AI Act, arrivano nuove regole
A che punto è l’AI Act?
L’adozione di strumenti digitali e tecnologie innovative è ormai una realtà sempre più presente nella nostra vita quotidiana. Grande protagonista di questa rivoluzione è l’Intelligenza Artificiale (IA), che con il suo vasto spettro di applicazioni -dall’elaborazione e comprensione del linguaggio naturale all’ambito industriale e domestico, passando per il settore sanitario- sta assumendo un ruolo sempre più rilevante.
Il suo utilizzo, tuttavia, non è esente da rischi e criticità. Per questo motivo nel 2021, la Commissione Europea ha proposto il primo quadro normativo dell’UE per l’IA al fine di stabilire uno standard etico e sicuro per lo sviluppo e l’uso di questa tecnologia che ormai sta diventando parte integrante della società. L’AI Act rappresenta un passo significativo per l’Unione Europea verso un quadro normativo che influenza non solo gli sviluppatori e i fornitori di tecnologie IA, ma tutti i settori in cui questo tipo di tecnologie trova applicazione.
Lo scorso 2 febbraio gli ambasciatori dei 27 paesi dell’UE (Coreper) hanno votato all’unanimità l’ultima bozza del testo di legge, approvando l’accordo politico raggiunto nel dicembre 2023. Il prossimo passo è la votazione finale prevista per il 24 aprile 2024.
Quali sono i punti chiave dell’AI Act?
Il principio fondamentale su cui si basa l’AI Act è quello di promuovere lo sviluppo e l’utilizzo dell’IA in modo eticamente responsabile. L’obiettivo è quello di garantire che la tecnologia sia utilizzata nel rispetto dei diritti umani, delle libertà fondamentali e dei valori europei, come la trasparenza, l’equità e la responsabilità sociale.
I punti salienti contenuti nel testo del AI Act possono essere riassunti come segue:
- Una definizione di sistema di IA allineata all’approccio proposto dall’OCSE (Organizzazione per la cooperazione e lo sviluppo economico) che l’IA come un “Sistema basato su macchina che, per obiettivi espliciti o impliciti, deduce dagli input ricevuti come generare output, quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali. I diversi sistemi di IA variano nei loro livelli di autonomia e adattabilità dopo l’implementazione”;
- Il regolamento non si applica a settori che esulano dal campo di applicazione del diritto dell’UE e non dovrebbe incidere sulle competenze degli Stati membri in materia di sicurezza nazionale. La legge sull’IA non si applicherà a:
- Sistemi utilizzati esclusivamente per scopi militari o di difesa;
- Sistemi utilizzati esclusivamente per la ricerca e l’innovazione;
- Persone che utilizzano l’IA per motivi non professionali.
- Viene stabilito un livello orizzontale di protezione per i sistemi di IA, utilizzando una classificazione ad alto rischio per evitare di regolamentare inutilmente l’IA a basso rischio. I sistemi a rischio limitato sono soggetti a obblighi minimi di trasparenza;
- Un’ampia gamma di sistemi di IA ad alto rischio sarà autorizzata, ma dovrà rispettare determinati requisiti e obblighi per poter accedere al mercato dell’UE. L’accordo raggiunto chiarisce i ruoli e le responsabilità all’interno delle catene di valore dell’IA, in particolare per i fornitori e gli utenti. Inoltre, l’AI Act delinea il rapporto tra le responsabilità previste dalla legge sull’IA e la normativa esistente, ad esempio il GDPR, garantendo coerenza e armonizzazione in materia di privacy dei dati;
- Le seguenti applicazioni dell’IA sono riconosciute come un rischio inaccettabile per i diritti dei cittadini e la democrazia e sono pertanto vietate:
- Sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (ad esempio, convinzioni politiche, religiose, filosofiche, orientamento sessuale, razza);
- Scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale;
- Riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative;
- Punteggio sociale basato sul comportamento sociale o sulle caratteristiche personali;
- Sistemi di IA che manipolano il comportamento umano per eludere il loro libero arbitrio;
- Sfruttamento da parte dell’IA delle vulnerabilità delle persone (età, disabilità, situazione sociale o economica);
- L’accordo prevede una maggiore trasparenza sull’uso dei sistemi di IA ad altro rischio e una valutazione dell’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment-FRIA) prima che questi vengano immessi sul mercato;
- Viene introdotta una procedura di emergenza per consentire alle forze dell’ordine l’uso di uno strumento di IA ad alto rischio in situazioni urgenti. Tuttavia è previsto anche un meccanismo per garantire la protezione dei diritti fondamentali contro il potenziale uso improprio dei sistemi di Intelligenza Artificiale.
Le eccezioni al riconoscimento biometrico da remoto in tempo reale
L’AI ACT stabilisce condizioni rigorose per l’uso del Biometric Identification Systems (RBI) “in tempo reale” in spazi accessibili al pubblico e ne limita l’adozione a situazioni eccezionali.
Tali eccezioni includono:
- Ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale);
- Prevenzione di una minaccia terroristica specifica e attuale;
- Localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (ad esempio, terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali).
In casi simili le forze dell’ordine possono accedere al riconoscimento facciale ma sono necessarie l’autorizzazione di un’autorità giudiziaria, o di un ente indipendente, e l’analisi della valutazione di impatto per la protezione dei diritti fondamentali delle persone interessate. Tuttavia, gli inquirenti ritengono di dover agire con la massima urgenza possono attivare il riconoscimento biometrico e hanno 24 ore di tempo per richiedere l’autorizzazione.