L’AI Act, ossia Artificial Intelligence Act, è il primo regolamento al mondo dell’Intelligenza Artificiale, è stato approvato il 21 maggio 2024 dal Consiglio dell’UE. Il progetto di Regolamento mira ad assicurare che i sistemi di IA (Intelligenza Artificiale) immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione, stimolando gli investimenti e l'innovazione in tale settore in Europa. Vediamo in questo articolo i contenuti fondamentali della normativa.
AI Act: l’iter di approvazione
L’AI Act, o Artificial Intelligence Act, è stato presentato per la prima volta nel mese di aprile 2021 dalla Commissione Europea, attraverso la Proposta di Regolamento del Parlamento Europeo e del Consiglio. La proposta di una legge sull’Intelligenza Artificiale nasce con l’obiettivo di stabilire regole armonizzate sull'Intelligenza Artificiale e di modificare alcuni atti legislativi dell'Unione.
In data 14 giugno 2023, il Parlamento Europeo ha adottato la propria posizione negoziale sul Regolamento e, in data 8 dicembre 2023, a seguito di tre giorni di colloqui, il trilogo costituito da rappresentanti del Parlamento Europeo, del Consiglio dell’Unione Europea e della Commissione Europea ha raggiunto un accordo provvisorio sul testo dell’AI Act.
Il testo integrale e definitivo dell’Artificial Intelligence è stato approvato a larga maggioranza dal Parlamento europeo il 13 marzo 2024 (523 i voti a favore, 46 i contrari e 49 gli astenuti) . Il 21 maggio 2024 il Consiglio dell’UE ha approvato in via definitiva l’AI Act. Il testo integrale entrerà in vigore dopo venti giorni dalla pubblicazione sulla Gazzetta Ufficiale, presumibilmente nel corso del 2024, e si applicherà due anni dopo la sua entrata in vigore (salvo alcune eccezioni, che vedremo in seguito).
AI Act: le principali linee guida della normativa
Di seguito illustriamo una sintesi degli elementi fondamentali dell’AI Act, basata sul testo approvato dal Consiglio europeo.
Gli ambiti di applicazione dell’AI Act
L’AI Act allinea la definizione di Intelligenza Artificiale a quella utilizzata dall’Organizzazione per la Cooperazione e lo Sviluppo Economico, per garantire che tale definizione fornisca criteri sufficientemente chiari per distinguere l’AI dai sistemi software più semplici.
L’AI Act non si applica a:
- settori che non rientrano nell'ambito di applicazione del diritto dell’UE (e non dovrebbe, in ogni caso, incidere sulle competenze degli Stati membri in materia di sicurezza nazionale o su qualsiasi entità competente in questo ambito);
- sistemi utilizzati esclusivamente per scopi militari o di difesa;
- sistemi di intelligenza artificiale utilizzati solo a scopo di ricerca e innovazione;
- alle persone che utilizzano l’IA per motivi non professionali.
Classificazione dei sistemi di AI come ad alto rischio e pratiche di AI vietate
L’AI Act è basato su quell’approccio “risk-based” che ritroviamo anche in altre normative (prima tra tutte, il GDPR): maggiore è il rischio insito nell’utilizzo di un determinato sistema intelligenza artificiale, maggiori saranno, conseguentemente, le responsabilità di chi sviluppa e usa quel sistema, sino a giungere a un divieto di utilizzo delle applicazioni e delle tecnologie il cui rischio è considerato inaccettabile.
I sistemi di AI ad alto rischio (vale a dire, quei sistemi che possono porre rischi significativi per la salute e la sicurezza, per i diritti fondamentali delle persone, la democrazia, lo Stato di diritto e le libertà individuali) sono individuati all’art. 6 dell’AI Act e consistono nello specifico in:
- sistemi di AI destinati a essere utilizzati come componenti di sicurezza di prodotti (o qualora i sistemi di IA siano essi stessi prodotti);
- sistemi di AI che rientrano in uno o più settori critici e casi d’uso che verranno espressamente identificati dalla normativa, se presentano un rischio significativo di danno per la salute umana, la sicurezza o i diritti fondamentali delle persone fisiche; vi rientrano, ad esempio, i sistemi di IA destinati a essere utilizzati nei settori dell’istruzione, della sanità, della selezione del personale, della sicurezza, dell’amministrazione della giustizia e della pubblica amministrazione, quando idonei a incidere sulla salute, sulla libertà e sui diritti fondamentali dei cittadini.
