Il 1º agosto 2024 ha segnato un momento storico per l’Unione Europea con l’entrata in vigore del regolamento europeo n° 1689/2024 sull’intelligenza artificiale, noto come AI Act.
Questo ambizioso regolamento, frutto di un lungo processo legislativo iniziato con la proposta della Commissione nell’aprile 2021 e culminato con l’approvazione del Parlamento europeo e del Consiglio nel dicembre 2023, mira a promuovere lo sviluppo e la diffusione responsabili dell’intelligenza artificiale nell’UE.
Esaminiamo il campo di applicazione e le nuove regole introdotte dal Regolamento, anticipando alcuni degli impatti che potrà avere sugli sviluppatori ed utilizzatori di AI.
Le motivazioni alla base della nascita di un regolamento sull’intelligenza artificiale
L’AI Act nasce dalla necessità di affrontare le sfide poste dai rapidi sviluppi tecnologici nel campo dell’AI e dai nuovi modelli di crescita economica ad essa associati. La pubblica disponibilità di soluzioni che integrano AI generativa e la grande popolarità sul web che hanno ottenuto le prima applicazioni di questa tecnologia, ha contribuito ad una vertiginosa impennata di utilizzi dell’AI da parte dei consumatori e di applicazioni da parte delle aziende.
In questo scenario, i diversi operatori coinvolti nella catena del valore dell’AI, hanno iniziato a porsi diverse domande circa l’impatto che questa tecnologia avrebbe avuto sui loro diritti:
- i creatori di contenuti che vengono utilizzati per l’addestramento dell’AI tramite lo scraping dai siti web si interrogano sulla sorte dei propri diritti di proprietà intellettuale e sulla possibilità di tenere traccia degli usi che vengono fatti dei propri contenuti;
- gli utilizzatori di sistemi AI si domandano se e come vengono utilizzati i propri dati processati dalle soluzioni di AI e quali sono gli usi consentiti o illeciti;
- gli sviluppatori si chiedono fino a che punto possono spingersi nella raccolta e utilizzo di dati per la messa a disposizione di nuove funzionalità.
Il regolamento si propone di rispondere organicamente a queste e altre domande bilanciando l’innovazione tecnologica con la tutela dei diritti fondamentali dei cittadini europei, creando un quadro normativo che garantisca certezza giuridica, armonizzazione e maggiore sicurezza nell’utilizzo dei sistemi di intelligenza artificiale all’interno dell’UE.
A quali sistemi si applica l’AI Act?
Al cuore dell’AI Act c’è una definizione ampia e lungimirante di sistema di intelligenza artificiale. Il regolamento lo definisce come “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali“. Questa definizione è stata pensata per essere sufficientemente flessibile da coprire non solo le tecnologie AI attuali, ma anche quelle future, garantendo così la rilevanza del regolamento nel lungo termine.
La definizione è stata a lungo dibattuta proprio per evitare di includere qualsiasi software automatizzato; quindi, per verificare l’applicabilità oggettiva dell’AI Act, bisognerà verificare la sussistenza dei criteri indicati nella definizione sopra.
Dal punto di vista soggettivo, inoltre, l’AI Act si applica a tutti i principali soggetti coinvolti nella catena del valore delle soluzioni AI: dagli sviluppatori, agli utilizzatori, dagli importatori ai distributori. Per ciascuna di queste categorie sono previste responsabilità e obblighi che cambiano anche a seconda della tipologia di sistema di AI, per le quali il Regolamento introduce obblighi specifici.
Quali obblighi introduce il Regolamento?
Una delle caratteristiche più innovative dell’AI Act è l’introduzione di obblighi specifici in base ad un approccio basato sul rischio per la regolamentazione dei sistemi di AI. Questo approccio classifica i sistemi di AI in quattro categorie di rischio, ciascuna con i propri requisiti e obblighi specifici.
- I sistemi a rischio minimo, che comprendono la maggior parte delle applicazioni di AI come i filtri spam e i videogiochi che utilizzano l’AI, non sono soggetti a obblighi specifici, anche se le imprese sono incoraggiate ad adottare volontariamente codici di condotta.
- I sistemi a rischio specifico per la trasparenza, come i chatbot o i sistemi di generazione di contenuti deepfake, devono informare chiaramente gli utenti della loro natura artificiale.
