Alcuni membri del Parlamento Europeo hanno inviato una lettera all’AI Office sollecitando una maggiore inclusione della società civile e di altri portatori di interesse nella redazione dei codici di condotta per l’intelligenza artificiale di uso generale. Gli eurodeputati sollevano dubbi sul processo di elaborazione dei codici:
Il sito Politico Morning Tech ha pubblicato una lettera firmata dagli europarlamentari Brando Benifei, Svenja Hahn, Katerina Konečná, Sergey Lagodinsky, Kim Van Sparrentak, Axel Voss e Kosma Złotowski che esortano l’AI Office dell’UE a coinvolgere la società civile nella stesura delle normative per modelli di AI potenti. Nella missiva, essi esprimono preoccupazione per il piano della Commissione di coinvolgere inizialmente solo i fornitori di modelli di AI, permettendo potenzialmente loro stessi di definire tali pratiche. Gli eurodeputati ritengono che questo approccio possa compromettere lo sviluppo di un codice di condotta solido e influente a livello globale per i modelli di AI general-purpose. Essi sottolineano l’importanza di un processo inclusivo che coinvolga voci diverse provenienti dalle aziende, dalla società civile, dal mondo accademico e da altri stakeholder.
I legislatori invitano l’AI Office ad aderire ai requisiti dell’AI Act che prevedono il coinvolgimento di questi gruppi insieme ai fornitori dei modelli di AI. Gli europarlamentari avvertono che permettere alle aziende dominanti sul mercato di influenzare il processo in modo isolato rischia una prospettiva ristretta, contraddicendo gli obiettivi dell’UE per lo sviluppo dell’AI.
Le notizie più recenti sui codici
Secondo Eliza Gkritsi, Tech Editor di Euractiv, la Commissione europea intende consentire ai fornitori di modelli di AI di redigere codici di pratica per la conformità alla legge sull’AI, con un ruolo di consultazione da parte delle organizzazioni della società civile. Questo approccio ha sollevato preoccupazioni riguardo all’autoregolamentazione del settore, poiché i codici dimostreranno la conformità dei modelli di AI di uso generale fino a quando non saranno stabiliti standard armonizzati. La Commissione potrebbe concedere a questi codici validità a livello europeo attraverso un atto di esecuzione. Alcuni membri della società civile temono che questo possa portare le Big Tech a scrivere le proprie regole.
Il linguaggio della legge sull’AI sulla partecipazione delle parti interessate alla stesura di questi codici è ambiguo. La Commissione afferma che un prossimo invito a manifestare interesse delineerà le modalità di coinvolgimento delle varie parti interessate, compresa la società civile. Tuttavia, i dettagli rimangono poco chiari. Una società esterna sarà incaricata di gestire il processo di redazione, compreso il coinvolgimento delle parti interessate e le riunioni settimanali dei gruppi di lavoro. L’Ufficio AI supervisionerà il processo, ma si concentrerà principalmente sull’approvazione dei codici finali.
Come definire i prodotti ad alto rischio rispetto alle norme settoriali?
Secondo Jacob Wulff Wold di Euractiv, la Commissione europea dovrebbe classificare i componenti di cybersicurezza e di servizi di emergenza basati sull’AI nei dispositivi connessi a Internet come ad alto rischio ai sensi dell’AI Act. Questa interpretazione, rivelata in un documento sull’interazione tra la Direttiva sulle apparecchiature radio (RED) e l’AI Act, costituisce un precedente per la classificazione di altri prodotti AI. I criteri di classificazione includono la presenza di un componente di sicurezza coperto dalla legislazione esistente e la necessità di una valutazione da parte di terzi per la conformità. Anche quando la RED consente l’autovalutazione, i componenti di cybersecurity basati sull’AI sono ancora considerati ad alto rischio. Questo approccio potrebbe estendersi ad altri settori coperti dalla legislazione armonizzata rilevante per l’AI Act, come i dispositivi medici, l’aviazione e i macchinari pesanti.