L’AI Act prevede che i sistemi di AI ad alto rischio siano soggetti a una serie di requisiti e obblighi per accedere al mercato dell’UE, quali:
- adozione di sistemi di gestione dei rischi;
- elevata qualità dei set di dati che alimentano il sistema;
- adozione di documentazione tecnica recante tutte le informazioni necessarie alle autorità per valutare la conformità dei sistemi di Artificial Intelligene ai requisiti;
- conservazione delle registrazioni degli eventi (“log”);
- trasparenza e fornitura di informazioni; misure di sorveglianza umana;
- adeguati livelli di accuratezza, robustezza, cybersicurezza.
L’AI Act prevedere inoltre che i sistemi di Artificial Intelligence debbano essere sottoposti a una procedura di valutazione della conformità ex ante. Con l’accordo provvisorio raggiunto dal trilogo in data 8 dicembre 2023, i requisiti sopraelencati sono stati chiariti e adeguati al fine di renderli tecnicamente più realizzabili e meno onerosi, ad esempio per quanto riguarda la qualità dei dati, o in relazione alla documentazione tecnica che le PMI dovrebbero redigere per dimostrare la conformità dei loro sistemi di IA ad alto rischio.
Inoltre, poiché i sistemi di AI sono sviluppati e distribuiti attraverso catene del valore complesse, l’accordo chiarisce l’assegnazione delle responsabilità e i ruoli dei vari attori coinvolti in tali catene, in particolare dei fornitori e degli utenti di sistemi di IA.
La produzione e l’utilizzo di sistemi di AI che presentano solo un rischio limitato saranno soggetti a meri obblighi di trasparenza. Nello specifico, l’art. 52 dell’AI Act reca determinati obblighi di trasparenza che si applicano ai sistemi che interagiscono con le persone fisiche, ai sistemi di riconoscimento delle emozioni e di categorizzazione biometrica (non rientranti tra quelli vietati), ai sistemi che generano o manipolano contenuti ("deep fake"): l’utente dovrà essere informato di stare interagendo con una IA, o che un determinato contenuto è stato generato da una IA (si pensi, ad esempio, ai contenuti deepfake, che dovranno essere marcati come tali), ciò al fine di consentire all’utente di interagire con la tecnologia in modo consapevole e di assumere decisioni informate.
Infine, il Regolamento pone un divieto generale e radicale rispetto a determinati utilizzi dell’AI il cui rischio è considerato inaccettabile. Ciò include manipolazione comportamentale cognitiva, scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso, riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, social scoring, categorizzazione biometrica per dedurne dati sensibili quali l'orientamento sessuale o le convinzioni religiose, alcune applicazioni di polizia predittiva per le persone (ossia l’utilizzo di IA per prevedere le probabilità di commissione di reati).
Eccezioni previste nell’AI Act a fini di attività di contrasto
Con riferimento all'uso dei sistemi di AI a fini di attività di contrasto (come le attività svolte dalle autorità di contrasto a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse), è stata introdotta una procedura di emergenza che consente alle autorità di contrasto di utilizzare uno strumento di IA ad alto rischio che non ha superato la procedura di valutazione della conformità in caso di urgenza, stabilendo altresì un meccanismo specifico per garantire che i diritti fondamentali siano sufficientemente protetti da eventuali abusi dei sistemi di AI.
Tra i temi più discussi vi è stato l'uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, autorizzato dall’accordo provvisorio in via eccezionale in determinati casi e con la previsione di ulteriori tutele: ricerca di vittime di determinati reati, prevenzione di minacce reali, presenti o prevedibili, come attacchi terroristici, ricerca di persone sospettate di aver commesso determinati gravi reati.
Sistemi di IA per finalità generali e modelli di base
Rispetto alla Proposta di Regolamento presentata dalla Commissione nel 2021, sono state aggiunte nuove disposizioni per i sistemi di intelligenza artificiale per finalità generali (“GPAI”, ossia sistemi di AI che possono essere utilizzati per molti scopi diversi), per i casi in cui la tecnologia di IA per finalità generali è successivamente integrata in un altro sistema ad alto rischio e per i modelli di base (“foundation models”, ossia i grandi sistemi in grado di svolgere un'ampia gamma di compiti quali la generazione di video, testi, immagini, la conversazione in linguaggio laterale, il calcolo di dati o la generazione di codici informatici).
