Lo scorso 14 giugno il Parlamento europeo ha approvato l’AI Act, il primo regolamento al mondo sull’Intelligenza Artificiale (IA).

Per ora si tratta solo di una bozza, ma ci si aspetta dall’Europa la definizione della versione definitiva del documento entro fine anno.

Il punto di forza dell’AI Act è quello di offrire trasparenza sull’uso dell’Intelligenza Artificiale tramite un approccio basato sul rischio.

Il contesto di partenza

L’Intelligenza Artificiale ha ormai fatto irruzione nella vita quotidiana delle persone, basti pensare ad esempio all’impiego massivo di ChatGPT, tecnologia che consente di creare testi, eseguire traduzioni, riassumere brani, generare immagini, e molto altro.

Per ciò che riguarda l’impiego dell’IA in ambito produttivo, molti sono i timori dei lavoratori sulla possibilità che sistemi evoluti e addestrati a compiere le loro stesse mansioni in tempi rapidi e a costo zero possano sostituirli.

In questo quadro si inserisce l’azione del Parlamento europeo, che lo scorso giugno ha approvato una proposta di regolamento sull’IA, con cui si introducono restrizioni per quelli che sono considerati gli utilizzi più rischiosi dello strumento.

Il tutto per garantire migliori condizioni per lo sviluppo di questa tecnologia innovativa, cercando di considerare al contempo le sue implicazioni sociali, economiche ed etiche.

Così si legge nella relazione introduttiva della bozza: “La presente proposta risponde altresì alle richieste esplicite del Parlamento europeo e del Consiglio europeo, che hanno ripetutamente chiesto un intervento legislativo che assicuri il buon funzionamento del mercato interno per i sistemi di intelligenza artificiale (“sistemi di IA”), nel contesto del quale tanto i benefici quanto i rischi legati all’intelligenza artificiale siano adeguatamente affrontati a livello dell’Unione. Essa contribuisce all’obiettivo dell’Unione di essere un leader mondiale nello sviluppo di un’intelligenza artificiale sicura, affidabile ed etica, come dichiarato dal Consiglio europeo, e garantisce la tutela dei principi etici, come richiesto specificamente dal Parlamento europeo”.

Gli obiettivi dell’AI Act

La proposta di regolamento per l’Intelligenza Artificiale costituisce una parte fondamentale della strategia dell’Unione europea per il mercato unico digitale.

L’obiettivo è quello di fissare regole in merito allo sviluppo, all’immissione sul mercato, e all’utilizzo di prodotti e servizi che ricorrono a tecnologie di IA, o che vengono forniti come sistemi di IA indipendenti (“stand-alone”).

La proposta definisce requisiti obbligatori comuni, applicabili alla progettazione e allo sviluppo dei sistemi di Intelligenza Artificiale prima della loro immissione sul mercato (che saranno resi ulteriormente operativi attraverso norme tecniche armonizzate), e contempla anche la situazione successiva, prevedendo specifiche modalità secondo le quali eseguire i controlli.

Che cosa vieta l’AI Act

La proposta adotta un approccio “risk based” per regolamentare l’Intelligenza Artificiale, concentrandosi sulle applicazioni con il maggior potenziale di danno umano, e individuando quattro diversi livelli di rischio.

1 / Rischio inaccettabile

I sistemi di IA considerati a rischio inaccettabile – il cui utilizzo sarà totalmente vietato – sono quelli che costituiscono una minaccia per le persone.

Rientrano in questa categoria:

• La manipolazione comportamentale cognitiva dei singoli individui o di gruppi vulnerabili specifici, come ad esempio i bambini
• La classificazione sociale delle persone in base al comportamento, al livello socio-economico, e alle caratteristiche individuali
• I sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale

Potrebbero tuttavia essere previste alcune eccezioni, come ad esempio i sistemi di identificazione biometrica a distanza “ex post”, utili per la ricerca di potenziali vittime di reato, oppure per indagare su reati gravi (in tal caso previa autorizzazione del tribunale).

2 / Alto rischio

I sistemi di IA che influiscono in modo negativo sulla sicurezza o sui diritti fondamentali sono considerati ad “alto rischio”, e dovranno essere valutati prima di finire sul mercato e durante tutto il loro ciclo di vita.

Tali sistemi vengono suddivisi dall’AI Act in due gruppi:

Nel primo troviamo sistemi di Intelligenza Artificiale disciplinati dalle normative di armonizzazione elencate nell’allegato II dell’AI Act (tra le quali rientrano la direttiva UE 2014/33 sugli apparecchi e sistemi di protezione destinati a essere utilizzati in atmosfera potenzialmente esplosiva, e la direttiva UE 2014/53, concernente l’armonizzazione delle legislazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio).

