Social scoring, Large Language Model, identificazione biometrica, contenuti sintetici… non passa giorno in cui non si parli di uno di questi argomenti. L’Intelligenza Artificiale non è una moda passeggera, ma una realtà che si sta sviluppando velocemente e che sta già impattando sul nostro modo di vivere. Proprio per questo l’Unione Europea attraverso l’AI Act mira a regolarne l’utilizzo.
L’iter legislativo e l’entrata in vigore dell’AI Act
Proposto dalla Commissione Europea nell’aprile del 2021, l’AI Act ha subito un processo di approvazioni e modifiche significative, in particolare a seguito della diffusione dei sistemi di Intelligenza Artificiale generativa alla fine del 2022.
Il Consiglio e il Parlamento europeo hanno raggiunto l’accordo politico sulla formulazione del regolamento nel dicembre 2023, e l’approvazione ufficiale da parte del Parlamento è arrivata il 13 marzo 2024.
Il 12 luglio 2024 è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea il testo definitivo del regolamento, e le sue disposizioni verranno implementate gradualmente. In particolare:
- Entro 6 mesi: i sistemi di IA proibiti dovranno essere banditi dai Paesi membri.
- Entro 1 anno: entreranno in vigore le regole per i sistemi di Intelligenza Artificiale di scopo generale, ed è il termine entro cui designare le autorità nazionali che vigileranno sull’applicazione delle norme e svolgeranno attività di vigilanza del mercato.
- Entro 2 anni: la maggior parte delle norme della legge sull’IA inizierà ad applicarsi.
Cos’è l’AI Act
Negli scorsi anni, in Europa si sono susseguiti diversi documenti, raccomandazioni, valutazioni e linee guida riguardanti l’IA e le opportunità e rischi ad essa associati. In particolare, nel 2020 è stato pubblicato il Libro Bianco sull’Intelligenza Artificiale, documento attraverso il quale è stato presentato e formalizzato il cosiddetto “approccio europeo all’eccellenza e alla fiducia”. Nell’aprile del 2021, la Commissione ha proposto l’AI Act.
L’AI Act racchiudere e armonizza gli sforzi sin ora compiuti, si tratta quindi di un insieme di regole che mirano a tutelare i diritti del cittadino, imponendo un approccio “umano-centrico” a chiunque sviluppi o utilizzi sistemi di Intelligenza Artificiale.
Scopo ultimo della normativa è quello di assicurare che i sistemi di IA immessi sul mercato dell’Unione siano sicuri e rispettino i diritti dei cittadini. Ma non solo. L’AI Act prevede infatti una serie di regole per facilitare gli investimenti e l’innovazione nell’Intelligenza Artificiale e per creare i presupposti per lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili.
L’approccio europeo: eccellenza e fiducia
L’AI Act si basa sul cosiddetto approccio europeo all’Intelligenza Artificiale, che si suddivide in due principi: quello dell’eccellenza e quello della fiducia.
La Commissione Europea ha proposto una serie di azioni volte a promuovere l’eccellenza e la diffusione dell’IA in Europa per favorirne lo sviluppo tramite coordinamento di lavori e finanziamenti che contribuiscano a far diventare l’Europa un leader globale nel campo.
Perché l’IA possa effettivamente entrare a far parte delle nostre vite e arrivi a portare i benefici previsti, è necessaria la fiducia di cittadini e aziende. Per questo è necessario lavorare sia sulla qualità degli output prodotti sia su strumenti che regolino i rischi e le responsabilità derivanti dall’uso dell’Intelligenza Artificiale.
Perché ci siano eccellenza e fiducia, è necessario un quadro giuridico capace di proporre un approccio di facile comprensione, sia agli utenti che agli sviluppatori e aziende, in cui spiegare in maniera chiara gli standard di sviluppo da una parte e i rischi nell’utilizzo dall’altra.
