• linkedin-icon
  • twitter-icon
  • facebook-ico
  • youtube-icon
  • instagram-icon
  • Risorsa 1
TUTTI GLI ARTICOLI > Artificial Intelligence

Cos'è l'Artificial Intelligence Act e cosa prevede per l'AI

01 febbraio 2024 / Di Anna Italiano / 0 Comments

Nel mese di aprile 2021 è stato presentato l'Artificial Intelligence Act (abbreviato in AI Act). La Commissione Europea ha presentato una Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (una legge sull'intelligenza artificiale, appunto) e di modifica alcuni atti legislativi dell'Unione.

Il progetto di Regolamento dell'Artificial Intelligence Act, mira ad assicurare che i sistemi di IA (Intelligenza Artificiale) immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione, stimolando gli investimenti e l'innovazione in tale settore in Europa.

In questo articolo, realizzato da Anna Italiano (avvocato e senior advisor dell'Osservatorio Artificial Intelligence del Politecnico di Milano), avremo modo di approfondire:

  • Quali sono le principali linee guida dell'Artificial Intelligence Act;
  • Gli ambiti applicativi principali dell'AI Act;
  • La classificazione dei sistemi ad alto rischio e le pratiche vietate dall'AI Act;
  • Le eccezioni previste all'AI Act;
  • I modelli base di intelligenza artificiale per il mercato europeo;
  • Le misure di Governance nell'Artificial Intelligence Act;
  • L'Artificial Intelligence Act a sostegno dell'Innovazione;
  • Le sanzioni previste dal Regolamento Artificial Intelligenza Act.

Artificial Intelligence Act, le Linee Guida della Normativa

Come noto, l’iter di approvazione dell’Artificial Intelligence Act sta giungendo alle battute finali: in data 14 giugno 2023, il Parlamento Europeo ha adottato la propria posizione negoziale sul Regolamento e, in data 8 dicembre 2023, a seguito di tre giorni di colloqui, il trilogo costituito da rappresentanti del Parlamento Europeo, del Consiglio dell’Unione Europea e della Commissione Europea ha raggiunto un accordo provvisorio sul testo dell’AI Act.

Al momento della redazione di questo articolo, il testo definitivo dell'Artificial Intelligence Act è ancora in fase di approvazione. Il testo integrale verrà sottoposto al voto finale di Parlamento e Consiglio ed entrerà in vigore dopo 20 giorni dalla pubblicazione sulla Gazzetta Ufficiale, presumibilmente nel corso del 2024. L'accordo provvisorio prevede che l’AI Act si applicherà due anni dopo la sua entrata in vigore.

Di seguito illustriamo una sintesi degli elementi fondamentali dell’Artificial Intelligence Act alla luce del testo e delle informazioni attualmente disponibili: la Proposta di regolamento presentata dalla Commissione nel mese di aprile 2021, gli emendamenti approvati dal Parlamento Europeo nel mese di giugno 2023, nonché il comunicato stampa dell’UE pubblicato in data 9 dicembre 2023 a seguito del raggiungimento dell’accordo provvisorio da parte del trilogo.

Gli ambiti di applicazione dell’AI Act

L’Artificial Intelligence Act provvisorio allinea la definizione di Intelligenza Artificiale a quella utilizzata dall’Organizzazione per la Cooperazione e lo Sviluppo Economico, per garantire che tale definizione fornisca criteri sufficientemente chiari per distinguere l’AI dai sistemi software più semplici.

L’AI Act, però, non si applica ai seguenti settori:

  • settori che non rientrano nell'ambito di applicazione del diritto dell’UE (e non dovrebbe, in ogni caso, incidere sulle competenze degli Stati membri in materia di sicurezza nazionale o su qualsiasi entità competente in questo ambito);
  • sistemi utilizzati esclusivamente per scopi militari o di difesa;
  • sistemi di intelligenza artificiale utilizzati solo a scopo di ricerca e innovazione;
  • alle persone che utilizzano l’IA per motivi non professionali.

Classificazione dei sistemi di AI come ad alto rischio e pratiche di AI vietate

L’Artificial Intelligence Act è basato su quell’approccio “risk-Based” che ritroviamo anche in altre normative (prima tra tutte, il GDPR): maggiore è il rischio insito nell’utilizzo di un determinato sistema intelligenza artificiale, maggiori saranno, conseguentemente, le responsabilità di chi sviluppa e usa quel sistema, sino a giungere a un divieto di utilizzo delle applicazioni e delle tecnologie il cui rischio è considerato inaccettabile.

