by

L’adozione del primo Codice di Condotta sull’intelligenza artificiale da parte del G7 rappresenta un notavole passo in avanti verso una normativa globale sull’AI.

L’adozione del Codice di Condotta sull’Intelligenza Artificiale da parte del G7

All’interno dell’AI Act si prevede all’articolo 69 l’adozione volontaria, per i sistemi di AI diversi da quelli ad alto rischio, di un Codice di Condotta col fine di adottare e rispettare i requisiti del Regolamento previsti per i sistemi di AI ad alto rischio.

A tal riguardo, il 30 ottobre 2023, i leader del G7 hanno annunciato un importante accordo sui Principi Guida Internazionali sull’Intelligenza Artificiale (IA) e sul Codice di Condotta per gli sviluppatori di AI nel contesto dell’“Hiroshima AI Process”.
Questo processo del G7 è stato istituito in occasione del vertice del G7 del 19 maggio 2023 per promuovere a livello globale dei limiti per i sistemi avanzati di AI. L’iniziativa si inserisce in una più ampia gamma di dibattiti internazionali sul tema, anche in seno all’OCSE, al Partenariato globale sull’intelligenza artificiale (GPAI) e nel contesto del Consiglio per il commercio e la tecnologia UE-USA e dei Partenariati digitali dell’UE.

L’Hiroshima AI Process mira a promuovere un’AI sicura e affidabile in tutto il mondo e fornirà una guida volontaria per le azioni degli sviluppatori dei sistemi avanzati di IA, compresi i modelli fondazionali e i sistemi di AI generativa. I due documenti andranno a completare a livello internazionale le regolamentazioni vincolanti che i legislatori dell’UE stanno ancora definendo nell’ambito dell’AI Act, non è un caso se la maggior parte dei principi e dei contenuti del Codice di Condotta riprendino il contenuto degli articoli dell’AI Act.

I Principi Guida del Codice di Condotta

Con l’obiettivo di garantire la sicurezza e l’affidabilità della tecnologia sono stati individuati 11 principi guida che forniscono indicazioni alle organizzazioni che sviluppano, distribuiscono e utilizzano sistemi avanzati di AI. I soggetti destinatari dei principi non sono solamente le aziende sviluppatrici dei sistemi di AI, ma anche gli enti del mondo accademico, della società civile, del settore privato e del settore pubblico che sviluppano sistemi avanzati di AI.

I principi guida individuati per le organizzazioni che sviluppano sistemi avanzati di AI riprendono in maniera fedele i contenuti dell’Allegato IV dell’AI Act relativi alla documentazione tecnica di cui all’art. 11(1) dello stesso regolamento e sono sintetizzabili in:

  1. Adottare misure adeguate durante lo sviluppo di sistemi avanzati di IA, incluso prima e durante la loro distribuzione e commercializzazione, per identificare, valutare e ridurre i rischi lungo tutto il ciclo di vita dell’AI;
  2. Identificare e ridurre le vulnerabilità e, se del caso, gli incidenti e i casi di abuso, dopo la distribuzione e l’immissione sul mercato;
  3. Comunicare pubblicamente le capacità, limitazioni e ambiti di utilizzo appropriato e improprio dei sistemi avanzati di AI per garantire trasparenza e responsabilità;
  4. Condividere responsabilmente informazioni e segnalare incidenti tra organizzazioni sviluppatrici di AI;
  5. Sviluppare, attuare e divulgare politiche di governance e gestione del rischio basate sul rischio, inclusi aspetti di privacy e mitigazione;
  6. Investire e attuare controlli di sicurezza solidi, incluso controllo fisico, cibernetico e contro minacce interne;
  7. Implementare meccanismi affidabili di autenticazione e provenienza dei contenuti per consentire agli utenti di identificare i contenuti generati dall’AI;
  8. Prioritizzare la ricerca per mitigare i rischi sociali, di sicurezza e protezione, e investire in misure di mitigazione efficaci.
  9. Sviluppare sistemi di AI avanzati per affrontare le sfide globali, come la crisi climatica, salute e istruzione;
  10. Promuovere lo sviluppo e l’adozione di standard tecnici internazionali, se del caso; e
  11. Implementare misure appropriate per l’input e la protezione dei dati personali e della proprietà intellettuale.

I contenuti del Codice di Condotta

Partendo da questi principi è stato poi scritto il Codice di Condotta contenente indicazioni pratiche e dettagliate per gli sviluppatori di AI, relative ad ognuno degli 11 principi.