- I sistemi ad alto rischio, che includono applicazioni in settori critici come la sanità, l’istruzione, l’occupazione e la sicurezza pubblica, sono soggetti a requisiti rigorosi. Questi includono l’implementazione di un sistema di gestione del rischio, la garanzia di alta qualità dei dati utilizzati, la manutenzione di una documentazione tecnica dettagliata, la garanzia di trasparenza verso gli utenti, l’assicurazione di una supervisione umana efficace e il raggiungimento di livelli adeguati di accuratezza, robustezza e sicurezza.
- Infine, i sistemi a rischio inaccettabile o proibiti, come quelli che permettono il “social scoring” da parte di governi o manipolano il comportamento umano in modo dannoso, sono completamente vietati.
L’AI Act presta particolare attenzione ai modelli di AI per uso generale (GPAI), come i Large Language Model di uso comune quali GPT o Claude. Per questi sistemi, il regolamento prevede disposizioni specifiche, inclusi obblighi di conformità al diritto d’autore e requisiti di trasparenza sui dati di addestramento. La Commissione europea ha anche avviato una consultazione su un codice di buone pratiche per i fornitori di GPAI, che affronterà questioni cruciali come la trasparenza, le norme sul diritto d’autore e la gestione dei rischi.
L’open source è esente dalle regole?
L’AI Act prevede una particolare esenzione per i software open source, ma con dei limiti significativi. In linea generale, i sistemi di AI che utilizzano software liberi e open source non sono soggetti all’AI Act. Tuttavia, questa esenzione non si applica in modo universale e presenta alcune importanti eccezioni.
In primo luogo, l’esenzione non vale per i sistemi di AI open source che rientrano nelle categorie dei sistemi vietati o ad alto rischio, né per quelli che interagiscono direttamente con gli individui o espongono le persone a contenuti generati dall’AI. Dato che queste categorie sono soggette alla maggior parte degli obblighi previsti dall’Act, l’eccezione per i sistemi open source ha, in pratica, un effetto limitato.
Per quanto riguarda i modelli di AI per uso generale (GPAI), l’esenzione è più ampia, ma comunque circoscritta. I GPAI rilasciati con licenze open source che consentono l’accesso, l’uso, la modifica e la distribuzione del modello, e i cui parametri (inclusi pesi, informazioni sull’architettura e sull’uso del modello) sono resi pubblicamente disponibili, godono di un’esenzione più estesa. Tuttavia, questa si applica solo a due obblighi specifici: la redazione della documentazione tecnica sul modello e la messa a disposizione di certe informazioni ai fornitori di sistemi di AI che intendono integrare il GPAI.
Gli altri obblighi rimangono in vigore. Inoltre, l’esenzione non è disponibile per i GPAI considerati a rischio sistemico.
Questa impostazione mira a bilanciare la promozione dell’innovazione e della collaborazione nel campo dell’AI, tipiche dell’approccio open source, con la necessità di mantenere un adeguato livello di controllo sui sistemi potenzialmente più rischiosi. Le organizzazioni che sviluppano o utilizzano tecnologie di AI open source dovrebbero quindi considerare attentamente la portata limitata di queste esenzioni e valutare la necessità di conformarsi all’AI Act anche per i sistemi open source.
Nonostante questi limiti, l’utilizzo di sistemi e modelli di AI open source può comunque offrire vantaggi significativi, come la riduzione dei costi, la facilità di accesso e una maggiore trasparenza sui parametri e l’architettura del modello. Tuttavia, è importante considerare anche i potenziali svantaggi, come la mancanza di garanzie, i rischi di sicurezza associati al download da repository online e le possibili restrizioni imposte da licenze “open source” non tradizionali.
Le organizzazioni dovranno quindi valutare attentamente la loro strategia in relazione alle tecnologie di AI open source, assicurandosi di integrare adeguatamente le componenti di conformità all’AI Act con altre procedure di compliance correlate, incluse quelle relative al software open source in generale.
Quando saranno applicabili le nuove regole?
L’implementazione dell’AI Act seguirà un calendario graduale. I divieti per i sistemi di AI a rischio inaccettabile (proibiti) entreranno in vigore sei mesi dopo l’entrata in vigore del regolamento, il 2 febbraio 2025. Le norme per i modelli di AI per finalità generali si applicheranno dopo 12 mesi, il 2 agosto 2025. La maggior parte delle altre disposizioni, inclusi i requisiti per i sistemi ad alto rischio, diventeranno applicabili il 2 agosto 2026, mentre per i dispositivi già regolati da altre normative UE di armonizzazione, la data di applicazione è fissata al 2 agosto 2027.