Nel secondo troviamo sistemi di Intelligenza Artificiale che rientrano in aree specifiche elencate nell’allegato III dell’AI Act, riguardanti l’identificazione e categorizzazione biometrica di persone fisiche; la gestione e il funzionamento di infrastrutture critiche; l’istruzione e la formazione professionale; l’occupazione, la gestione dei lavoratori, e l’accesso al lavoro autonomo; l’accesso a prestazioni e servizi pubblici e a servizi privati essenziali (e la fruizione degli stessi); le operazioni di polizia; la gestione della migrazione, dell’asilo, e del controllo delle frontiere; l’amministrazione della giustizia e dei processi democratici.

Sulle IA considerate ad “alto rischio” si dovranno perciò effettuare controlli rigorosi, tesi a verificare la loro conformità ad obblighi, quali:

• Adeguati sistemi di valutazione e mitigazione del rischio
• Set di dati di alta qualità per minimizzare rischi ed esiti discriminatori
• Tracciabilità dei dati
• Documentazione informativa dettagliata in termini di sistema e scopo, per permetterne la verifica della conformità da parte delle Autorità preposte, sia prima che dopo il lancio sul mercato
• Minimizzazione dei rischi tramite adeguate misure di sorveglianza “umana”
• Elevato livello di robustezza, sicurezza e accuratezza

Le IA generative, come ad esempio ChatGPT, dovranno rispettare questi requisiti di trasparenza, e rivelare che il contenuto è stato creato da un’Intelligenza Artificiale.

Dovranno inoltre essere progettate in modo tale da impedire la generazione di contenuti illegali, e pubblicare i riepiloghi dei dati con i diritti d’autore utilizzati per il loro addestramento.

3 / Rischio limitato

A differenza dei precedenti, i sistemi di IA a rischio limitato non comportano pericoli considerevoli, ma dovranno comunque rispettare un set di requisiti minimi di trasparenza.

Ciò per consentire agli utenti di prendere decisioni informate, e far sì che possano decidere di continuare a utilizzare l’IA dopo aver appreso di stare interagendo con essa.

Questa categoria include, ad esempio, i sistemi di IA in grado di generare o manipolare contenuti di immagini, audio o video (i cosiddetti “deepfake”).

4 / Rischio minimo o nullo

In questa ultima ipotesi, essendovi rischi minimi o nulli in termini di diritti o sicurezza dei cittadini, non sono previsti obblighi, ed è consentito il libero utilizzo dell’IA.

Sono considerati sistemi a rischio minimo o nullo le applicazioni come videogiochi abilitati per l’Intelligenza Artificiale o i filtri antispam.

La maggior parte dei sistemi di IA attualmente utilizzati in Europa ricade in quest’ultima categoria.

La questione privacy nell’AI Act

Nell’AI Act c’è il chiaro intento di rispettare i diritti delle persone.

Sul fronte privacy sono diversi i riferimenti all’uso dei dati personali nel testo del regolamento emendato dal Parlamento europeo.

In generale, dalla lettura della bozza, risulta che, nel caso in cui siano trattati dati personali, gli interessati andranno informati sull’utilizzo delle loro informazioni, e dovrà inoltre essere prestata particolare attenzione all’accuracy delle stesse.

Andrà inoltre sempre valutata la base giuridica del trattamento, e dovranno essere considerati attentamente i diritti degli singoli.

Altro aspetto di cruciale importanza riguarda la necessità per gli enti privati e pubblici, come le scuole, di avvalersi di competenze “ad hoc”. 

In primis, e limitatamente a questi aspetti, tanto le pubbliche amministrazioni quanto le aziende, oltre a dotarsi di competenze puntuali rispetto alla specificità del tema, dovranno almeno:

• Formulare informative sempre più trasparenti, anche in relazione alla base giuridica
• Implementare procedure idonee per consentire all’interessato di esercitare i propri diritti

Infine, con particolare riferimento ai sistemi di IA ad alto rischio, i fornitori e gli utenti dovranno implementare misure tecniche e organizzative all’avanguardia per tutelare tali diritti.

I prossimi step

Il Regolamento entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione sulla Gazzetta Ufficiale e, sempre stando alla bozza approvata, sarà applicabile direttamente negli Stati membri 24 mesi dopo.

Bisogna ammettere che la partita è molto più complessa di quanto si possa immaginare. 

Le norme sono importanti, ma bisogna valutare anche il coinvolgimento di ogni corpo intermedio, dalle aziende alle PA, nella comprensione non ideologica dell’Intelligenza Artificiale.

Siccome tutte le leggi al riguardo – da quelle esistenti a quelle in via di approvazione – sono norme all’avanguardia che cercano di tutelare la dignità dell’uomo e permettere alle persone di trarre il massimo vantaggio dall’uso dell’IA, serve il contributo attivo e partecipativo di tutti.