Arriva il primo quadro normativo sui sistemi di Intelligenza Artificiale

Il commissario europeo al mercato unico, Thierry Breton, ha annunciato il raggiungimento dell’accordo sul primo quadro normativo europeo riguardante i sistemi di Intelligenza Artificiale in un tweet: “Storico! L’AI Act è molto più di un regolamento: è un trampolino di lancio per startup e ricercatori dell’UE per guidare la corsa globale all’intelligenza artificiale”.

L’accordo – il primo del genere al mondo – è stato raggiunto dal cosiddetto trilogo: Parlamento, Commissione e Consiglio. E riguarda l’approvazione del regolamento denominato AI Act – Legge europea sull’Intelligenza Artificiale.

Cosa prevede l’AI Act?

Innanzitutto classifica i sistemi di Intelligenza Artificiale con un approccio “basato sul rischio”, cioè sulla capacità di tali sistemi di causare danni alla società.

Si va dalla categoria del “rischio minimo” a quella del “rischio inaccettabile”; maggiore è il rischio, più severe sono le regole.

La stragrande maggioranza dei sistemi di IA rientra nella categoria del rischio minimo e beneficeranno di un free-pass.

I sistemi di IA identificati nella categoria “ad alto rischio” saranno tenuti invece a rispettare requisiti rigorosi, tra cui sistemi di mitigazione del rischio, alta qualità dei set di dati, registrazione delle attività, documentazione dettagliata, informazioni chiare sugli utenti, supervisione umana e un alto livello di robustezza, accuratezza e sicurezza informatica.

Esempi di sistemi di IA ad alto rischio includono alcune infrastrutture critiche, ad esempio nei settori dell’acqua, del gas e dell’elettricità; dispositivi medici; sistemi per determinare l’accesso alle istituzioni educative o per reclutare persone; o alcuni sistemi utilizzati nei settori delle forze dell’ordine, del controllo delle frontiere, dell’amministrazione della giustizia e dei processi democratici.

Inoltre, anche i sistemi di identificazione biometrica, categorizzazione e riconoscimento delle emozioni sono considerati ad alto rischio.

Il rischio inaccettabile riguarda i sistemi di IA considerati una chiara minaccia ai diritti fondamentali delle persone e saranno vietati.

Questa blacklist include sistemi o applicazioni di IA che manipolano il comportamento umano per aggirare il libero arbitrio degli utenti, come giocattoli che utilizzano l’assistenza vocale che incoraggiano comportamenti pericolosi dei minori o sistemi che consentono il “punteggio sociale” da parte di governi o aziende e alcune applicazioni di polizia predittiva.

Faticosa è stata la mediazione sul sistema di riconoscimento biometrico.

Alcuni usi dei sistemi biometrici saranno vietati: ad esempio, i sistemi di riconoscimento delle emozioni utilizzati sul posto di lavoro e alcuni sistemi per la categorizzazione delle persone o il riconoscimento facciale in tempo reale ai fini dell’ordine pubblico in spazi accessibili al pubblico (con eccezioni ristrette).

L’accordo raggiunto chiarisce gli obiettivi in cui tale uso è strettamente necessario ai fini dell’applicazione della legge e per i quali le autorità incaricate dell’applicazione della legge dovrebbero quindi essere eccezionalmente autorizzate a utilizzare tali sistemi.

L’accordo prevede, inoltre, ulteriori garanzie e limita queste eccezioni ai casi di vittime di determinati reati, alla prevenzione di minacce reali, presenti o prevedibili, come gli attacchi terroristici, e alla ricerca di persone sospettate dei crimini più gravi.

Vi è, infine, la categoria dei rischi specifici, quali le ormai famose chatbot. Quando le utilizzano, gli utenti dovrebbero essere consapevoli che stanno interagendo con una macchina.

I deepfake e altri contenuti generati dall’IA dovranno essere etichettati come tali e gli utenti devono essere informati quando vengono utilizzati sistemi di categorizzazione biometrica o di riconoscimento delle emozioni.

Inoltre, i fornitori dovranno progettare sistemi in modo che i contenuti audio, video, testo e immagini sintetici siano contrassegnati in un formato leggibile dalla macchina e rilevabili come generati o manipolati artificialmente.

In quali ambiti si applicherà l’AI Act?

Il regolamento si applica solo ai settori che soggiacciono al diritto dell’UE.

Il regolamento non dovrebbe, in ogni caso, pregiudicare le competenze degli Stati membri in materia di sicurezza nazionale o di qualsiasi entità incaricata di compiti in questo settore.

Le multe per le violazioni del regolamento sono state fissate come percentuale del fatturato annuo globale della società incriminata nell’anno finanziario precedente o come un importo predeterminato, a seconda di quale sia il più alto.

Si tratterebbe di 35 milioni di euro o del 7% per le violazioni delle applicazioni vietate, di 15 milioni di euro o del 3% per le violazioni degli obblighi della legge e di 7,5 milioni di euro o dell’1,5% per la fornitura di informazioni errate.
Tuttavia, l’accordo provvisorio prevede massimali più proporzionati sulle ammende amministrative per le Pmi e le start-up.

Per alleviare l’onere amministrativo per le imprese più piccole, l’accordo provvisorio include un elenco di azioni da intraprendere a sostegno di tali operatori e prevede alcune deroghe limitate e chiaramente specificate.

L’AI Act si applicherà due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche.

In apertura, illustrazione di Adele Bonaro

Alfonso Pascale