I sistemi di AI ad alto rischio, individuati all'art. 6 dell'Artificial Intelligence Act (vale a dire, ad esempio, quei sistemi che possono porre rischi significativi per la salute e la sicurezza, per i diritti fondamentali delle persone, la democrazia, lo Stato di diritto e le libertà individuali) e consistono nello specifico in:

  • sistemi di AI destinati a essere utilizzati come componenti di sicurezza di prodotti (o qualora i sistemi di IA siano essi stessi prodotti);
  • sistemi di AI che rientrano in uno o più settori critici e casi d’uso che verranno espressamente identificati dalla normativa, se presentano un rischio significativo di danno per la salute umana, la sicurezza o i diritti fondamentali delle persone fisiche; vi rientrano, ad esempio, i sistemi di IA destinati a essere utilizzati nei settori dell’istruzione, della sanità, della selezione del personale, della sicurezza, dell’amministrazione della giustizia e della pubblica amministrazione, quando idonei a incidere sulla salute, sulla libertà e sui diritti fondamentali dei cittadini.

L’Artificial Intelligence Act prevede che i sistemi di AI ad alto rischio siano soggetti a una serie di requisiti e obblighi per accedere al mercato dell’UE, quali:

  • adozione di sistemi di gestione dei rischi;
  • elevata qualità dei set di dati che alimentano il sistema;
  • adozione di documentazione tecnica recante tutte le informazioni necessarie alle autorità per valutare la conformità dei sistemi di Artificial Intelligence ai requisiti;
  • conservazione delle registrazioni degli eventi (“log”);
  • trasparenza e fornitura di informazioni; misure di sorveglianza umana;
  • adeguati livelli di accuratezza, robustezza, cybersicurezza.

L’Artificial Intelligence Act prevedere inoltre che i sistemi di Artificial Intelligence debbano essere sottoposti a una procedura di valutazione della conformità ex ante. Con l’accordo provvisorio raggiunto dal trilogo in data 8 dicembre 2023, i requisiti sopraelencati sono stati chiariti e adeguati al fine di renderli tecnicamente più realizzabili e meno onerosi, ad esempio per quanto riguarda la qualità dei dati, o in relazione alla documentazione tecnica che le PMI dovrebbero redigere per dimostrare la conformità dei loro sistemi di IA ad alto rischio.

Inoltre, poiché i sistemi di AI sono sviluppati e distribuiti attraverso catene del valore complesse, l’accordo chiarisce l’assegnazione delle responsabilità e i ruoli dei vari attori coinvolti in tali catene, in particolare dei fornitori e degli utenti di sistemi di IA.

All'interno dell'Artificial Intelligence Act, viene specificato, inoltre, che la produzione e l’utilizzo di sistemi di AI che presentano solo un rischio limitato saranno soggetti a meri obblighi di trasparenza. Nello specifico, l’art. 52 dell’AI Act reca determinati obblighi di trasparenza che si applicano ai sistemi che interagiscono con le persone fisiche, ai sistemi di riconoscimento delle emozioni e di categorizzazione biometrica (non rientranti tra quelli vietati), ai sistemi che generano o manipolano contenuti ("deep fake"): l’utente dovrà essere informato di stare interagendo con una IA, o che un determinato contenuto è stato generato da una IA (si pensi, ad esempio, ai contenuti deepfake, che dovranno essere marcati come tali), ciò al fine di consentire all’utente di interagire con la tecnologia in modo consapevole e di assumere decisioni informate.

Infine, il Artificial Intelligence Act pone un divieto generale e radicale rispetto a determinati utilizzi dell’AI il cui rischio è considerato inaccettabile. Ciò include manipolazione comportamentalecognitiva,scrapingnon mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso, riconoscimento delle emozionisul luogo di lavoro e negli istituti di istruzione, social scoring, categorizzazione biometricaper dedurne dati sensibili quali l'orientamento sessuale o le convinzioni religiose, alcune applicazioni dipolizia predittivaper le persone (ossia l’utilizzo di IA per prevedere le probabilità di commissione di reati).

Eccezioni previste nell’AI Act a fini di attività di contrasto

Sempre all'interno della proposta dell'Artificial Intelligence Act, con riferimento all'uso dei sistemi di AI a fini di attività di contrasto (come le attività svolte dalle autorità di contrasto a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse), è stata introdotta una procedura di emergenza che consente alle autorità di contrasto di utilizzare uno strumento di IA ad alto rischio che non ha superato la procedura di valutazione della conformità in caso di urgenza, stabilendo altresì un meccanismo specifico per garantire che i diritti fondamentali siano sufficientemente protetti da eventuali abusi dei sistemi di AI.