Relativamente al primo principio, il Codice di Condotta stabilisce che durante lo sviluppo, l’implementazione e la commercializzazione dei sistemi avanzati di AI, le organizzazioni debbano adottare adeguate misure per identificare, valutare e ridurre i rischi in tutto il ciclo di vita dell’AI. Ciò include l’adozione di varie misure di test interne ed esterne per la valutazione dei sistemi, come il red-teaming. Le organizzazioni devono implementare adeguate misure di mitigazione per affrontare i rischi e le vulnerabilità identificate, garantendo l’affidabilità e la sicurezza dei sistemi. Questi test devono essere eseguiti in ambienti sicuri e in vari momenti del ciclo di vita dell’AI, specialmente prima dell’implementazione e della commercializzazione, per identificare rischi e vulnerabilità e adottare adeguati rimedi. Inoltre, le organizzazioni devono prestare particolare attenzione ai rischi relativi alla sicurezza, tra cui la sicurezza chimica, biologica, radiologica e nucleare, le capacità offensive cibernetiche, i rischi per la salute e la sicurezza, l’auto-riproduzione dei sistemi di AI e i rischi alla società e alla democrazia. Le organizzazioni impegnate a seguire questo codice devono anche investire nella ricerca per migliorare la sicurezza, l’affidabilità, la trasparenza e l’interpretabilità dei sistemi avanzati di AI, prestando particolare attenzione a evitare l’abuso, la discriminazione e la disinformazione.

Per il secondo principio si prevede che le organizzazioni utilizzino, se e quando appropriato in base al livello di rischio, sistemi e procedure per monitorare le vulnerabilità, gli incidenti, i rischi emergenti e l’uso improprio dopo l’implementazione, e adottare le misure appropriate per affrontarli. Le organizzazioni sono incoraggiate a prendere in considerazione, tra le misure, anche la possibilità di facilitare e rendere possibile la ricerca e la segnalazione di problemi e vulnerabilità anche a parti terze e utenti; ad esempio, attraverso sistemi di concorsi o premi per incentivare la divulgazione responsabile di problemi e vulnerabilità. Le organizzazioni sono inoltre, incoraggiate a mantenere una documentazione appropriata degli incidenti segnalati e a mitigare i rischi e le vulnerabilità identificati.

Al terzo principio si richiede che le organizzazioni pubblichino rapporti di trasparenza contenenti informazioni e istruzioni per l’uso e la documentazione tecnica e che questi vengano tenuti aggiornati. Questi documenti dovrebbero includere:

  • Dettagli delle valutazioni condotte per i potenziali rischi per la sicurezza e la società, così come i rischi per i diritti umani;
  • Le capacità di un modello/sistema e le limitazioni significative nelle prestazioni sui casi d’uso appropriati;
  • Discussione e valutazione degli effetti del modello/sistema e dei rischi per la sicurezza e la società come i bias, le discriminazioni, le minacce alla privacy ed effetti sulla equità sociale;
  • I risultati del red-teaming condotto per valutare l’idoneità del modello/sistema a superare la fase di sviluppo.

Le organizzazioni dovrebbero rendere tali informazioni sufficientemente chiare e comprensibili per consentire agli utilizzatori e agli utenti, se dal caso, di interpretare l’output del modello/sistema e di utilizzarlo in modo appropriato.

Il quarto principio richiede la condivisione delle informazioni, tra cui i rapporti di valutazione, le informazioni sui rischi per la sicurezza, sulle pericolosità previste o meno e sui tentativi da parte degli attori dell’AI di eludere le salvaguardie, per tutta la durata del ciclo di vita dell’AI. Le organizzazioni dovrebbero stabilire o aderire a meccanismi per sviluppare, promuovere e adottare, laddove appropriato, standard condivisi, strumenti, meccanismi e best practices per garantire la sicurezza e l’affidabilità dei sistemi avanzati di AI. Le organizzazioni dovrebbero collaborare condividendo e segnalando al pubblico informazioni rilevanti con l’obiettivo di promuovere la sicurezza e l’affidabilità dei sistemi di AI, coinvolgendo le autorità pubbliche competenti, laddove appropriato.

