I regolatori faticheranno sempre a tenere il passo con lo sviluppo dell’IA. Man mano che le capacità avanzano, sorgeranno ulteriori difficoltà. Ad esempio, l’UE è stata obbligata ad aggiungere un capitolo per l’AI generativa a metà del processo di creazione del suo AI Act. che conta 144 pagine. Ma la regolamentazione è molto indietro rispetto all’innovazione.
Cosa costituisce un rischio sistemico nell’AI generativa?
A differenza dell’approccio basato sui principi adottato dall’UE nei confronti dei dati nel Regolamento Generale sulla Protezione dei Dati – GDPR – l’AI Act adotta un approccio alla sicurezza del prodotto, simile alla regolamentazione delle automobili o dei dispositivi medici, per esempio. Cerca di quantificare e affrontare i rischi, con standard soddisfatti e verificati prima del lancio sul mercato. Pensate ai crash test di un modello di auto prima della sua messa in commercio. L’UE classifica le capacità e i requisiti successivi in base al profilo di rischio. In cima alla piramide ci sono le cose da Black Mirror — manipolazione comportamentale, punteggio sociale — che sono proibite. In fondo ci sono i comuni filtri antispam e i giochi abilitati all’AI, dove un codice volontario è sufficiente.
Naturalmente, sono i due strati intermedi che avranno il maggior impatto sugli sviluppatori tecnologici e sui loro utenti. I servizi finanziari e altre aziende che utilizzano strumenti di AI per determinare l’affidabilità creditizia o per l’assunzione del personale, per esempio, rientreranno in questa categoria. Gli utenti sono anche responsabili nelle categorie a rischio più elevato se modificano un modello: una società potrebbe nel tempo cambiare l’uso dell’AI, ad esempio da vagliare i curriculum a prendere decisioni su chi viene promosso.
Un probabile risultato è l’uso massiccio di contratti tra coloro che impiegano l’AI e i grandi fornitori di tecnologia, afferma la professoressa Lilian Edwards dell’Università di Newcastle. Definire cosa costituisce un rischio sistemico nell’AI generativa è complicato. L’UE – e gli Stati Uniti nel loro ordine esecutivo sull’uso dell’AI – hanno fatto ricorso a metriche di potenza di calcolo.
L’UE fissa la sua soglia a 10²⁵ operazioni in virgola mobile al secondo, una misura delle prestazioni di calcolo, mentre gli Stati Uniti l’hanno fissata a 10²⁶. Superare questo valore comporta obblighi aggiuntivi. Il problema è che questo si riferisce alla potenza utilizzata per l’addestramento. Questa potrebbe aumentare, o addirittura diminuire, una volta che è stata distribuita. È anche un numero alquanto spurio: ci sono molti altri determinanti, inclusa la qualità dei dati e il ragionamento a catena di pensieri, che possono migliorare le prestazioni senza richiedere una potenza di calcolo aggiuntiva per l’addestramento. Inoltre, diventerà rapidamente obsoleto: il grande numero di oggi potrebbe essere mainstream l’anno prossimo.
La legge dell’UE, formalmente in vigore da agosto, viene implementata gradualmente. Ulteriori difficoltà sorgeranno man mano che le capacità avanzano. Anche se le regole evolvono, il rischio è che rimangano indietro rispetto alla curva tecnologica.
Il disegno di legge della California potrebbe migliorare l’AI Act dell’UE
La Commissione Europea ha monitorato da vicino il disegno di legge californiano e ha incontrato i rappresentanti del Senato all’inizio dell’estate per uno scambio di opinioni. Alcuni esperti sostengono che se SB 1047 venisse approvato, potrebbe rafforzare l’approccio regolamentare dell’UE riducendo il pregiudizio percepito contro le aziende statunitensi e abbassando i costi di conformità per le aziende che operano sia in California che nell’UE. Tuttavia, giganti tecnologici come Meta, OpenAI e Google si sono opposti al disegno di legge, affermando che potrebbe mettere a rischio l’AI open-source e spingere l’innovazione fuori dalla California. I critici sostengono che il disegno di legge si concentri sulla regolamentazione della tecnologia stessa piuttosto che sulle sue applicazioni.
Jacob Wulff Wold, di Euractiv, riporta che il disegno di legge della California, il Senate Bill (SB) 1047, richiederebbe agli sviluppatori di modelli di intelligenza artificiale addestrati con più di 100 milioni di dollari in risorse di calcolo per seguire e divulgare un Piano di Sicurezza e Sicurezza (SSP) volto a prevenire danni critici. SB 1047 definisce il danno critico come incidenti che causano vittime di massa o danni materiali superiori a 500 milioni di dollari. Figure di spicco, come Yoshua Bengio, l’esperto di intelligenza artificiale vincitore del Premio Turing, hanno elogiato il disegno di legge, raccomandando all’UE di trarne ispirazione mentre implementano la propria regolamentazione sull’IA, l’AI Act.
Chi guiderà il codice di condotta del GPAI?
