05 Apr Il nuovo Regolamento UE sull’intelligenza artificiale
In questo articolo:
Definizione di intelligenza artificiale
Criticità della nuova normativa
Impatto economico ed innovazione
Il 13 marzo scorso il Parlamento Europeo ha approvato in via definitiva il Regolamento Europeo sull’Intelligenza Artificiale (AI ACT).
Non senza una certa enfasi, sotto alcuni profili ingiustificata, stampa e politica hanno salutato l’introduzione della nuova legge come un momento storico per la regolamentazione dell’IA nel vecchio continente.
Il regolamento, che entrerà in vigore uniformemente in tutti gli Stati membri, almeno nelle intenzioni, dovrebbe garantire che i sistemi di IA immessi sul mercato europeo e utilizzati nell’UE siano sicuri, rispettino i diritti fondamentali e promuovano l’innovazione
Definizione di intelligenza artificiale
L’AI ACT riconduce alla nozione di intelligenza artificiale tutti quei sistemi che possono analizzare dati, apprendere, risolvere problemi e prendere decisioni, sia autonomamente che in collaborazione con esseri umani. Tali sistemi possono essere software, hardware o una combinazione di entrambi.
Approccio basato sul rischio
Il regolamento introduce una classificazione basata sul rischio per i sistemi di IA.
In base al loro impatto potenziale, i sistemi vengono suddivisi in tre categorie:
Generale: Sistemi di IA con impatto limitato e rischi bassi.
Alto impatto: Sistemi di IA che possono causare danni significativi o rischi sistemici.
Alto rischio: Sistemi di IA utilizzati in settori critici come la salute, la sicurezza e il trasporto
Criticità della nuova normativa
Da tale approccio basato sul rischio, il Regolamento prevede un divieto di utilizzo dell’intelligenza artificiale al fine della “manipolazione cognitivo comportamentale” o al fine dell’estrazione non mirata di immagini facciali da Internet o da filmati registrati da telecamere a circuito chiuso, del riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative. Sono infine vietati i sistemi basati sul social scoring così come la categorizzazione biometrica per dedurre dati sensibili.
Tale divieto è soggetto tuttavia a significative, quanto poco ragionevoli deroghe.
In particolare nell’ambito nell’ambito medico, della ricerca e soprattutto nel settore migratorio e della sicurezza nazionale tali pratiche sono escluse dalla copertura del Regolamento e quindi saranno consentite.
Per intenderci l’utilizzo di sistemi di IA “tipo macchina della verità” e polizia predittiva potranno essere impiegati nei respingimenti contro i migranti.
Allo stesso modo, anche laddove esiste il bando, vale a dire nel settore educativo e commerciale, sarà comunque consentito alle aziende europee di fare affari con Paesi extra Ue con le esportazioni di sistemi di IA vietati nello Spazio Economico Europeo.
Ancora, se da un lato viene vietata la sorveglianza di massa con sistemi di IA, ma c’era bisogno di ribadirlo?, dall’altra si consente alle Forze dell’Ordine di utilizzare sistemi di riconoscimento facciale negli spazi pubblici, purché non in tempo reale ed anche in tempo reale per certe tipologie di reato, ad esempio per i reati di terrorismo.
Considerato che nelle dittature, quanti la pensano diversamente dal Governo sono considerati potenziali terroristi, ben si comprende la timidezza con cui ha operato il legislatore.
Peraltro l’uso di tali sistemi sarà ammesso anche per la ricerca di vittime di rapimento, tratta di esseri umani o sfruttamento sessuale di esseri umani e persone scomparse, per reati gravi tra cui omicidio, rapina a mano armata, stupro, droga, traffico di armi.
La stessa mancanza di determinazione caratterizza la parte di legislazione relativa all’intelligenza artificiale generativa, in linea generale classificata come nell’ambito dei sistemi a basso rischio.
Il legislatore introduce una differenziazione vaga tra Modelli di GPAI generici e sistemici. La classificazione sarebbe riservata al giudizio della Commissione Europea, la quale avrà, in mancanza di parametri certi, avrà di fatto come solo riferimento la definizione ovvia quanto inefficace secondo cui sono sistemici quei modelli il cui impatto può estendersi al sistema.