Tra i temi più discussi vi è stato l'uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, autorizzato dall’accordo provvisorio in via eccezionale in determinati casi e con la previsione di ulteriori tutele: ricerca di vittime di determinati reati, prevenzione di minacce reali, presenti o prevedibili, come attacchi terroristici, ricerca di persone sospettate di aver commesso determinati gravi reati.

Sistemi di IA per finalità generali e modelli di base

artificial intelligence act eu artificial intelligence actRispetto alla Proposta di Regolamento presentata dalla Commissione nel 2021, sono state aggiunte nuove disposizioni per i sistemi di intelligenza artificiale per finalità generali (“GPAI”, ossia sistemi di AI che possono essere utilizzati per molti scopi diversi), per i casi in cui la tecnologia di IA per finalità generali è successivamente integrata in un altro sistema ad alto rischio e per i modelli di base (“foundation models”, ossia i grandi sistemi in grado di svolgere un'ampia gamma di compiti quali la generazione di video, testi, immagini, la conversazione in linguaggio laterale, il calcolo di dati o la generazione di codici informatici).

Nello specifico, l'accordo sull'Artificial Intelligence Act provvisorio raggiunto a dicembre 2023 prevede che i modelli di base debbano rispettare specifici obblighi di trasparenza prima di essere immessi sul mercato, prevedendo altresì un regime più rigoroso per i modelli di basead alto rischio, addestrati con grandi quantità di dati e di complessità, capacità e prestazioni avanzate ben al di sopra della media, che possono diffondere i rischi sistemici lungo la catena del valore.

Sul punto, in attesa del testo definitivo dell’Artificial Intelligence Act, si rammenta che la posizione negoziale assunta dal Parlamento Europeo in data 14 giugno 2023 ha introdotto l’art. 28-ter rubricato “Obblighi del fornitore di un modello di base”, nel quale si prevede che “Un fornitore di un modello di base, prima di metterlo a disposizione sul mercato o di metterlo in servizio, garantisce che sia conforme ai requisiti previsti dal presente articolo, a prescindere dal fatto che sia fornito come modello autonomo o integrato in un sistema di IA o in un prodotto, o fornito su licenza gratuita e open source, come servizio, nonché altri canali di distribuzione”.

Nello specifico, in virtù della già menzionata disposizione, il fornitore di un modello di base, tra le altre cose:

  • “dimostra, mediante progettazione, prove e analisi adeguate, l'individuazione, la riduzione e l'attenuazione dei rischi ragionevolmente prevedibili per la salute, la sicurezza, i diritti fondamentali, l'ambiente, la democrazia e lo Stato di diritto, prima e durante lo sviluppo, con metodi adeguati, ad esempio con il coinvolgimento di esperti indipendenti, nonché la documentazione dei restanti rischi non attenuabili dopo lo sviluppo;
  • elabora e incorpora soltanto insiemi di dati soggetti a idonee misure di governance dei dati per i modelli di base, in particolare misure per esaminare l'adeguatezza delle fonti di dati ed eventuali distorsioni e un'opportuna attenuazione;
  • progetta e sviluppa il modello di base al fine di conseguire, durante l'intero ciclo di vita, opportuni livelli di prestazioni, prevedibilità, interpretabilità, correggibilità, protezione e cybersicurezza, valutati mediante metodi adeguati quali la valutazione dei modelli con la partecipazione di esperti indipendenti, analisi documentate e test approfonditi nelle fasi di concettualizzazione, progettazione e sviluppo;
  • progetta e sviluppa il modello di base, avvalendosi delle norme applicabili per ridurre l'uso di energia, l'uso di risorse e i rifiuti, nonché per aumentare l'efficienza energetica e l'efficienza complessiva del sistema, fatto salvo la vigente normativa dell'Unione e nazionale in materia […]”.

Inoltre, tale disposizione aggiunge ulteriori obblighi qualora i modelli di base vengano utilizzati nei sistemi di AI generativa:

  • adempiere agli obblighi di trasparenza di cui all'articolo 52, paragrafo 1 (informare l’utente di stare interagendo con un sistema di IA);
  • progettare e sviluppare il modello di base in modo da assicurare opportune garanzie contro la generazione di contenuti che violano il diritto dell'Unione, in linea con lo stato dell'arte generalmente riconosciuto e fatti salvi i diritti fondamentali, compresa la libertà di espressione;
  • documentare e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dell'uso dei dati sulla formazione protetti da diritto d'autore.