Kai Zenner, capo dell’Ufficio e consigliere per le Politiche Digitali per l’eurodeputato Axel Voss, e Cornelia Kutterer, managing director di Considerati, hanno pubblicato un editoriale su Euronews sostenendo che i presidenti e i vicepresidenti nominati per guidare il Codice di Condotta per i modelli di AI a uso generale (GPAI) giocheranno un ruolo cruciale nel plasmare la futura implementazione dell’AI Act. L’Ufficio dell’AI dovrebbe nominare queste figure entro le prossime tre settimane. Ispirandosi al Codice di Condotta sulla Disinformazione del 2022, l’UE ha adottato un approccio co-regolamentare per la sicurezza dell’AI, considerando la tecnologia in rapida evoluzione, i valori sociotecnici e le complessità delle politiche sui contenuti e delle decisioni di moderazione. Tuttavia, alcuni sono preoccupati che le aziende possano impegnarsi solo al minimo indispensabile. L’indipendenza e l’esperienza dei presidenti sono quindi fondamentali per mantenere la credibilità e l’equilibrio del processo di redazione. Zenner e Kutterer affermano che il processo di selezione dovrebbe concentrarsi su candidati con una forte competenza tecnica, sociotecnica o di governance, combinata con esperienza nella gestione del lavoro di comitato.
Oltre a una forte rappresentanza dell’UE, coinvolgere esperti di fama internazionale in questi ruoli potrebbe migliorare la legittimità del Codice GPAI e incoraggiare le aziende non UE ad allinearsi con il processo.
Azioni per la società civile e i finanziatori sull’applicazione dell’AI Act
Un rapporto commissionato dall’European AI & Society Fund e realizzato dall’European Center for Not-for-Profit Law (ECNL) evidenzia il ruolo che la società civile può svolgere nel plasmare l’implementazione dell’AI Act. I prossimi mesi offrono opportunità per la società civile di influenzare i risultati a favore dell’interesse pubblico, dei diritti fondamentali e della protezione dei più vulnerabili, inclusa la garanzia che i divieti sui sistemi di AI più dannosi siano strettamente definiti, che i rischi sistemici siano affrontati per prodotti come ChatGPT e che le esenzioni in aree come la sicurezza nazionale e la migrazione siano limitate. Il rapporto trae lezioni dal Digital Services Act (DSA), dimostrando che la società civile può efficacemente plasmare l’implementazione di una legge e aiutare a tenere le aziende responsabili.
Per avere successo, le organizzazioni della società civile (CSO) necessitano di meccanismi di coordinamento strutturati per impegnarsi con le istituzioni rilevanti, come l’Ufficio dell’AI e il Garante Europeo della Protezione dei Dati. Inoltre, le CSO richiedono capacità di ricerca, competenze tecniche e analisi legale basata sui diritti fondamentali per l’advocacy su divieti, designazioni di rischio, esenzioni e altre questioni.
Requisiti per i modelli di AI a uso generale:
Il Center on Research of Foundation Models di Stanford ha pubblicato una panoramica dei requisiti per l’AI a uso generale. All’inizio, sottolineano che l’AI Act è una priorità politica chiave per loro e che continueranno a impegnarsi con l’UE attraverso l’Ufficio dell’AI e il Panel scientifico. L’analisi di Stanford identifica 25 requisiti per l’AI a uso generale, la maggior parte dei quali sono obblighi di divulgazione, dove gli sviluppatori forniscono informazioni ai governi o alle aziende a valle. La divulgazione pubblica è minima: solo un requisito per divulgare pubblicamente un riepilogo dei dati di addestramento potrebbe migliorare la trasparenza. I requisiti sostanziali si applicano principalmente ai modelli ritenuti a rischio sistemico, richiedendo azioni come la valutazione del modello, la mitigazione del rischio, la segnalazione degli incidenti e la protezione della sicurezza informatica.
Attualmente solo otto modelli, di Google, Meta, OpenAI e poche altre aziende, soddisferebbero i criteri per il rischio sistemico basato sul calcolo di addestramento. L’Act offre anche esenzioni parziali per i modelli open-source, sebbene non per quei modelli con rischi sistemici. Poiché altre giurisdizioni, inclusi gli Stati Uniti, sviluppano politiche per i modelli di fondazione aperti, il ruolo delle licenze rimane una considerazione chiave.
Come i diversi stakeholder stanno pensando alla conformità
Caitlin Andrews, Staff writer per l’IAPP, ha scritto un articolo delineando le preoccupazioni dei leader del settore riguardo all’incertezza sull’integrazione dell’AI Act nel quadro normativo dell’UE, esortando gli organismi di governo a chiarire i dettagli ben prima delle scadenze di conformità. Marco Leto Barone dell’Information Technology Industry Council, che include grandi aziende come Microsoft, IBM e Anthropic, evidenzia la necessità di chiarezza su come l’Act interagisca con le normative esistenti, come il Regolamento Generale sulla Protezione dei Dati e il Cyber Resilience Act. Il consiglio sostiene sforzi coordinati tra gli Stati membri dell’UE e la Commissione per evitare sovrapposizioni normative e garantire prevedibilità per l’industria dell’AI. I diversi paesi stanno adottando approcci variabili per designare le autorità responsabili dell’applicazione, sollevando preoccupazioni sulla uniformità. Ad esempio, la Spagna ha istituito una nuova agenzia di supervisione dell’AI, mentre Germania e Danimarca hanno adattato organismi esistenti. Le aziende, come Roche, affrontano sfide nel determinare come i loro diversi portafogli di AI si adattino ai requisiti dell’Act. Johan Ordish, Global head of Digital Health di Roche, ritiene che sia una sfida il conformarsi senza trattare tutti i sistemi di AI allo stesso modo.