Ultimo tassello da considerare perché si possa davvero parlare di fiducia nell’IA è la conoscenza, è infatti necessario che le persone sappiano utilizzare in maniera corretta le Intelligenze Artificiali. È solo con l’aumento e lo sviluppo delle competenze digitali dei cittadini europei – già obiettivo dell’iniziativa DigComp – che si potrà ottenere una reale fiducia negli strumenti utilizzati.
Definizione di IA e GPAI
L’AI Act contiene una serie di definizioni importanti, a partire da quella di Intelligenza Artificiale. Un sistema di IA è definito come: “software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I (tra cui Machine Learning, Deep Learning, approcci basati sulla logica e sulla conoscenza, e approcci statistici), capace di generare, per una determinata serie di obiettivi definiti dall’uomo, risultati come contenuti, previsioni, raccomandazioni o decisioni, influenzando l’ambiente con cui interagisce”.
Lo scorso 8 dicembre, durante le discussioni che hanno portato al raggiungimento dell’accordo politico sul testo, è stato concordato che i sistemi di IA per scopi generali, noti come GPAI – General Purpose AI, debbano adempiere a particolari requisiti di trasparenza. Tra questi requisiti rientrano la stesura di documentazione tecnica e di sintesi dettagliate sui materiali utilizzati per l’addestramento, nonché il rispetto della legge sul copyright dell’UE.
Un GPAI è un sistema di IA capace di svolgere funzioni di applicazione generale come il riconoscimento di immagini, la generazione di audio e video, l’elaborazione e traduzione di testo. Questi sistemi possono avere molteplici scopi e applicazioni, sia prevedibili che non, e sono spesso considerati come modelli fondativi (Foundation Models), poiché utilizzati come base per altri sistemi di IA più specializzati.
Per i GPAI sono previsti due livelli di obblighi.
- Il primo livello, applicato a tutti i sistemi, richiede la pubblicazione di una lista dei materiali utilizzati per l’addestramento degli algoritmi. Questo strumento dovrebbe aiutare i produttori di contenuti a difendere o farsi riconoscere i diritti d’autore. Inoltre, c’è l’obbligo di rendere riconoscibili i contenuti prodotti dall’AI, al fine di contrastare truffe o disinformazione.
- Il secondo livello di obblighi riguarda i sistemi che presentano rischi sistemici. I negoziatori del Parlamento hanno inserito nell’accordo una serie di obblighi specifici per questi sistemi. Questi includono l’effettuazione di valutazioni del modello stesso e dei rischi sistemici, test di sicurezza, nonché l’obbligo di riferire alla Commissione in caso di incidenti gravi. Attualmente, si considerano sistemi di Intelligenza Artificiale con rischi sistemici quelli addestrati con una potenza di calcolo totale superiore a 10^25 FLOP (floating point operations per second, unità di misura della capacità computazionale), al momento solo GPT-4 di OpenAI e Gemini di Google vi rientrano. Tuttavia, è prevista la possibilità di aggiornare questa soglia in base ai progressi tecnologici e di designare altri modelli come tali basandosi su ulteriori criteri, quali il numero di utenti o il grado di autonomia del modello.
Classificazione dei rischi
Uno degli obiettivi dell’AI Act è individuare i profili di rischio nell’utilizzo delle Intelligenze Artificiali, classificandoli in base al livello di pericolo che rappresentano per la salute, la sicurezza e i diritti fondamentali delle persone. Il regolamento introduce un sistema di classificazione univoco, suddiviso in quattro livelli: inaccettabile, alto, limitato e minimo. Questo sistema permette agli sviluppatori e alle aziende di valutare se e come procedere nell’implementazione delle IA. L’AI Act prevede la massima supervisione e regolamentazione per le categorie ritenute inaccettabili o ad alto rischio, dedicando particolare attenzione a questi livelli.