Si intende in particolare un rischio avente un impatto significativo sul mercato interno a causa della sua portata e con effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica , la sicurezza, l’incolumità pubblica, i diritti fondamentali o la società nel suo complesso, che possono essere propagati su larga scala lungo tutta la catena del valore”.
Nessuna regolamentazione infine è prevista in ordine alla tutela del diritto d’autore con riguardo all’addestramento dell’intelligenze artificiali generative, talché il Regolamento almeno in questo settore appare già obsoleto.
Adempimenti per le aziende
L’AI ACT introduce una serie di obblighi e responsabilità per le aziende che sviluppano, utilizzano o commercializzano sistemi di IA nell’Unione Europea. Vediamo alcuni dei principali adempimenti:
- Classificazione dei Sistemi di IA:
- Le aziende dovranno valutare se i loro sistemi di IA rientrino nella categoria di “generale”, “alto impatto” o “alto rischio”. Questa classificazione determinerà gli obblighi specifici che dovranno essere rispettati.
- I sistemi di IA ad alto rischio, come quelli utilizzati in campo medico o per la sicurezza dei trasporti, saranno soggetti a requisiti più stringenti.
- Trasparenza e Documentazione:
- Dovranno fornire documentazione tecnica dettagliata per i loro sistemi di IA, compresi i dettagli sul funzionamento, l’adattabilità e le capacità.
- I sistemi di IA, infatti, secondo il Regolamento devono essere trasparenti riguardo alle loro operazioni e decisioni. Gli utenti dovranno essere informati sull’uso dell’IA e sui rischi associati.
- Valutazione della Conformità:
- Le aziende dovranno altresì effettuare una valutazione della conformità per garantire che i loro sistemi di IA rispettino i requisiti dell’AI ACT.
- Questa valutazione dovrebbe includere aspetti come la sicurezza, la privacy, la non discriminazione e la trasparenza.
- Responsabilità e Accountability:
- Le aziende saranno inoltre responsabili per il corretto funzionamento dei loro sistemi di IA e, pertanto, dovranno essere in grado di dimostrare la responsabilità e la diligenza nell’uso dell’IA.
- Formazione e Competenza:
- Dovranno, quindi, garantire che il personale coinvolto nello sviluppo e nell’uso dei sistemi di IA riceva la formazione e la competenza necessarie.
- Segnalazione di Incidenti:
- Dovranno segnalare incidenti o malfunzionamenti dei loro sistemi di IA alle autorità competenti.
- Questo contribuirà a migliorare la sicurezza e la fiducia nell’uso dell’IA.
Come avvenuto per il GDPR vi sarà un periodo di transazione, ma
Sanzioni
Divieti: Alcuni divieti previsti dal regolamento saranno applicabili già dopo 6 mesi dalla sua entrata in vigore.
Le norme relative alla trasparenza per i “modelli di IA per finalità generali” saranno pienamente efficaci dopo 2 anni.
Le imprese che non rispettano le norme saranno soggette a considerabili ammende.
Le ammende saranno calcolate anche in base alla percentuale del fatturato annuo dell’azienda e saranno importanti sotto il profilo economico.
Impatto economico ed innovazione
L’impatto economico del Nuovo Regolamento sull’Intelligenza Artificiale (AI ACT) è un aspetto cruciale da considerare.
Si confida in particolare che l’adozione di sistemi di IA sicuri e responsabili possa aumentare la fiducia degli investitori e favorire la crescita economica.
Purtuttavia le aziende dovranno investire risorse significative per adeguarsi alle nuove norme.
Conclusioni
In definitiva il Regolamento Europeo sull’intelligenza artificiale segna certamente una tappa che come con il GDPR pone ancora una volta l’Unione Europea più avanti degli altri dal punto di vista legislativo.
Purtroppo va detto, però, che i più più grossi competitor del settore si trovano al di là dell’Oceano. Tant’è che qualche autore ha bollato il Regolamento come “la legge per gli altri.”
Infatti se è pur vero che l’efficacia della normativa trascende i confini dello Spazio Economico Europeo, tuttavia, anche sulla base del GDPR, appare abbastanza utopistico immaginare che il percorso di “law enforcement” possa essere agevole tanto più che la normativa sull’intelligenza artificiale, come si è visto, a differenza del rigore del GDPR, pone svariate esenzioni e deroghe talché l’aggiramento della disciplina sembrerebbe essere un compito tutto sommato alla portata dei colossi della tecnologia.