L’impiego delle tecnologie di intelligenza artificiale (di seguito “IA”) è una opportunità di sviluppo cruciale per l’intero tessuto economico e sociale europeo, potendo portare benefici in molteplici settori, tra cui la sanità, il settore pubblico, la finanza, ma anche il settore legale. Attraverso un miglioramento delle previsioni, l’ottimizzazione delle operazioni e delle risorse, la personalizzazione dell’erogazione dei servizi, l’uso delle IA garantisce vantaggi competitivi alle imprese e alle economia europee.
Tuttavia, l’introduzione di queste nuove tecnologie comporta, allo stesso tempo, nuovi rischi, che devono essere mitigati anche attraverso un quadro normativo condiviso.
Ghiglia: “Ma quale blocco all’innovazione, regolare l’AI è un dovere”
Indice degli argomenti
AI Act: l’approccio risk base dell’Europa
In questo contesto, l’Unione Europea ha intrapreso un percorso di normazione mirato ad assicurare il buon funzionamento e lo sviluppo del mercato interno, alla luce del sempre maggiore impiego di strumenti di intelligenza artificiale, svolgendo quindi una quantità considerevole di attività nel settore dell’IA.
In particolare, la Commissione UE ha presentato il 21 aprile 2021 la proposta di Regolamento del Parlamento Europeo e del Consiglio, che stabilisce regole armonizzate sull’intelligenza artificiale (Artificial Intelligence Act), avente l’obiettivo di assicurare che i sistemi di intelligenza artificiale immessi sul mercato UE siano sicuri ed etici, rispettino la normativa vigente in materia di diritti fondamentali, nonché i valori dell’Unione mediante un approccio proporzionato basato sul rischio.
L’approccio risk based della proposta di Regolamento porta a una classificazione dei sistemi di IA in base ai rischi che questi pongono per i diritti fondamentali.
Nello specifico, nella suddetta proposta sono stati individuati i sistemi considerati “ad alto rischio” – quali quelli connessi alla identificazione e categorizzazione biometrica delle persone fisiche, istruzione e formazione professionale, occupazione, gestione dei lavoratori e accesso al lavoro autonomo – e specifici requisiti a cui questi devono conformarsi, oltre ad obblighi per fornitori e utenti di IA appartenenti a questa categoria.
La classificazione di rischio dell’intelligenza artificiale
Un’intelligenza artificiale è individuata come “ad alto rischio” quando è in grado di incidere in modo sensibile sui diritti fondamentali, quali la salute, delle persone fisiche.
L’individuazione dei “sistemi ad alto rischio” risulta essere la chiave di sviluppo attraverso cui leggere i successivi sviluppi che andiamo a descrivere.
Il Consiglio europeo il 6 dicembre 2022 ha infatti adottato il suo orientamento generale su tale proposta presentata dalla Commissione UE, apportando alcune modifiche al testo originario.
In particolare, nel predetto orientamento generale, la definizione di IA viene limitata ai sistemi sviluppati mediante approcci di apprendimento automatico e approcci basati sulla logica e sulla conoscenza, in modo da agevolare la distinzione tra tecnologie di IA e semplici software.
È stato, inoltre, introdotto il nuovo titolo 1 bis che disciplina le “IA per finalità generali”, ossia quei sistemi che possono essere utilizzati per molti scopi diversi, considerando in questo senso anche i casi in cui queste tecnologie sono integrate successivamente in sistemi ad alto rischio.
Per questa nuova categoria sono applicabili più stringenti requisiti, previsti per i sistemi ad alto rischio, soltanto a seguito di un atto di esecuzione della Commissione che specificherebbe come tali requisiti dovrebbero essere applicati in relazione ai sistemi di IA per finalità generali. Ciò sulla base di una consultazione e di una valutazione d’impatto dettagliata. Saranno poi adottabili anche ulteriori atti di esecuzione che stabiliranno le modalità di cooperazione tra i fornitori di sistemi di IA per finalità generali e altri fornitori che intenderanno mettere in servizio o immettere tali sistemi sul mercato dell’Unione come sistemi di IA ad alto rischio.
Per quanto riguarda la classificazione dei sistemi di IA come ad alto rischio, il testo inserisce un livello orizzontale in aggiunta alla classificazione ad alto rischio, al fine di garantire che non siano inclusi i sistemi di IA che non presentano il rischio di causare gravi violazioni dei diritti fondamentali o altri rischi significativi.