Nello specifico, l'accordo provvisorio raggiunto a dicembre 2023 prevede che i modelli di base debbano rispettare specifici obblighi di trasparenza prima di essere immessi sul mercato, prevedendo altresì un regime più rigoroso per i modelli di base ad alto rischio, addestrati con grandi quantità di dati e di complessità, capacità e prestazioni avanzate ben al di sopra della media, che possono diffondere i rischi sistemici lungo la catena del valore.
Sul punto, in attesa del testo definitivo dell’AI Act, si rammenta che la posizione negoziale assunta dal Parlamento Europeo in data 14 giugno 2023 ha introdotto l’art. 28-ter rubricato “Obblighi del fornitore di un modello di base”, nel quale si prevede che “Un fornitore di un modello di base, prima di metterlo a disposizione sul mercato o di metterlo in servizio, garantisce che sia conforme ai requisiti previsti dal presente articolo, a prescindere dal fatto che sia fornito come modello autonomo o integrato in un sistema di IA o in un prodotto, o fornito su licenza gratuita e open source, come servizio, nonché altri canali di distribuzione”.
Nello specifico, in virtù della predetta disposizione, il fornitore di un modello di base, tra le altre cose:
- “dimostra, mediante progettazione, prove e analisi adeguate, l'individuazione, la riduzione e l'attenuazione dei rischi ragionevolmente prevedibili per la salute, la sicurezza, i diritti fondamentali, l'ambiente, la democrazia e lo Stato di diritto, prima e durante lo sviluppo, con metodi adeguati, ad esempio con il coinvolgimento di esperti indipendenti, nonché la documentazione dei restanti rischi non attenuabili dopo lo sviluppo;
- elabora e incorpora soltanto insiemi di dati soggetti a idonee misure di governance dei dati per i modelli di base, in particolare misure per esaminare l'adeguatezza delle fonti di dati ed eventuali distorsioni e un'opportuna attenuazione;
- progetta e sviluppa il modello di base al fine di conseguire, durante l'intero ciclo di vita, opportuni livelli di prestazioni, prevedibilità, interpretabilità, correggibilità, protezione e cybersicurezza, valutati mediante metodi adeguati quali la valutazione dei modelli con la partecipazione di esperti indipendenti, analisi documentate e test approfonditi nelle fasi di concettualizzazione, progettazione e sviluppo;
- progetta e sviluppa il modello di base, avvalendosi delle norme applicabili per ridurre l'uso di energia, l'uso di risorse e i rifiuti, nonché per aumentare l'efficienza energetica e l'efficienza complessiva del sistema, fatto salvo la vigente normativa dell'Unione e nazionale in materia […]”.
Inoltre, tale disposizione aggiunge ulteriori obblighi qualora i modelli di base vengano utilizzati nei sistemi di AI Generativa:
- adempiere agli obblighi di trasparenza di cui all'articolo 52, paragrafo 1 (informare l’utente di stare interagendo con un sistema di IA);
- progettare e sviluppare il modello di base in modo da assicurare opportune garanzie contro la generazione di contenuti che violano il diritto dell'Unione, in linea con lo stato dell'arte generalmente riconosciuto e fatti salvi i diritti fondamentali, compresa la libertà di espressione;
- documentare e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dell'uso dei dati sulla formazione protetti da diritto d'autore.
Le misure di Governance nell’AI Act
È stato istituito un Ufficio per l'AI, all'interno della Commissione, con il compito di supervisionare i modelli di IA più avanzati, contribuire a promuovere standard e pratiche di test, con regole comuni in tutti gli Stati membri. L’Ufficio per l’IA sarà affiancato dal Comitato scientifico di esperti indipendenti, il quale fornirà la propria consulenza in merito ai modelli di IA per finalità generali, contribuendo allo sviluppo di metodologie per valutare le capacità dei modelli di base, fornendo consulenza sulla designazione e l'emergere di modelli di base ad alto impatto e monitorando i possibili rischi materiali di sicurezza connessi ai modelli di base.
Il Comitato per l’IA, composto da rappresentanti degli Stati membri, sarà una piattaforma di coordinamento e un organo consultivo della Commissione. Il Forum consultivo per gli stakeholder (rappresentanti dell'industria, PMI, start-up, società civile e mondo accademico) avrà il compito di fornire le competenze tecniche a tale Comitato.