Il quinto principio stabilisce che le organizzazioni stabiliscano meccanismi organizzativi per sviluppare e applicare politiche di gestione del rischio, inclusa l’identificazione e la mitigazione dei rischi. Le politiche sulla privacy dovrebbero coprire una varietà di rischi ed essere regolarmente aggiornate, garantendo anche una continua formazione del personale.

Secondo il sesto principio, le organizzazioni devono garantire la sicurezza dei pesi, dei modelli e dei dati tramite misure di sicurezza operative e controlli di accesso cibernetico/fisico adeguati. Devono anche valutare i rischi cibernetici, implementare politiche di sicurezza e soluzioni tecniche adeguate, è essenziale conservare i pesi dei modelli in ambienti sicuri con accesso limitato per prevenire la divulgazione non autorizzata e l’accesso indebito. Inoltre, devono implementare un programma di rilevamento delle minacce interne e periodicamente revisionare le misure di sicurezza per mantenerle efficaci e adeguate.

Il settimo principio prevede che le organizzazioni implementino meccanismi di autenticazione e provenienza per i contenuti creati con i loro sistemi di AI avanzati. I dati di provenienza devono includere un identificatore del servizio o del modello che ha creato il contenuto, ma non è necessario includere informazioni sugli utenti che hanno contribuito alla creazione. Le organizzazioni dovrebbero anche sviluppare strumenti o API per consentire agli utenti di verificare se un determinato contenuto è stato creato con il loro sistema AI, ad esempio tramite watermark. Viene anche incoraggiata l’implementazione di altri meccanismi come etichettature o dichiarazioni per consentire agli utenti di sapere quando interagiscono con un sistema AI.

Con l’ottavo principio si esortano le organizzazioni a investire nella ricerca per migliorare la sicurezza dell’IA, affrontando rischi chiave e sviluppando strumenti di mitigazione. Viene richiesto di concentrarsi sui valori democratici, i diritti umani, la protezione dei soggetti vulnerabili, la proprietà intellettuale e il contrasto a bias dannosi e disinformazione.

Il nono principio richiede alle organizzazioni l’impegno comune allo sviluppo dell’AI che vada a beneficio di tutto il mondo, in linea con gli Obiettivi di Sviluppo Sostenibile delle Nazioni Unite. Il principio menziona tre aspetti:

  • Dare priorità alla gestione responsabile dell’AI;
  • Sostenere l’alfabetizzazione digitale; e
  • Collaborare con la società civile per affrontare le più importanti sfide globali.

Al decimo principio si richiede alle organizzazioni di contribuire allo sviluppo e all’adozione di standard tecnici internazionali e best practices, oltre a lavorare con le Organizzazioni di Sviluppo degli Standard (SDOs), anche quando sviluppano le metodologie di test sui dati, meccanismi di autenticazione e provenienza dei contenuti, politiche di sicurezza informatica, segnalazioni pubbliche e altre misure. Si incoraggia, inoltre, l’adozione di misure per aiutare gli utenti a distinguere i contenuti generati dall’AI dai contenuti non generati dall’AI.

L’ultimo principio richiede alle organizzazioni di adottare misure di gestione della qualità dei dati, inclusi quelli utilizzati nell’addestramento e la raccolta dei dati, al fine di mitigare i bias. Le misure appropriate potrebbero includere, inter alia, la trasparenza, le tecniche di addestramento che preservano la privacy e il fine-tuning per garantire che i sistemi non divulghino dati confidenziali o sensibili. Da ultimo, le organizzazioni sono incoraggiate a implementare salvaguardie per il rispetto della privacy e della proprietà intellettuale.

Quale impatto deriva dal Codice di Condotta?

A differenza dell’AI Act che, anche qualora fosse approvato nei prossimi mesi, entrerà in vigore fra 18/24 mesi, il Codice di Condotta sull’Intelligenza Artificiale è immediatamente applicabile, anche se le aziende possono conformarsi allo stesso su base volontaria.

Tuttavia, nell’attuale contesto storico in cui c’è una notevole attenzione rispetto alla compliance dei sistemi di AI, la mancata conformità con il Codice di Condotta sull’intelligenza artificiale sarebbe difficile da giustificare internamente. Per tale motivo, DLA Piper sta estendendo la propria metodologia e tool di legal tech per valutare i sistemi di AI denominato “PRISCA AI Compliance” anche alla valutazione circa l’applicabilità del Codice di Condotta. Potete leggere di più su PRISCA qui.

(Visited 268 times, 1 visits today)
Close Search Window