Per facilitare la transizione verso questo nuovo regime normativo, la Commissione Europea ha lanciato diverse iniziative. Tra queste, il “patto per l’AI“ invita gli sviluppatori ad adottare volontariamente gli obblighi fondamentali dell’AI Act prima delle scadenze legali. La Commissione sta inoltre elaborando linee guida per chiarire le modalità di attuazione del regolamento e sta facilitando lo sviluppo di strumenti di coregolamentazione come norme e codici di condotta.
L’AI Act stabilisce anche un sistema di governance multilivello per garantire la conformità. Questo include la creazione di un AI Office a livello europeo, responsabile del monitoraggio dei modelli di AI più complessi e dello sviluppo di standard tecnici. Ogni Stato membro dovrà inoltre designare una o più autorità nazionali competenti per l’applicazione del regolamento. Il sistema prevede anche l’istituzione di “sandbox” regolamentari, ambienti controllati dove le aziende potranno testare sistemi di AI innovativi sotto la supervisione delle autorità competenti.
Sono previste sanzioni in caso di non conformità?
Le sanzioni previste per le violazioni dell’AI Act sono severe, con multe che possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo per le violazioni più gravi (uso di sistemi AI proibiti). Tuttavia, il regolamento prevede disposizioni specifiche per le PMI e le start-up, con sanzioni proporzionalmente ridotte.
Cosa fare per prepararsi?
Per prepararsi all’AI Act, è essenziale che le aziende che utilizzano o intendono utilizzare l’AI intraprendano cinque azioni fondamentali:
- Mappare i propri strumenti AI: identificare e catalogare tutti i sistemi di AI attualmente in uso o in fase di sviluppo all’interno dell’organizzazione.
- Verificare l’applicabilità dell’AI Act: per ogni sistema identificato, determinare se rientra nell’ambito di applicazione dell’AI Act e quale classificazione di rischio gli viene attribuita. Determinare la qualifica soggettiva dell’azienda rispetto a ciascun sistema (ad esempio, fornitore, distributore o utente) e le caratteristiche specifiche del sistema che influenzano gli obblighi normativi.
- Condurre una gap analysis: identificare gli obblighi immediati derivanti dall’AI Act per ciascun sistema e valutare lo stato attuale di conformità.
- Preparare un remediation plan: sviluppare un piano dettagliato per colmare le lacune identificate e garantire la conformità dei sistemi di AI entro le scadenze previste.
- Adottare un policy sull’AI: implementare una policy interna che regoli e disciplini l’utilizzo dell’AI da parte dei dipendenti per limitare il rischio di fughe di dati, dispersione di informazioni confidenziali o violazione di diritti di terzi.
Conclusioni: cosa aspettarsi dall’AI Act?
L’AI Act si inserisce in un più ampio piano dell’Europa per promuovere l’AI. Questa legislazione mira a creare un ambiente favorevole all’innovazione nel campo dell’AI, garantendo al contempo la protezione dei diritti fondamentali dei cittadini. L’obiettivo è posizionare l’UE come leader globale nello sviluppo e nell’adozione di AI etica e affidabile, stimolando la competitività europea nel settore tecnologico e creando un modello di regolamentazione che potrebbe influenzare gli standard globali (replicando il cosiddetto effetto Bruxelles ottenuto con il GDPR).
Tuttavia, è importante riconoscere che l’AI Act ha anche suscitato critiche per il suo potenziale effetto di rallentamento dell’innovazione, dovuto all’introduzione di regole stringenti. Proprio per questo motivo, le aziende lungimiranti dovrebbero considerare attentamente come ottimizzare i propri investimenti e posizionarsi strategicamente nel mercato dell’AI. Ciò implica una pianificazione accurata che distingua le attività da intraprendere nell’immediato, sfruttando l’attuale contesto normativo, da quelle da implementare una volta che le disposizioni dell’AI Act diventeranno pienamente applicabili.
Questo approccio dual-track consentirebbe alle aziende di massimizzare l’innovazione e lo sviluppo nel breve termine, mentre si preparano gradualmente a soddisfare i futuri requisiti normativi. In questo modo, le organizzazioni possono ambire non solo a conformarsi alla legge, ma anche a trasformare le sfide regolamentari in opportunità di leadership nel campo dell’AI etica e responsabile.