AI Act: la prima legge sull’intelligenza artificiale
L’Ai Act (Artificial Intelligence Act), approvato definitivamente dal Consiglio dell’Unione europea il 21 maggio, è la prima legge che va a regolamentare la complessa materia dell’Intelligenza Artificiale (IA) ormai ampiamente presente nella nostra vita, ma che solleva anche gravi problemi di etica, responsabilità e privacy.
Ed è proprio l’Europa il primo continente ad aver fatto questo importantissimo passo, ponendo dei limiti all’uso dell’IA e fissando norme a tutela dei cittadini senza che ciò vada a discapito dell’innovazione.
La maggior parte delle regole contenute nell’AI Act avranno pienamente effetto solamente tra due anni, in modo da permettere alle imprese di adeguarsi a quanto disposto dal Regolamento. Tuttavia, alcune norme, quelle relative ai sistemi di IA ritenuti più pericolosi (a rischio inaccettabile), saranno applicate già dopo 6 mesi dall’entrata in vigore delle nuove disposizioni.
AI Act testo definitivo: le principali regole contenute nel documento
L’AI Act, o EU AI Act, si applica ai fornitori, agli utilizzatori, agli importatori e ai distributori di sistemi e modelli AI nell’Unione europea.
Dovranno attenersi alle norme contenute nel Regolamento anche le persone e le organizzazioni al di fuori dell’Europa nel caso in cui i loro strumenti AI, o gli output di tali strumenti, vengano utilizzati nell’UE.
I fornitori al di fuori dell’UE, che offrono servizi AI nell’UE, devono designare dei rappresentanti autorizzati per coordinare gli sforzi di conformità per loro conto.
Un’importante caratteristica dell’AI Act è quella di seguire un approccio basato sul rischio: maggiore è il rischio che l’applicazione AI causi danni alla società, più rigide sono le regole fissate. Per cui si va da semplici regole di trasparenza per i sistemi AI a rischio limitato, al divieto totale per quelli che presentano un rischio inaccettabile, mentre i sistemi di intelligenza artificiale a rischio alto, pur essendo ammessi, sono soggetti a una serie di requisiti e di obblighi per poter ottenere l’accesso al mercato europeo.
Applicazioni a rischio inaccettabile
Alcune applicazioni AI rientrano tra quelle a rischio inaccettabile: sono i sistemi che usano tecniche di manipolazione subliminale; che sfruttano le vulnerabilità di una persona (età, disabilità o altra situazione di disagio sociale o economico) con lo scopo di distorcere il loro comportamento per causare loro un danno significativo; quelle che, basandosi unicamente sulla profilazione di una persona o sulla valutazione di tratti e caratteristiche della sua personalità, effettuano previsioni sulla probabilità che una persona commetta un reato; quelle che hanno come scopo la costituzione di banche dati di riconoscimento facciale mediante scraping non mirato di immagini tratte da internet o da filmati di telecamere a circuito chiuso o ancora i sistemi di punteggio sociale utilizzati dalle autorità pubbliche, i sistemi di categorizzazione che impiegano i dati biometrici per dedurre informazioni personali sensibili. Tutte queste applicazioni, proprio perché presentano un rischio inaccettabile, sono vietate.
Sono inoltre soggetti a restrizioni molto rigide i sistemi di identificazione biometrica remota in tempo reale utilizzati dalle forze dell’ordine in spazi pubblicamente accessibili.
Applicazioni ad alto rischio
Sono ad alto rischio i sistemi AI impiegati in un prodotto regolamentato o esplicitamente indicato come a rischio elevato. Rientrano nella prima categoria prodotti come i giocattoli, i dispositivi medici, le auto, gli aerei che sono già regolamentati da leggi dell’Ue. I sistemi Ai che costituiscono componenti di sicurezza di tali prodotti o che agiscono come prodotti regolamentati, rientrano tra quelli ad alto rischio.
Sono considerati ad alto rischio per espressa previsione di legge i sistemi biometrici che non sono vietati dall’AI Act o da altre leggi europee o da leggi degli Stati membri, ad eccezione di quelli usati per verificare l’identità di una persona, i sistemi usati come componenti di sicurezza per le infrastrutture critiche (forniture di gas, acqua, elettricità), i sistemi usati nella formazione educativa e professionale, quelli impiegati negli ambienti di lavoro, quelli usati per determinare l’accesso a servizi privati o pubblici essenziali, i sistemi usati dalle forze dell’ordine, quelli impiegati per la migrazione e il controllo delle frontiere, i sistemi usati in processi giudiziari e i sistemi di profilazione.
Applicazioni a rischio limitato
Le applicazioni a rischio limitato sono quelle che possono influenzare i diritti o le volontà degli utenti, ma in misura minore rispetto ai sistemi ad alto rischio. Esse devono soddisfare dei precisi obiettivi di trasparenza tra i quali vi è l’obbligo di informare gli utenti che stanno interagendo con un sistema di IA in modo che possano scegliere se usarlo o meno e siano in grado di comprenderne le conseguenze. Gli sviluppatori e gli utilizzatori di tali applicazioni dovranno fornire informazioni chiare, comprensibili ed accessibili.
Applicazioni a rischio minimo
Sono applicazioni a rischio minimo o nullo tutti i sistemi di IA che non interagiscono con le persone o che lo fanno con un impatto materiale estremamente basso, come ad esempio filtri antispam per le mail, IA nei videogiochi.
Tali sistemi non sono soggetti a specifici obblighi normativi da parte dell’IA Act, ma devono rispettare quelle norme comunque applicabili all’intelligenza artificiale, come quelle in materia di protezione dei dati personali, di responsabilità civile e di concorrenza.
AI Act: gli obblighi previsti in capo ai fornitori, agli utilizzatori e agli importatori
L’AI Act prevede una serie di obblighi a carico di coloro che producono, usano o importano i sistemi di intelligenza artificiale.
I produttori, chiaramente, non potranno progettare sistemi di IA a rischio inaccettabile. Tra gli altri obblighi a loro carico vi sarà quello di inviare i nuovi prodotti a rischio elevato alle autorità competenti prima dell’immissione sul mercato per le valutazioni di conformità, la loro registrazione in un database a livello europeo, la segnalazione di gravi incidenti di IA.
Gli utilizzatori di sistemi di IA dovranno impiegarli secondo il loro scopo, assicurandosi che quelli a rischio elevato abbiano una adeguata supervisione. Inoltre dovranno informare i fornitori, i distributori e le autorità di eventuali gravi incidenti legati all’IA e dovranno conservare i registri del sistema IA per almeno 6 mesi. Infine coloro che utilizzano applicazioni IA a rischio elevato per fornire servizi essenziali (ad esempio istituti finanziari, enti governativi e forze dell’ordine), saranno obbligati a condurre valutazioni d’impatto sui diritti fondamentali prima di utilizzare un’intelligenza artificiale per la prima volta.
Gli importatori e i distributori saranno chiamati a garantire che le applicazioni di IA che distribuiscono rispondano alla normativa dell’EU AI Act.
Inoltre il personale dei fornitori ed utilizzatori di intelligenza artificiale dovranno avere un’adeguata alfabetizzazione IA al fine di gestire tale tecnologia in maniera responsabile.