Come viene effettuata la valutazione di rischio dell’IA
Con riferimento ai requisiti dei sistemi di IA ad alto rischio, per procedere alla classificazione di tali tecnologie, nell’orientamento generale del Consiglio è evidenziato che dovrà essere presa in considerazione anche la rilevanza dell’output del sistema di IA rispetto all’azione pertinente o alla decisione da adottare.
Al riguardo, infatti, viene aggiunto un livello orizzontale alla classificazione, per evitare di includere in questa categoria strumenti di intelligenza artificiale che non presentano il rischio di causare gravi violazioni dei diritti fondamentali o altri pericoli significativi.
Inoltre, i requisiti per i sistemi ad alto rischio sono stati meglio esplicitati e adeguati, al fine di renderli tecnicamente più realizzabili e meno onerosi per i portatori di interessi.
Ruoli e responsabilità nella catena di distribuzione dell’IA
Il Consiglio europeo ha poi introdotto delle novità, con riferimento, ad esempio, alla qualità dei dati e alla documentazione tecnica che dovrà essere redatta dalle PMI, così come sono stati introdotti chiarimenti sull’assegnazione di ruoli e sulle responsabilità dei vari soggetti coinvolti nelle catene di sviluppo e distribuzione di queste tecnologie, nonché sui rapporti tra la responsabilità ai sensi del Regolamento sull’IA e gli altri regimi di responsabilità previsti da diverse normative preesistenti.
AI Act: gli ambiti di applicazione ed esclusione
Nell’orientamento generale il Consiglio ha specificato poi l’esclusione, dall’ambito di applicazione del futuro Regolamento dei sistemi di IA utilizzati per finalità militari, di difesa e di sicurezza nazionale, nonché l’esclusione di quelli usati per ricerca e sviluppo e di quelli impiegati da privati per scopi non professionali (a cui però si applicano comunque gli obblighi di trasparenza).
Nel suddetto orientamento generale sono state, inoltre, vietate le pratiche di utilizzo dell’Intelligenza Artificiale per assegnare punteggi sociali (anche da parte di enti privati) e quelle che sfruttano le vulnerabilità di gruppi di persone a causa della loro situazione sociale o economica.
Il Consiglio ha poi chiarito i casi in cui l’uso di sistemi di identificazione biometrica remota “in tempo reale”, in spazi accessibili al pubblico, da parte delle autorità, dovrebbe essere eccezionalmente autorizzato, in quanto strettamente necessario ai fini di contrasto.
L’orientamento generale contiene, inoltre, vari chiarimenti sulle procedure di valutazione della conformità e sulla vigilanza del mercato. Sono state aggiunte, inoltre, disposizioni per fornire maggiore autonomia e rafforzare il ruolo del comitato per l’IA e per assicurare il coinvolgimento dei portatori di interessi.
Le sanzioni previste dall’AI Act
Anche per quanto riguarda le sanzioni sono state apportate delle modifiche al Regolamento licenziato dalla Commissione, per rendere i massimali più proporzionati in caso di violazioni da parte di PMI e startup.
Gli altri obblighi dell’AI Act
Al fine di aumentare la trasparenza dei sistemi di IA ad alto rischio, sono stati introdotti alcuni aggiornamenti per indicare che alcuni utenti di un sistema di IA ad alto rischio, essendo entità pubbliche, saranno anche tenute a registrarsi nella banca dati dell’UE per i sistemi di IA ad alto rischio. Inoltre, viene disposto l’obbligo di informare le persone quando sono esposte a sistemi di riconoscimento delle emozioni.
Infine, l’orientamento generale del Consiglio prevede di apportare alcune modifiche alle misure volte a favorire l’innovazione. Al riguardo, l’orientamento generale prevede, ad esempio, che le normative sulla sperimentazione dovrebbero consentire di testare sistemi di IA innovativi in condizioni reali e misure per alleggerire gli oneri amministrativi per le imprese più piccole.
C’è l’accordo sulla regolamentazione dell’intelligenza artificiale
Dopo mesi di trattative, il Parlamento europeo ha quindi raggiunto lo scorso 27 aprile un accordo politico provvisorio sull’Artificial Intelligence Act, contenente una proposta legislativa volta a regolamentare l’Intelligenza Artificiale in base al suo potenziale di danno.
Il provvedimento potrebbe ancora essere modificato a livello tecnico prima del voto in sessione plenaria previsto per metà giugno prossimo.
