L’AI Act, il regolamento europeo sull’intelligenza artificiale, è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea. Da oggi, 12 luglio 2024, è a tutti gli effetti legge, anche se l’entrata in vigore è prevista tra 20 giorni, ossia il 1° agosto. Prende il via, quindi, la roadmap per l’applicazione della prima legge al mondo dedicata a 360 gradi all’intelligenza artificiale.
AI Act step by step
A sei mesi dall’adozione dell’AI Act, dunque a gennaio 2025, verranno bloccati i sistemi ad alto rischio proibiti. Unica eccezione: l’identificazione biometrica riguardante i casi “la cui unica finalità è confermare che una determinata persona fisica è la persona che dice di essere”.
Come è ormai noto, l’AI Act è articolato su quattro gradi di livello di rischio: minimo, limitato, alto e inaccettabile. A seconda dell’intensità del rischio crescono le restrizioni e le obbligazioni per chi realizza o impiega tali sistemi, fino alla proibizione completa di quelli ritenuti eccessivamente pericolosi.
Tra queste applicazioni troviamo le tecnologie che alterano il comportamento umano, la sorveglianza biometrica indiscriminata, l’accumulo sproporzionato di immagini facciali dal web, l’analisi delle emozioni in ambienti lavorativi o scolastici, i meccanismi di scoring sociale o la cosiddetta polizia predittiva, ovvero l’elaborazione di dati sensibili per prevedere il rischio di reati da parte degli individui.
L’AI Act lascia tuttavia ampi margini per l’applicazione della sorveglianza digitale da parte dei governi, che durante i negoziati con il Parlamento all’interno del Consiglio si sono battuti per mantenere una certa libertà nell’utilizzo degli algoritmi.
Infatti, l’articolo 5 sui divieti stabilisce che: “Uno Stato membro può decidere di prevedere la possibilità di autorizzare in tutto o in parte l’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto”.
Applicazione dei codici di condotta
A nove mesi dalla pubblicazione, cioè nella primavera 2025, si attivano i codici di condotta, ossia gli impegni che sviluppatori, imprese e associazioni settoriali assumono nei confronti dell’Unione Europea per integrare i principi dell’AI Act nelle loro attività. Sono mirati a estendere gli impegni verso la sostenibilità ambientale e sociale, verso la formazione e l’alfabetizzazione digitale e l’adozione dei principii etici nella produzione tecnologica.
Nel frattempo è già operativo l’AI Pact, accordo che anticipa l’allineamento all’AI Act: oltre 400 aziende hanno già manifestato interesse ad aderire all’iniziativa per accelerare il processo di adeguamento alle normative europee ed essere conformi alla loro piena applicazione.
I modelli generalisti
Dodici mesi dopo l’entrata in vigore (agosto 2025) toccherà ai modelli generalisti di AI. In questa categoria rientrano le intelligenze artificiali generative, capaci di eseguire funzioni come generare testo o immagini e addestrate tramite enormi set dati non strutturati, come GPT-4 da cui ChatGPT. Per questi modelli, gli sviluppatori devono garantire che i contenuti siano chiaramente identificabili come prodotti da intelligenza artificiale mediante sistemi leggibili dalle macchine e debbano essere etichettati quando si tratti di deepfake (tramite watermarking). È fondamentale che gli utenti siano consapevolmente informati quando interagiscono con un chatbot.
I sistemi ad alto rischio
Dovranno trascorrere due anni dall’adozione (agosto 20269 perché l’AI Act inizi a regolamentare i sistemi definiti ad alto rischio, specificati nell’allegato 3. Tra questi, sistemi per l’identificazione biometrica e la categorizzazione, dispositivi per il riconoscimento delle emozioni; software destinati alla sicurezza delle infrastrutture critiche; programmi utilizzati in ambito educativo o formativo per valutare i rendimenti scolastici, assegnare corsi o monitorare gli studenti durante le prove d’esame. Inoltre, gli algoritmi impiegati nel settore lavorativo per la selezione dei curricula o l’assegnazione di compiti e ruoli; quelli utilizzati da enti pubblici o privati nella distribuzione di aiuti finanziari, nella gestione delle richieste di soccorso, nella rilevazione di frodi finanziarie o nell’analisi del rischio assicurativo.
Di questa categoria fanno parte anche gli algoritmi in uso alle forze dell’ordine, al sistema giudiziario e alle autorità di controllo delle frontiere per valutazioni di rischio e identificazione dei flussi migratori irregolari. Non è classificato come ad alto rischio l’algoritmo destinato unicamente a migliorare risultati già ottenuti da operatori umani, a identificare deviazioni dai processi decisionali standard o a svolgere attività preparatorie di verifica.