Sintesi dei codici di condotta
Jimmy Farrell, responsabile delle politiche dell’AI dell’UE presso Pour Demain, ha pubblicato un’introduzione ai codici di condotta per i fornitori di modelli di AI per scopi generali (GPAI) sul sito web della legge sull’AI dell’UE. L’articolo 56 della legge stabilisce i codici di condotta come meccanismo temporaneo di conformità per i fornitori di modelli GPAI. Questi codici colmano il divario tra l’entrata in vigore degli obblighi dei fornitori (12 mesi) e l’adozione di standard formali (oltre 3 anni). Pur essendo volontaria, l’adesione a questi codici presuppone la conformità agli obblighi degli articoli 53 e 55. I fornitori che non si attengono ai codici devono dimostrare di essere in regola con gli standard. I fornitori che non seguono i codici devono dimostrare la loro conformità con altri mezzi.
L’AI Office può invitare i fornitori di GPAI e le autorità nazionali a redigere i codici, con il supporto della società civile, dell’industria e del mondo accademico. Il processo di redazione può coinvolgere gruppi di lavoro composti da più parti interessate e suddivisi per argomento. I codici devono essere redatti entro nove mesi dall’entrata in vigore della legge, per consentire l’approvazione della Commissione. Si prevede che costituiranno la base per i futuri standard GPAI e dovranno rispecchiare fedelmente le intenzioni della legge, compresi gli aspetti relativi alla salute, alla sicurezza e ai diritti fondamentali. La struttura potrebbe assomigliare a quadri precedenti, come i codici di disinformazione, caratterizzati da impegni di alto livello con sottomisure dettagliate e indicatori di performance.
Revisione della letteratura per i codici
SaferAI ha redatto una revisione della letteratura per informare i codici di condotta dell’UE sui modelli di AI per scopi generali (GPAI) con rischi sistemici. Il testo sottolinea l’importanza delle strutture organizzative, come le funzioni di audit interno, i comitati etici per l’IA e il modello delle tre linee di difesa, nella governance di un’organizzazione. Per l’identificazione dei rischi, la revisione raccomanda di combinare tecniche tradizionali come l’analisi di scenario e il metodo a lisca di pesce con metodi specializzati come il red-teaming. Gli autori suggeriscono di utilizzare le tassonomie del rischio proposte da Weidinger et al. e Hendrycks et al. per un’identificazione completa del rischio.
Aggiungono che l’analisi del rischio dovrebbe integrare i metodi della letteratura sulla gestione del rischio e sulla valutazione dell’IA, con il framework BRACE (Benchmark and Red team AI Capability Evaluation) evidenziato come un approccio equilibrato. Gli autori affermano che le strategie di mitigazione dovrebbero includere misure di dispiegamento e contenimento, safety by design, ingegneria della sicurezza e controlli organizzativi. Il testo sottolinea inoltre la necessità che i codici di condotta siano interoperabili con altri framework, tra cui l’ISO/IEC 23894:2023, i Codici di condotta del processo di Hiroshima del G7, i Seoul Frontier AI Safety Commitments e il NIST AI Risk Management Framework.
Sintesi dell’impostazione dell’applicazione
I legali di Freshfields Bruckhaus Deringer hanno redatto una sintesi delle principali istituzioni coinvolte nell’applicazione della legge sull’AI. La legge è applicata a livello europeo dalla Commissione europea, con l’AI Office che ha poteri esclusivi sull’AI per scopi generali (GPAI) e gli Stati membri dell’UE che si occupano di altri aspetti attraverso la sorveglianza del mercato nominata e le autorità di notifica. L’Ufficio AI supervisiona la conformità alle GPAI, coordina le indagini transfrontaliere e può annullare le decisioni nazionali in alcuni casi. Le autorità nazionali di sorveglianza del mercato hanno ampi poteri di sorveglianza, indagine e applicazione delle disposizioni non GPAI. Il Comitato europeo per l’intelligenza artificiale, composto da rappresentanti di ogni Stato membro, consiglia la Commissione e gli Stati membri sull’applicazione coerente della legge. Un gruppo scientifico di esperti indipendenti sostiene le attività di applicazione della legge e può emettere “allarmi qualificati” sui rischi sistemici dei modelli GPAI. Il Garante europeo della protezione dei dati è coinvolto nell’applicazione della legge per le istituzioni e gli organismi dell’UE.
