AI Act, arrivano nuove regole

A che punto è l’AI Act

L’adozione di strumenti digitali e tecnologie innovative è ormai una realtà sempre più presente nella nostra vita quotidiana. Grande protagonista di questa rivoluzione è l’Intelligenza Artificiale (IA), con il suo vasto spettro di applicazioni, che sta assumendo un ruolo rilevante in diversi settori e ambiti: dal commercio alla salute, passando per la finanza e l’automazione industriale.

Il suo utilizzo, tuttavia, non è esente da rischi e criticità. Per questo motivo, nel 2021 la Commissione Europea ha proposto il primo quadro normativo dell’UE per l’IA al fine di stabilire uno standard etico e sicuro per lo sviluppo e l’uso di questa tecnologia che ormai sta diventando parte integrante della società. L’AI Act rappresenta un passo significativo per l’Unione Europea verso un quadro normativo che influenza non solo gli sviluppatori e i fornitori di tecnologie IA, ma tutti i settori in cui questo tipo di tecnologie trova applicazione.

Lo scorso 2 febbraio gli ambasciatori dei 27 paesi dell’UE (Coreper) hanno votato all’unanimità l’ultima bozza del testo di legge, approvando l’accordo politico raggiunto nel dicembre 2023. Il prossimo passo è la votazione finale prevista per il 24 aprile 2024.

Quali sono i punti chiave dell’AI Act

Il principio fondamentale su cui si basa l’AI Act è quello di promuovere lo sviluppo e l’utilizzo dell’IA in modo eticamente responsabile. L’obiettivo è garantire che la tecnologia sia utilizzata nel rispetto dei diritti umani, delle libertà fondamentali e dei valori europei, come la trasparenza, l’equità e la responsabilità sociale.

I punti salienti dell’AI Act sono questi:

• con l’espressione “sistema di intelligenza artificiale” (sistema di IA) si intende “un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I (approcci di apprendimento automatico, approcci basati sulla logica e approcci basati sulla conoscenza, approcci statistici) che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono;
• il regolamento non si applica a settori che esulano dal campo di applicazione del diritto dell’UE e non dovrebbe incidere sulle competenze degli Stati membri in materia di sicurezza nazionale. La legge sull’IA non si applicherà a:
  • sistemi utilizzati esclusivamente per scopi militari o di difesa;
  • sistemi utilizzati esclusivamente per la ricerca e l’innovazione;
  • persone che utilizzano l’IA per motivi non professionali.
• viene stabilito un livello orizzontale di protezione per i sistemi di IA, utilizzando una classificazione ad alto rischio per evitare di regolamentare inutilmente l’IA a basso rischio. I sistemi a rischio limitato sono soggetti a obblighi minimi di trasparenza;
• un’ampia gamma di sistemi di IA ad alto rischio sarà autorizzata, ma dovrà rispettare determinati requisiti e obblighi per poter accedere al mercato dell’UE.  L’accordo raggiunto chiarisce i ruoli e le responsabilità all’interno delle catene di valore dell’IA, in particolare per i fornitori e gli utenti. Inoltre, l’AI Act delinea il rapporto tra le responsabilità previste dalla legge sull’IA e la normativa esistente, ad esempio il GDPR, garantendo coerenza e armonizzazione in materia di privacy dei dati;
• le seguenti applicazioni dell’IA sono riconosciute come un rischio inaccettabile per i diritti dei cittadini e la democrazia e sono pertanto vietate:
  • sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (ad esempio, convinzioni politiche, religiose, filosofiche, orientamento sessuale);
  • scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale;
  • riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative;
  • punteggio sociale basato sul comportamento sociale o sulle caratteristiche personali;
  • sistemi di IA che manipolano il comportamento umano per eludere il loro libero arbitrio;
  • sfruttamento da parte dell’IA delle vulnerabilità delle persone (età, disabilità, situazione sociale o economica);
• l’accordo prevede una maggiore trasparenza sull’uso dei sistemi di IA ad alto rischio e una valutazione dell’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment-FRIA) prima che questi vengano immessi sul mercato;
• viene introdotta una procedura di emergenza per consentire alle forze dell’ordine l’uso di uno strumento di IA ad alto rischio in situazioni urgenti. Tuttavia, è previsto anche un meccanismo per garantire la protezione dei diritti fondamentali contro il potenziale uso improprio dei sistemi di Intelligenza Artificiale.

Le eccezioni al riconoscimento biometrico da remoto in tempo reale

L’AI Act stabilisce condizioni rigorose per l’uso del Remote Biometric Identification (RBI) “in tempo reale” in spazi accessibili al pubblico e ne limita l’adozione a situazioni eccezionali.

Tali eccezioni includono:

• ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale);
• prevenzione di una minaccia terroristica specifica e attuale;
• localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (ad esempio, terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali).

In casi simili, le forze dell’ordine possono accedere al riconoscimento facciale, ma sono necessarie l’autorizzazione di un’autorità giudiziaria, o di un ente indipendente, e l’analisi della valutazione di impatto per la protezione dei diritti fondamentali delle persone interessate. Tuttavia, se gli inquirenti ritengono di dover agire con la massima urgenza possono attivare il riconoscimento biometrico e hanno 24 ore di tempo per richiedere l’autorizzazione.