri hanno intrapreso un “esercizio di sfatare miti” su ciò che la regolamentazione comporta effettivamente. Un terzo alto funzionario dell’UE con conoscenza intima delle regole dice che è “fake news” che dannegino l’innovazione. “L’AI Act non riguarda tutto sotto il sole,” dice questo funzionario. “Non riguarda l’innovazione. Esclude la ricerca e lo sviluppo, lo sviluppo interno di nuove tecnologie da parte delle aziende e qualsiasi sistema che non sia ad alto rischio.”
Roberto Viola, che dirige l’unità dell’UE incaricata di definire le politiche relative alle competenze digitali e all’innovazione, afferma che l’AI Act aiuterà in realtà le start-up consentendo l’innovazione. “Permette test nel mondo reale. C’è ampio spazio per la sperimentazione,” dice.
Tuttavia, gli imprenditori dubitano della capacità dell’UE di diventare una superpotenza nell’AI mentre implementa le nuove regole. “Le aziende europee sono sottofinanziate [e limitate] perché [Bruxelles] ha deciso che l’Europa sarà il posto più difficile da navigare come azienda di AI,” dice Cleve. “Abbiamo bisogno di meno filo spinato, altrimenti la transizione potrebbe costarci cara.”
