Regolamento europeo sull’intelligenza artificiale: l’AI Act

L’obiettivo dell’AI Act è garantire che l’intelligenza artificiale in Europa sia sicura e rispetti i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale, consentendo al contempo alle imprese che intendono investire nel settore la possibilità di crescere e innovarsi rendendo l’Europa leader in questo campo.

La rilevanza dell’accordo è data dal fatto che si tratta della prima legge al mondo sull’intelligenza artificiale, concepita, tra l’altro, con il preciso intento di guidarne lo sviluppo e l’evoluzione in una direzione incentrata sull’uomo. 

Quali sono i punti principali dell’accordo?

L’accordo raggiunto riguarda in generale i seguenti punti:

• salvaguardia dell’utilizzo dell’AI per scopi generali;
• limitazione all'utilizzo di sistemi di identificazione biometrica da parte delle forze dell'ordine;
• divieti di social scoring e di utilizzo dell’IA per manipolare o sfruttare le vulnerabilità degli utenti;
• diritto dei consumatori e cittadini di presentare reclami e ricevere spiegazioni sulle decisioni basate su sistemi di AI ad alto rischio che incidono sui loro diritti;
• sanzioni che vanno da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda.

Che tipo di approccio ha l’AI act?

L'approccio della disciplina europea è basato sul rischio (risk-based): i sistemi di AI sono, cioè, classificati in base al loro rischio.

A ogni livello vengono associati obblighi precisi e stringenti per i fornitori e gli sviluppatori di tali sistemi.

L’AI Act in particolare individua 4 livelli di rischio:

• inaccettabile;
• alto;
• limitato;
• minimo o nullo.

Quando il rischio è considerato inaccettabile?

Riconoscendo la potenziale minaccia ai diritti dei cittadini e alla democrazia portate da determinati sistemi di AI, nel regolamento si intende vietare:

• l’impiego di sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (come convinzioni politiche, religiose, filosofiche, orientamento sessuale, razza);
• la raccolta non mirata di immagini facciali da internet o filmati CCTV per creare database di riconoscimento facciale;
• il riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative;
• un sistema di punteggio sociale basato sul comportamento sociale o sulle caratteristiche personali;
• sistemi di AI che manipolano il comportamento umano per aggirare il libero arbitrio;
• l’utilizzo dell’IA per sfruttare le vulnerabilità delle persone (a causa della loro età, disabilità, situazione sociale o economica).

Il caso particolare dei sistemi di identificazione biometrica

Il regolamento contiene anche una serie di garanzie ed eccezioni per limitare l’uso di sistemi di identificazione biometrica (RBI) da parte delle forze dell’ordine.

Tale utilizzo è consentito in spazi accessibili al pubblico e per scopi di contrasto solo a seguito di autorizzazione giudiziaria e per una serie di reati gravi rigorosamente individuati e definiti. 

L’RBI può essere utilizzato nella ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave.

L'RBI utilizzata in tempo reale deve rispettare condizioni rigorose e il suo utilizzo è limitato nel tempo e nel luogo e consentito solo per:

• ricerche mirate delle vittime di alcuni reati (ad esempio sequestro, traffico di esseri umani, sfruttamento sessuale);
• prevenzione di una minaccia terroristica specifica e attuale;
• localizzazione o identificazione di una persona sospettata di aver commesso un reato grave (ad esempio terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un'organizzazione criminale, reati ambientali).

Quando il rischio è alto?

I sistemi di AI identificati come ad alto rischio a causa del loro significativo potenziale danno alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto, sono sintetizzati nella tabella seguente.

Settore di utilizzo	Esempi di uso ad alto rischio dell’AI
infrastrutture critiche nei casi in cui è possibile mettere a rischio la vita e la salute dei cittadini	nell’ambito dei trasporti
istruzione o formazione professionale per determinare l'accesso all’educazione e a corsi	per decidere: - che scuola deve frequentare uno studente; - il punteggio di esami; - se promuovere o bocciare uno studente
componenti di sicurezza dei prodotti	nella chirurgia robotizzata
occupazione, gestione dei lavoratori e accesso al lavoro autonomo	Per le seguenti finalità: - assumere o selezionare persone fisiche, in particolare per lo screening o il filtraggio delle candidature, la valutazione dei candidati nel corso di colloqui o test; - decidere la promozione e la risoluzione dei rapporti contrattuali di lavoro; - assegnare compiti, monitorare e valutare le prestazioni e il comportamento delle persone nei rapporti di lavoro
servizi privati/ servizi pubblici essenziali	- nel settore bancario per scegliere chi ha diritto di ottenere un prestito; - nel settore assicurativo per selezionare chi assicurare, a che condizioni e quale premio far pagare al cliente
applicazione della legge che interferisce con i diritti fondamentali delle persone	per le seguenti finalità: - valutare il rischio che una persona possa compiere un reato; - valutare l’attendibilità delle affermazioni di un individuo; - valutare l’affidabilità delle prove; - profilare le persone fisiche nel corso delle indagini o nell’attività di perseguimento di reati
amministrazione della giustizia e processi democratici	- per le finalità indicate nella riga precedente; - per applicare la legge a un insieme concreto di fatti; - per influenzare l’esito delle elezioni e il comportamento degli elettori
gestione della migrazione, dell'asilo e del controllo delle frontiere	per verificare l'autenticità dei documenti di viaggio