- Rischio inaccettabile
In questa categoria rientrano tutti i sistemi di IA che possono costituire una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone, che possono manipolare il comportamento umano, nel tentativo di aggirare il libero arbitrio, o che consentono di attribuire un “punteggio sociale” (social scoring) da parte dei governi. Tutti i sistemi che possono rientrare in questo livello di rischio sono espressamente vietati all’interno dell’Unione Europea. - Rischio alto
La seconda categoria è invece quella del rischio alto. In questa rientreranno tutti quei sistemi che possono impattare in maniera significativa sulla vita delle persone. Esempi possono essere infrastrutture critiche dotate di IA e sistemi intelligenti applicati a servizi pubblici o privati essenziali (come programmi di analisi e scoring del credito). Tutti questi sistemi non saranno vietati, ma saranno soggetti a obblighi rigorosi, con adeguati sistemi di valutazione e attenuazione dei rischi. - Rischio limitato
Questa categoria comprende i sistemi con un limitato potenziale di manipolazione, soggetti a obblighi di trasparenza. Ciò include informare una persona della sua interazione con un sistema di Intelligenza Artificiale, come nel caso dei chatbot, e segnalare contenuti generati o manipolati artificialmente. - Rischio minimo
Tutti quei sistemi che invece non presentano problematiche (ad esempio filtri spam e videogiochi), rientreranno nell’ultima categoria, quella dei rischi minimi. Generalmente, si considera un sistema AI di rischio minimo o nullo quando non appartiene a nessun’altra categoria definita precedentemente.
Rischio inaccettabile
In questa categoria rientrano i sistemi di IA espressamente vietati, poiché rappresentano un rischio inaccettabile per l’incolumità, la protezione e i diritti fondamentali delle persone.
Nello specifico, si tratta di:
- sistemi di IA che sfruttano vulnerabilità o tecniche subliminali per manipolare specifici gruppi, come bambini, anziani o persone con disabilità, causando danni;
- sistemi di categorizzazione biometrica basati su caratteristiche sensibili, come convinzioni politiche, religiose, filosofiche, orientamento sessuale;
- social scoring, ovvero l’attribuzione di un punteggio sociale basato su comportamento e caratteristiche personali;
- raccolta non mirata di immagini facciali da Internet o da telecamere a circuito chiuso per creare database di riconoscimento facciale;
- riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative.
Rischio alto: ambiti di applicazione
I sistemi di Intelligenza Artificiale che rientrano in questa categoria presentano un livello di rischio considerato significativo. Il loro utilizzo è consentito, ma soggetto al rispetto di una serie di requisiti stabiliti dal regolamento. Una buona parte dell’AI Act è, infatti, dedicata proprio a questo livello di rischio.
Nello specifico, si tratta di sistemi di IA che rientrano in uno dei seguenti ambiti:
- gestione e funzionamento di infrastrutture critiche, come ad esempio sistemi impiegati nella gestione del traffico stradale;
- istruzione e formazione professionale, ad esempio sistemi destinati a determinare l’accesso o l’assegnazione a istituti di istruzione o formazione professionale;
- occupazione, gestione dei lavoratori e accesso al lavoro autonomo, come i sistemi destinati a essere utilizzati per il reclutamento o la selezione di persone fisiche o per prendere decisioni sulla promozione e la cessazione del rapporto di lavoro;
- accesso a servizi e benefici pubblici e/o servizi privati essenziali, ad esempio sistemi per valutare l’ammissibilità delle persone fisiche a benefici e servizi di pubblica assistenza, o sistemi di IA destinati a essere utilizzati per stabilire la priorità nell’invio di servizi di primo soccorso in situazioni di emergenza;
- forze dell’ordine, includendo sistemi per individuare deep fake e per effettuare valutazioni sulla probabilità che un individuo commetta reati o sia soggetto a recidiva;
- gestione della migrazione, della richiesta d’asilo e del controllo delle frontiere, come sistemi di IA destinati ad assistere le autorità pubbliche competenti nell’esame delle domande di asilo, visti e permessi di soggiorno;
- amministrazione della giustizia, ad esempio sistemi di IA destinati ad assistere l’autorità giudiziaria nella ricerca e interpretazione della legge.