Le misure di Governance nell’Artificial Intelligence Act

È stato istituito un Ufficio per l'AI, all'interno della Commissione, con il compito di supervisionare i modelli di IA più avanzati, contribuire a promuovere standard e pratiche di test, con regole comuni in tutti gli Stati membri. L’Ufficio per l’IA sarà affiancato dal Comitato scientifico di esperti indipendenti, il quale fornirà la propria consulenza in merito ai modelli di IA per finalità generali, contribuendo allo sviluppo di metodologie per valutare le capacità dei modelli di base, fornendo consulenza sulla designazione e l'emergere di modelli di base ad alto impatto e monitorando i possibili rischi materiali di sicurezza connessi ai modelli di base.

Il Comitato per l’IA, composto da rappresentanti degli Stati membri, sarà una piattaforma di coordinamento e un organo consultivo della Commissione. Il Forum consultivo per gli stakeholder (rappresentanti dell'industria, PMI, start-up, società civile e mondo accademico) avrà il compito di fornire le competenze tecniche a tale Comitato.

Trasparenza e protezione dei diritti fondamentali

È previsto l’obbligo per gli operatori di sistemi di AI ad alto rischio di effettuare una valutazione d'impatto sui diritti fondamentali prima che gli stessi siano immessi sul mercato, nonché una maggiore trasparenza per quanto riguarda l'uso dei sistemi di AI ad alto rischio: in particolare, alcuni degli emendamenti al testo dell'Artificial Intelligence Act approvati nel giugno 2023 ipotizzerebbero la costituzione di una banca dati dell'UE per i sistemi di IA ad alto rischio. Inoltre, nuove disposizioni pongono l'accento sull'obbligo per gli utenti di un sistema di riconoscimento delle emozioni di informare le persone fisiche quando sono esposte a tale sistema.

Misure dell’AI Act a sostegno dell'innovazione

È stato chiarito che gli spazi di sperimentazione normativa per l'IA (che dovrebbero creare un ambiente controllato per lo sviluppo), le prove e la convalida di sistemi di IA innovativi dovrebbero anche consentire di testare sistemi di AI innovativi in condizioni reali, alleggerendo gli oneri amministrativi per le imprese più piccole.

Le Sanzioni previste dall’ai act

Il sistema di sanzioni è basato su una percentuale del fatturato annuo globale nell'esercizio finanziario precedente della società che ha commesso la violazione o, se superiore, su un importo predeterminato: 35 milioni di euro o il 7% per le violazioni relative ad applicazioni di Artificial Intelligence vietate; 15 milioni di Euro o il 3% per violazioni degli obblighi del regolamento sull'AI; 7,5 milioni di Euro o l’1,5% per la fornitura di informazioni inesatte.

Sono previste sanzioni più proporzionate per PMI e start-up in caso di violazione delle disposizioni dell’AI Act.

Vuoi conoscere tutte le opportunità dell'Intelligenza Artificiale per la tua azienda?

Scopri il Programma
  • Autore
Anna Italiano

Avvocato ed esperta di diritto dell’informatica e delle telecomunicazioni, è Partner di Partners4Innovation, dove svolge attività consulenziale in relazione ai profili legali e contrattuali connessi all’utilizzazione e gestione dei sistemi informativi, alla data protection e ai profili legali della sicurezza informatica.  È autrice e coautrice di articoli e pubblicazioni in materia di ICT Law e ha partecipato come relatrice in diversi convegni, seminari, workshop e master. Da anni collabora, in qualità di Senior Advisor, con gli Osservatori Digital Innovation del Politecnico di Milano.

Gli ultimi articoli di Anna Italiano

Ricerca nel blog

    Inserisci qui la tua email

    Potrebbe interessarti

    23 apr 2024
    Storia dell’Intelligenza Artificiale: da Turing ai giorni nostri
    17 apr 2023
    ChatGPT, cos’è e come funziona: limiti e opportunità
    12 apr 2024
    Le applicazioni dell’Intelligenza Artificiale e la loro diffusione
    17 apr 2023
    Cos'è il Natural Language Processing (NLP) e come funziona
    12 apr 2023
    Alla scoperta del Deep Learning: significato, esempi e applicazioni

    Articoli più letti

    23 apr 2024
    Storia dell’Intelligenza Artificiale: da Turing ai giorni nostri
    17 apr 2023
    ChatGPT, cos’è e come funziona: limiti e opportunità
    19 feb 2024
    Cos'è il Welfare Aziendale: come funziona, benefit, vantaggi
    12 apr 2024
    Le applicazioni dell’Intelligenza Artificiale e la loro diffusione
    3 dic 2021
    Il 5G fa male alla salute? Ecco perché non c’è pericolo