Obblighi da osservare in caso di rischio alto

Per i sistemi di AI classificati come ad alto rischio sono stati concordati degli obblighi ulteriori rispetto a quelli di trasparenza, stesura di documentazione tecnica, rispetto della normativa UE sul diritto d'autore e diffusione di riepiloghi dettagliati sui contenuti utilizzati per la formazione, previsti in generale dalla disciplina.

Essi, infatti, possono essere messi sul mercato solo a condizione che siano rispettati gli obblighi rigorosi indicati nella seguente tabella.

Obblighi da rispettare nei sistemi ad alto rischio
Prima dell’uso del sistema (1)	adeguati sistemi di valutazione e mitigazione dei rischi (c.d. risk management)
	elevata qualità delle serie di dati che alimentano il sistema
Durante l’uso del sistema	registrazione dell'attività
	documentazione dettagliata in grado di fornire tutte le informazioni necessarie sul sistema e sul suo scopo
	informazioni chiare e adeguate all'utente
	conduzione continua di test
	in caso di incidenti gravi immediato avviso alla Commissione
Dopo l’uso del sistema	adeguate misure di sorveglianza umana
	elevato livello di robustezza, sicurezza e precisione del sistema
(1) Per il settore assicurativo e bancario è prevista anche una valutazione d'impatto obbligatoria sui diritti fondamentali.

Fino a quando non verranno pubblicate le norme del regolamento, i sistemi di AI ad alto rischio potranno fare affidamento su dei codici di condotta sviluppati dall'industria, dalla comunità scientifica e dalla società civile insieme alla Commissione.

Quando il rischio è limitato?

Il rischio limitato si riferisce ai sistemi di AI come i chatbot. Essi devono rispettare specifici obblighi di trasparenza: quando si utilizzano tali sistemi gli utenti devono essere informati del fatto che stanno interagendo con un sistema non umano, in modo da poter decidere in maniera consapevole se continuare o terminare l’interazione.

Quando il rischio è minimo o nullo?   

Il rischio minimo interessa la stragrande maggioranza dei sistemi di AI attualmente utilizzati nell'UE, come quelli di raccomandazione, i filtri antispam o i videogiochi abilitati per l’intelligenza artificiale.

Tali sistemi non hanno praticamente obblighi perché presentano un rischio nullo o trascurabile per i diritti o la sicurezza dei cittadini.

Tuttavia, le aziende possono impegnarsi a rispettare codici di condotta aggiuntivi.

Misure a sostegno dell'innovazione e delle PMI

L’AI Act intende inoltre garantire che le imprese, e in particolare le PMI, possano sviluppare soluzioni di intelligenza artificiale senza indebite pressioni da parte dei giganti del settore.

A tal fine, l’accordo promuove i c.d. sandbox normativi istituiti dalle autorità nazionali per sviluppare e formare un’AI innovativa prima del collocamento sul mercato.

I sandbox sono ambienti in cui le aziende possono sperimentare nuovi prodotti o servizi tecnologici sotto la supervisione delle autorità di settore, per un periodo limitato, e con la possibilità di beneficiare di deroghe alle norme vigenti.

Quali sono le prossime tappe?

Le reali tempistiche del Regolamento sull’AI non sono ancora note né facili da prevedere.

Presumibilmente le prossime tappe saranno le seguenti:

• almeno quattro incontri per lavorare sugli aspetti tecnici del testo fino a gennaio 2024;
• approvazione del testo da parte dei rappresentanti dei governi entro fine gennaio 2024;
• approvazione da parte del Parlamento e del Consiglio entro fine febbraio 2024;
• finalizzazione del provvedimento e revisione giuridica e linguistica tra marzo e giugno 2024;
• pubblicazione del testo nella gazzetta ufficiale verso giugno 2024 ed entrata in vigore 20 giorni dopo;
• applicabilità dell’AI Act 2 anni dopo la sua entrata in vigore.

Per superare questo lungo periodo di transizione, la Commissione ha dichiarato di voler lanciare un Patto per l'IA. Con esso gli sviluppatori di IA si impegnano su base volontaria ad attuare gli obblighi principali dell’AI Act prima della sua entrata in vigore.

(Fonte: Diritto e Giustizia)