Rischio alto: obblighi
L’AI Act stabilisce una serie di obblighi e requisiti per i sistemi di Intelligenza Artificiale ad alto rischio. Questi includono specifiche disposizioni e valutazioni da effettuare prima dell’immissione di un prodotto sul mercato e un monitoraggio continuo dopo la sua commercializzazione.
Tra gli obblighi generali si annoverano: mantenere una documentazione tecnica adeguata, garantire una gestione efficace dei dati, rispettare i requisiti di cybersecurity e trasparenza, e assicurare la possibilità di intervento e supervisione umana. Inoltre, è disposta la registrazione dei sistemi di IA ad alto rischio in un apposito database dell’UE prima del loro rilascio sul mercato.
Per quanto riguarda la possibilità di intervento e supervisione umana, l’AI Act specifica che i sistemi ad alto rischio devono possedere un’interfaccia uomo-macchina che garantisca la possibilità di disattivare il sistema, ignorare i suoi risultati o interromperne il funzionamento in qualsiasi momento. Inoltre, nel caso di utilizzo di sistemi di identificazione biometrica remota, è richiesto che nessuna azione o decisione basata sull’identificazione sia presa senza la verifica e la conferma da parte di almeno due persone.
Rispetto alle disposizioni pre-commercializzazione, i fornitori di sistemi ad alto rischio sono tenuti a eseguire una valutazione di conformità. Mentre in molti casi i fornitori possono autovalutarsi, in situazioni specifiche è richiesta la valutazione da parte di un ente terzo o di un organismo accreditato.
Una volta immessi sul mercato, i sistemi di IA ad alto rischio richiedono da parte dei fornitori un impegno continuo per garantire prestazioni sicure e conformità costante. Questo include l’obbligo di sottoporsi a nuove valutazioni di conformità in seguito a modifiche sostanziali, indipendentemente dal fatto che siano state apportate dal fornitore originale o da terzi, e l’obbligo di intraprendere immediatamente azioni correttive per i sistemi non conformi già presenti sul mercato, informando inoltre gli altri operatori della catena del valore.
Disposizioni per l’identificazione biometrica remota
Durante i negoziati che hanno portato all’accordo raggiunto l’8 dicembre scorso, uno dei punti più discussi è stato l’impiego di sistemi di identificazione biometrica remota (RBI – Remote Biometric Identification). Questi sistemi utilizzano l’Intelligenza Artificiale per identificare le persone attraverso dati biometrici, come l’immagine facciale o i dati dattiloscopici. Gli RBI possono operare “in tempo reale”, con analisi in diretta, o “post”, attraverso analisi retrospettiva.
Il Parlamento europeo proponeva un divieto totale dell’uso della RBI in spazi pubblici, supportato da oltre 200 gruppi della società civile, dal Comitato europeo per la protezione dei dati (EDPB), dal Garante europeo della protezione dei dati (GEPD) e dall’Alto Commissario delle Nazioni Unite per i diritti umani. Le preoccupazioni riguardavano la capacità di questi sistemi di scansionare i dati biometrici di ogni individuo in un’area di sorveglianza, minacciando la privacy e i diritti umani.
Nella versione finale dell’AI Act, sono state introdotte alcune eccezioni per l’uso dei sistemi RBI: per la ricerca di vittime di sequestro, tratta o sfruttamento sessuale; la prevenzione di minacce terroristiche specifiche e attuali; e l’identificazione di persone sospettate di aver commesso crimini gravi, come terrorismo, sfruttamento sessuale, partecipazione a un’organizzazione criminale e reati ambientali.
Governance
L’AI Act stabilisce che gli Stati membri giochino un ruolo chiave nell’applicazione e nell’attuazione del regolamento. A tal proposito, ciascuno Stato membro dovrebbe designare una o più autorità nazionali competenti per supervisionare l’applicazione del regolamento, svolgere attività di vigilanza del mercato e rappresentare il paese nel Comitato europeo per l’Intelligenza Artificiale. In Italia, l’Agid, l’Agenzia per l’Italia digitale, è stata designata per svolgere questo ruolo.