In particolare, una delle novità inserite nella suddetta bozza di provvedimento è la distinzione tra foundation model, inteso quale modello di sistema di IA che è stato addestrato su quantità di dati su larga scala, che è stato progettato per una generalità di output e che può essere adattato a una grande varietà di funzioni specifiche, e general purpose AI, intesa come un sistema di IA che può essere utilizzato e adattato per una grande varietà di applicazioni per le quali non era stato intenzionalmente e specificamente progettato.
Per quanto riguarda la prima categoria, vengono previsti una serie di obblighi per i produttori, che comprendono vari test e la minimizzazione dei rischi ragionevolmente prevedibili per la salute, la sicurezza, i diritti fondamentali, l’ambiente la democrazia e il principio di legalità. In questi processi devono essere coinvolti anche esperti indipendenti.
Sono previste, inoltre, misure di data governance, comprensive di verifiche sulla sostenibilità delle fonti dei dati e i modi appropriati per minimizzarli. Questi modelli dovranno poi essere monitorati per garantirne il corretto funzionamento durante tutto il loro periodo di utilizzo e dovranno essere registrati in un database europeo.
I foundation models rientrano, inoltre, anche nella categoria di IA generativa (che comprende anche ChatGPT), e sono soggetti a ulteriori requisiti di trasparenza. Infatti, per essi è previsto l’obbligo di pubblicare un documento riassuntivo relativamente all’utilizzo, in fase di addestramento dei modelli, di dati che ricomprendano informazioni protette da normative sul copyright.
Per quanto riguarda i modelli di IA generativa è stata inserita la previsione per cui questi sistemi devono essere progettati e sviluppati rispettando la normativa europea e i diritti fondamentali, compresa la libertà di espressione.
Divieto d’uso dei software di identificazione biometrica
Nella bozza di Regolamento, inoltre, i parlamentari europei hanno definito altre questioni dibattute relativamente alla disciplina dell’IA.
In particolare, il divieto di utilizzo di software di identificazione biometrica, previsto inizialmente solo per i casi di uso real-time, è stato esteso anche all’utilizzo ex-post, solo nel caso di commissione di reati gravi e previa autorizzazione del giudice.
Inoltre, nella suddetta bozza è previsto il divieto dell’uso di software di IA per il riconoscimento delle emozioni nelle attività di polizia, di controllo delle frontiere, sui luoghi di lavoro e nei contesti educativi.
Il divieto di controllo predittivo è stato esteso, altresì, dai reati penali a quelli amministrativi.
Viene confermato poi che un sistema che rientra nell’elenco dell’Allegato III potrà essere considerato ad alto rischio solo se pone un rischio significativo per la salute, la sicurezza o i diritti fondamentali.
Il rischio significativo viene, infatti, definito come “risultato della combinazione della sua gravità, intensità, probabilità di accadimento e durata dei suoi effetti, e della capacità di colpire un individuo, una pluralità di persone o di colpire un particolare gruppo di persone”.
Infine, sono considerati ad alto rischio anche i sistemi di raccomandazione delle piattaforme online di grandi dimensioni, come definiti dal Digital Services Act.
Controlli più stretti per l’elaborazione di dati sensibili
Sono aumentate poi le tutele per i dati sensibili. In particolare, sono previsti dei controlli più stretti su come i provider di sistemi ad alto rischio possono elaborare dati sensibili, ad esempio l’orientamento sessuale o quello politico e religioso. In pratica, per poter elaborare questo tipo informazioni i pregiudizi non devono essere rilevabili attraverso l’elaborazione di dati sintetici, anonimizzati, pseudonimizzati o criptati.
Vengono, infine, indicati alcuni principi generali che devono essere rispettati da tutti i modelli di IA tra cui la sorveglianza e l’intervento umano, la robustezza tecnica e la sicurezza, la tutela della privacy e la data governance, la trasparenza, il benessere sociale e ambientale, la diversità, la non discriminazione e la correttezza.
Solo l’intelligenza artificiale può rendere più sicuro il Metaverso
Conclusioni
In considerazione di quanto sopra esposto, nei prossimi mesi vedremo quindi la fine di questo lungo iter legislativo che sta portando alla emanazione di uno dei Regolamenti più attesi dagli “addetti ai lavori” del settore digitale per via dell’importanza dell’IA.
È infatti sempre più forte la necessità di una regolamentazione univoca e completa in relazione a tale tema, e gli avvenimenti degli ultimi tempi non fanno che confermarlo.
