La notizia era attesa da lungo tempo, ora c’è l’ufficialità: le commissioni Giustizia e Mercato Interno dell’Eurocamera all’AI Act – o meglio i comitati del European Parliament LIBE (Civil Liberties, Justice and Home Affairs) e IMCO (Internal Market and Consumer Protection) – hanno finalmente votato gli emendamenti in materia di Artificial Intelligence – AI, con 84 voti a favore, 7 contrari e 12 astenuti (stando a quanto abbiamo potuto apprendere). Approvazione quindi per il testo. Il prossimo passo sarà l’adozione in seduta plenaria, entro giugno.
AI Act: il primo regolamento sull’intelligenza artificiale al mondo
La relazione sulla proposta di Regolamento presentata dai co-relatori Brando Benifei e Dragoş Tudorache è stata dunque ufficialmente approvata.
Si tratta della prima legislazione al mondo in materia di AI, con l’obiettivo virtuoso di arginarne i potenziali rischi e danni che i sistemi informatici intelligenti possono cagionare.
L’iter di approvazione
Dopo mesi e mesi, se non anni, di trattative che hanno visto il susseguirsi di diversi “draft” in materia di AI, il Parlamento europeo ha finalmente raggiunto l’accordo politico (ancora) provvisorio sull’AI Act, e la corsa a una sua approvazione definitiva è sempre più vicina. È prevista infatti a metà giugno la votazione e l’approvazione del testo in seduta plenaria. A quel punto, quando gli eurodeputati avranno dato un ulteriore assenso, la proposta di legge entrerà nella fase conclusiva del suo iter legislativo emanando la prima legislazione a livello mondiale, in materia di AI.
AI Act: il testo di legge nei suoi capisaldi
Dal testo di legge si evincono sostanzialmente obblighi più severi ai modelli di base con la previsione di una categoria generica di AI comprensiva anche di ChatGPT, il modello di ultima generazione che ultimamente ha fatto tanto parlare di sé, grazie anche all’intraprendenza del nostro Garante per la Privacy.
Ecco quali sono i capisaldi su cui l’AI Act si intende fondare, posto che la ratio sottesa sia quella di volere e riuscire a regolamentare l’intelligenza artificiale nei suoi molteplici aspetti.
Definizione di AI
Il testo parte con il definire che cosa si intende per “intelligenza artificiale”, aspetto non poco critico a maggior ragione che dalla sua definizione discende il perimetro di applicazione.
Si legge che il “…sistema di intelligenza artificiale indica un sistema basato su macchina progettato per operare con diversi livelli di autonomia e che può, per obiettivi espliciti o impliciti, generare risultati quali previsioni, raccomandazioni o decisioni, che influenzano le attività fisiche o virtuali…”.
In altri termini, l’intelligenza artificiale è un virtuoso sistema informatico che viene istruito (per mano dell’uomo) e nutrito da grandi quantità di dati elaborandoli in continuazione.
Pratiche vietate
L’AI Act vieta applicazioni specifiche come le tecniche manipolative e il punteggio sociale (social scoring) considerate un rischio “inaccettabile”.
Il divieto è stato altresì esteso a modelli di intelligenza artificiale per:
- categorizzazione biometrica,
- eliminazione delle immagini facciali finalizzate alla creazione di database.
AI per un uso generale
Inizialmente, la legge sull’AI non includeva nel suo ambito di applicazione “i sistemi senza uno scopo specifico”. A introdurli sono stati proprio ChatGPT e altri modelli linguistici di grandi dimensioni, per giungere a un approccio multilivello.
Ne consegue tuttavia che i sistemi “General Purpose AI” (GPAI) per impostazione predefinita non rientrano nell’ambito di competenza dell’AI Act.
La maggior parte degli obblighi, dunque, ricadrà su quegli operatori economici che integreranno tali sistemi in applicazioni tra quelle cd. “ad alto rischio”.
Classificazione ad alto rischio
Uno degli aspetti tanto critici quanto importanti riguarda proprio la classificazione “ad alto rischio”.
In pratica, secondo l’approvato final-draft per essere classificato tale un sistema di intelligenza artificiale deve rappresentare un rischio significativo a danno di salute, sicurezza o diritti fondamentali della persona.
Per ridurre il rischio, occorre condurre una valutazione d’impatto sui diritti (fondamentali).
In definitiva, né più né meno come sono considerati “…ad alto rischio i sistemi di raccomandazione delle piattaforme online di grandi dimensioni” ricalcando, a ben guardare, l’impostazione del Digital services act.
AI ACT, i punti salienti e le principali ricadute
I principali obblighi, dunque, riguardano la gestione del rischio, la governance dei dati e il livello di robustezza del modello di base da dover essere verificato.
Da qui, possiamo riassumere i passaggi salienti dell’AI Act:
- i sistemi di AI ad alto rischio – HRAIS, dovranno effettuare una valutazione d’impatto sui diritti fondamentali (art. 29a).
- i deployer dovranno condurre la FRIA insieme alla DPIA allegandola quale addendum;
- sarà introdotto il diritto a una spiegazione del processo decisionale individuale (art. 68c), oltre ai diritti di cui al GDPR ex artt. 12-15 e 22 GDPR;
- sarà necessaria una dichiarazione di conformità UE “…attestante che tale sistema di AI è conforme al regolamento (UE) 2016/679”, pena l’impossibilità di entrare nel mercato.
Non solo, i fornitori dei servizi HRAIS dovranno assicurare che gli individui cui è preposta la sorveglianza umana dei sistemi di AI ad alto rischio, siano specificamente informati del rischio di automazione o di bias di conferma (art. 16 ab)
Ancora, saranno previsti nuovi obblighi nei confronti dei fornitori di modelli fondativi (art 28b); e sarà vietata la rottamazione dei volti dal web per creare sistemi di riconoscimento facciale (Art 5.1.db)
Ecco che tra le ricadute più significative impatta la privacy. A tal proposito, i dati particolari (ex sensibili) dovranno essere maggiormente protetti attraverso controlli più stringenti su come i provider di sistemi ad alto rischio elaborano i dati stessi. Il tutto dovrà avvenire in un ambiente estremamente controllato, onde evitare trattamenti non legittimi o peggio ancora illeciti.
Conclusioni
I modelli “fondazionali” (foundation model) – come ChatGPT – sono/saranno da considerarsi ad alto rischio? Chi avrà la responsabilità della catena del valore e dell’AI generativa?
Queste le domande che sorgono spontanee e non sono nemmeno le uniche.
In conclusione, una riflessione è d’obbligo: anche se l’AI esiste da molto prima che entrasse così in voga, oggi vediamo un’intelligenza artificiale sotto regole giunte quasi al traguardo, facciamo solo attenzione che il nuovo impianto normativo di fatto non travolga interi ecosistemi.