A livello comunitario, il quadro di governance dell’AI Act prevede la creazione e il coinvolgimento di una serie di organi:
- AI Office, un ufficio dedicato all’Intelligenza Artificiale all’interno della Commissione Europea, dotato di indipendenza funzionale;
- AI Board, che rappresenta gli Stati membri e fornisce una supervisione strategica all’Ufficio AI;
- Advisory Forum, composto da rappresentanti dell’industria e della società civile, sarà istituito per offrire consigli e consulenza tecnica sia all’AI Board che alla Commissione;
- Scientific Panel of independent experts, che contribuirà allo sviluppo di metodologie per la valutazione delle capacità dei modelli di AI (in particolare GPAI) e la loro successiva classificazione, monitorando anche eventuali rischi per la sicurezza.
Per quanto riguarda il rapporto con le imprese, è stato predisposto il cosiddetto AI Pact.
AI Pact
L’AI Pact può essere descritto come un accordo tra la Commissione Europea e le imprese che sviluppano e utilizzano l’Intelligenza Artificiale, mirato a promuovere l’adozione delle norme previste dall’AI Act prima che queste entrino ufficialmente in vigore. Questa iniziativa rappresenta una forma di “compliance volontaria“, come definita da Brando Banifei, eurodeputato e relatore dell’AI Act al Parlamento europeo.
Le aziende avranno l’opportunità di dimostrare e condividere il proprio impegno nei confronti degli obiettivi della futura regolamentazione sull’AI, preparandosi in modo proattivo per la sua attuazione. Più specificamente, l’AI Pact incoraggerà le aziende a comunicare volontariamente i processi e le pratiche che stanno adottando per prepararsi alla conformità, assicurando che la progettazione, lo sviluppo e l’uso dell’IA siano realizzati in modo affidabile.
L’AI Pact, inoltre, riunirà su base volontaria i principali attori del settore AI dell’UE e di paesi terzi, creando una comunità per lo scambio e la condivisione delle migliori pratiche. La Commissione collaborerà con i partecipanti e li sosterrà nell’attuare azioni concrete per comprendere, adattare e prepararsi all’attuazione dell’AI Act. Il Patto offrirà alle aziende l’opportunità di testare e condividere le loro soluzioni con una comunità più ampia, ottenendo così il vantaggio di essere tra i primi a muoversi in questo ambito.
La Commissione prevede di lanciare una prima convocazione già nella prima metà del 2024. Successivamente all’adozione formale dell’AI Act, l’AI Pact sarà ufficialmente lanciato e le organizzazioni interessate saranno invitate a partecipare, rendendo pubblici i loro primi impegni.
Misure a sostegno dell’innovazione
L’approccio dell’UE all’Intelligenza Artificiale si basa sull’eccellenza e sulla fiducia, con l’obiettivo di potenziare la ricerca e la capacità industriale, garantendo al contempo la sicurezza e la tutela dei diritti fondamentali.
La Commissione sostiene che un incremento della fiducia da parte degli utenti porterà a una maggiore domanda di prodotti e servizi basati su IA da parte di aziende e autorità pubbliche. Allo stesso tempo, l’armonizzazione delle norme e un aumento della certezza giuridica permetteranno ai fornitori di IA di espandersi in mercati più ampi. Questo si rifletterà in prodotti e servizi più apprezzati e richiesti da utenti e consumatori.
Per promuovere l’innovazione, l’AI Act prevede la creazione di sandbox, spazi di sperimentazione. Questi sandbox permettono alle aziende, incluse le piccole e medie imprese e le startup, di sperimentare soluzioni di Intelligenza Artificiale in contesti realistici, godendo di esenzioni regolamentari temporanee. Allo stesso tempo, anche i modelli di IA specificamente destinati alla ricerca sono esentati da alcune restrizioni, per incentivare una maggiore libertà nell’ambito della ricerca e dello sviluppo. In aggiunta, l’AI Act prevede eccezioni mirate per agevolare l’adattamento delle PMI alla nuova normativa, tenendo conto delle loro limitate risorse rispetto ai grandi attori del settore.