Entro diciotto mesi dalla promulgazione del regolamento, la Commissione Europea delineerà le linee guida relative ai sistemi ad alto rischio e potrà modificare l’elenco degli algoritmi inclusi in questa categoria. Sarà creato un database che conterrà un elenco aggiornato dei sistemi ad alto rischio operativi in Europa. I creatori di AI ad alto rischio sono tenuti a implementare controlli efficaci, gestire con trasparenza i dati utilizzati assicurandone l’aggiornamento e la provenienza chiara e registrare automaticamente i log operativi che devono essere conservati per tutta la durata commerciale dell’algoritmo al fine di tracciare eventuali situazioni critiche e indagarne le cause. Devono fornire documentazione tecnica (da conservarsi per dieci anni).
Gli sviluppatori dovranno anche comunicare il livello di precisione dell’intelligenza artificiale attraverso metriche definite dalla Commissione riguardanti robustezza e sicurezza informatica sotto supervisione umana che può intervenire bloccando l’AI in caso di emergenza. Gli sviluppatori devono istituire un sistema qualitativo di verifica continuo della conformità agli standard richiesti includendo il marchio CE che certifica la conformità europea del prodotto; segnalare alle autorità eventuali incidenti; importatori o distributori hanno l’obbligo della conservazione della documentazione sulla sicurezza degli algoritmi venduti ed essere soggetti a controllate più stringenti qualora apportino modifiche significative all’algoritmo che ne alterino il livello di rischio. È previsto anche un sistema post-commercializzazione, escluso solo per le forze dell’ordine.
Il Regolamento rappresenta una fondamentale novità nel panorama digitale. In linea generale, l’AI Act detta regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione europea, di modo da garantire una certa uniformità che è necessaria nel contesto comunitario. Molto importante ricordare che l’AI Act vieta alcune pratiche di IA, proprio per evitare derive autoritarie come purtroppo già accade da diverso tempo in altri paesi (si pensi alla manipolazione cognitiva e alle tecniche di social scoring adottate dalla Cina).
Il Regolamento, poi, stabilisce requisiti specifici per i sistemi di IA qualificati come ad “alto rischio”, nonché i relativi obblighi per gli operatori di tali sistemi. In un’ottica di pedissequa regolamentazione, l’AI Act detta, inoltre, regole di trasparenza armonizzate per determinati sistemi di IA, regole per l’immissione sul mercato di modelli di IA per finalità generali, regole in materia di monitoraggio e vigilanza del mercato, governance ed esecuzione, misure a sostegno dell’innovazione (con particolare attenzione alle PMI, dato molto importante per l’Italia, poiché il tessuto industriale del nostro paese è composto primariamente da PMI).
Anna Cataleta, Senior Partner, P4I
Dunque, l’AI Act avrà un impatto non solo sul tessuto economico (per le aziende e gli enti pubblici), ma anche sul piano sociale, dato che garantirà una certa tutela ai soggetti che utilizzano i sistemi di IA, i quali saranno sempre di più in futuro, stante la forza inarrestabile della tecnologia. Inoltre, è indubbio che l’AI, come tutte le rivoluzioni tecnologiche, determinerà dei cambiamenti anche a livello lavorativo, rendendo obsolete alcune professioni e generandone di nuove. Sicuramente è ancora presto per stimare l’impatto che una simile regolamentazione avrà in Europa e nel mondo, ma non passerà molto tempo prima che gli effetti di questa rivoluzionaria normativa si facciano sentire.
Agosto 2027, entrata in vigore totale
L’AI Act entrerà pienamente in vigore nell’agosto 2027, includendo un elenco dettagliato dei casi in cui è consentito l’uso della sorveglianza biometrica. Questi casi comprendono: la ricerca di vittime di reati e persone scomparse; minacce concrete alla vita o alla sicurezza fisica delle persone o il rischio di attacchi terroristici; la localizzazione e l’identificazione dei presunti autori di una lista di 16 reati specificati nell’allegato IIa. Tra questi reati figurano: terrorismo; traffico di esseri umani; abusi sessuali su minori e pedopornografia; traffico di droghe e sostanze psicotrope; traffico illecito di armi, munizioni ed esplosivi; omicidio o lesioni gravi; traffico di organi; traffico di materiale radioattivo e nucleare; sequestro di persona e presa di ostaggi; crimini di competenza della Corte penale internazionale; dirottamento di aerei e navi; stupri; crimini ambientali; rapine organizzate e armate; sabotaggio; partecipazione a un’organizzazione criminale coinvolta in uno o più di questi crimini.
Le sanzioni
Chi viola le disposizioni dell’AI Act rischia sanzioni fino a 35 milioni di euro o il 7% del fatturato globale per gli usi proibiti. Per i sistemi ad alto rischio o di uso generale, le multe possono arrivare fino a 15 milioni di euro o al 3% del fatturato globale in caso di mancata conformità alle regole. Se invece si contestano informazioni scorrette, la sanzione può raggiungere un massimo di 7,5 milioni di euro o l’1% del fatturato globale. Per startup e piccole e medie imprese, le sanzioni sono ridotte.
Il Garante per la protezione dei dati può infliggere multe fino a 1,5 milioni di euro per enti pubblici in caso di violazione delle norme sugli usi proibiti, e fino a 750mila euro negli altri casi.