Trasparenza e protezione dei diritti fondamentali
È previsto l’obbligo per gli operatori di sistemi di AI ad alto rischio di effettuare una valutazione d'impatto sui diritti fondamentali prima che gli stessi siano immessi sul mercato, nonché una maggiore trasparenza per quanto riguarda l'uso dei sistemi di AI ad alto rischio: in particolare, alcuni degli emendamenti al testo del Regolamento approvati nel giugno 2023 ipotizzerebbero la costituzione di una banca dati dell'UE per i sistemi di IA ad alto rischio. Inoltre, nuove disposizioni pongono l'accento sull'obbligo per gli utenti di un sistema di riconoscimento delle emozioni di informare le persone fisiche quando sono esposte a tale sistema.
Misure dell’ai act a sostegno dell'innovazione
È stato chiarito che gli spazi di sperimentazione normativa per l'IA (che dovrebbero creare un ambiente controllato per lo sviluppo), le prove e la convalida di sistemi di IA innovativi dovrebbero anche consentire di testare sistemi di AI innovativi in condizioni reali, alleggerendo gli oneri amministrativi per le imprese più piccole.
Le Sanzioni previste dall’ai act
Il sistema di sanzioni è basato su una percentuale del fatturato annuo globale nell'esercizio finanziario precedente della società che ha commesso la violazione o, se superiore, su un importo predeterminato: 35 milioni di Euro o il 7% per le violazioni relative ad applicazioni di Artificial Intelligence vietate; 15 milioni di Euro o il 3% per violazioni degli obblighi del regolamento sull'AI; 7,5 milioni di Euro o l’1,5% per la fornitura di informazioni inesatte.
Sono previste sanzioni più proporzionate per PMI e start-up in caso di violazione delle disposizioni dell’AI Act.
L’applicazione dell’AI Act
Come accennato in precedenza, l'applicazione dell’AI Act avrà inizio 24 mesi dopo l’entrata in vigore, salvo però alcune eccezioni. I divieti relativi a pratiche vietate saranno efficaci sei mesi dopo l'entrata in vigore; i codici di buone pratiche verranno implementati dopo nove mesi; le norme sui sistemi di IA per finalità generali (General Purpose AI Systems), incluse quelle relative alla governance, saranno in vigore dopo 12 mesi, mentre gli obblighi per i sistemi ad alto rischio entreranno in vigore dopo 36 mesi.
L’AI Act in conclusione
Nell’ambito della regolamentazione dell’AI, con l’AI Act l’Unione europea si pone come un ente all’avanguardia e attivo. Tuttavia, per mantenere tale vantaggio sarà fondamentale per l’UE aggiornare questi regolamenti coerentemente allo stato dell'arte e allo sviluppo della tecnologia. L’IA è cresciuta raggiungendo valori record negli ultimi anni. Una legislazione aggiornata ed efficace consentirà di impedire gli usi ad altissimo rischio e, in generale, di sviluppare un approccio risk-based.
Allo stesso tempo, però, le regolamentazioni dovrebbero anche cercare di evitare di normare in modo eccessivo le progettualità meno critiche. L’obiettivo finale è infatti quello di giungere a un corretto equilibrio tra regolamentazione e un’economia florida. Diversamente da quanto avvenuto rispetto al passato (come nel caso del Cloud), il confronto dell’UE con i vari player del settore dell’AI fa ben sperare che in futuro si possa raggiungere tale obiettivo.
Vuoi conoscere tutte le opportunità dell'Intelligenza Artificiale per la tua azienda?
- Autore
Avvocato ed esperta di diritto dell’informatica e delle telecomunicazioni, è Partner di Partners4Innovation, dove svolge attività consulenziale in relazione ai profili legali e contrattuali connessi all’utilizzazione e gestione dei sistemi informativi, alla data protection e ai profili legali della sicurezza informatica. È autrice e coautrice di articoli e pubblicazioni in materia di ICT Law e ha partecipato come relatrice in diversi convegni, seminari, workshop e master. Da anni collabora, in qualità di Senior Advisor, con gli Osservatori Digital Innovation del Politecnico di Milano.
Gli ultimi articoli di Anna Italiano
-
Cos'è l'Artificial Intelligence Act e cosa prevede per l'AI 03 giugno 2024
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Articoli più letti