by

L’Unione Europea ha preso una decisione epocale perché ha approvato l’AI Act, la prima legislazione per regolamentare la molto discussa intelligenza artificiale (AI), che promette di rivoluzionare le nostre vite.

Dopo una maratona di tre giorni di negoziazioni del trialogo, composto dalla Commissione Europea, dal Consiglio e dal Parlamento, l’8 dicembre 2023 è stato approvato l’AI Act per regolare l’uso dei sistemi di intelligenza artificiale nell’Unione Europea.

Il risultato non era affatto scontato fino a pochi giorni fa, dopo che i governi francese, tedesco e anche italiano hanno chiesto di sostituire l’AI Act con l’adozione di un semplice codice di condotta per ridurre gli obblighi normativi sulle aziende europee, al fine di permettere loro di competere meglio a livello internazionale. I legislatori europei non hanno condiviso questo approccio, ritenendo (a mio avviso, giustamente) che una regolamentazione equilibrata avrebbe invece obbligato anche le aziende straniere a conformarsi all’AI Act, creando un ambiente più equilibrato che avrebbe permesso una concorrenza più leale.

La definizione di intelligenza artificiale secondo l’AI Act

In linea con questo obiettivo, la definizione di sistemi di intelligenza artificiale nell’AI Act si allinea a criteri riconosciuti a livello internazionale, seguendo le linee guida dell’OCSE, che definiscono un sistema IA come segue:

un sistema basato su macchine che, per obiettivi espliciti o impliciti, inferisce, dagli input ricevuti, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Ciò gli conferisce un ampio ambito di applicazione, poiché l’intelligenza artificiale potrebbe impattare su ogni settore, escludendo dalla sua applicazione solo l’uso dell’AI in settori che richiedono regolamentazioni speciali, come militare e difesa, oltre a ricerca, innovazione e uso non professionale.

Un’altra eccezione molto discussa all’applicabilità dell’AI Act riguarda i sistemi di intelligenza artificiale che sfruttano software open source. Ma l’ambito di applicazione dell’eccezione è così ristretto che in pratica si applicherà solo all’uso personale dell’intelligenza artificiale. Infatti, l’esenzione non si applicherà

1. Se il sistema di intelligenza artificiale (i) è destinato a casi d’uso ad alto rischio, o (ii) rientra tra gli usi proibiti, o (iii) è un caso d’uso con requisiti di trasparenza; e

2. Se i sistemi di IA forniti con licenza open source forniscono informazioni come l’uso del modello, l’architettura, ecc. come in questo caso, i loro obblighi sono limitati a fornire un “riassunto dettagliato” del contenuto e ad aderire alla legge sul copyright. Tuttavia, l’esenzione non si applica se il sistema di AI è “reso disponibile sul mercato” o “messo in servizio”, ossia se viene utilizzato per scopi professionali.

In ogni caso, le esenzioni per la gratuità e l’open source non si applicano se il sistema di IA è designato come GPAI con rischi sistemici.

La classificazione dei sistemi di intelligenza artificiale

Il quadro giuridico per l’AI è caratterizzato da un regime duale che distingue tra sistemi di IA a rischio limitato e quelli ad alto rischio:

  • Tutti i sistemi di AI sono soggetti a obblighi di base in materia di trasparenza per garantire un livello minimo di chiarezza e comprensione generale, anche informando gli individui che stanno interagendo con un sistema di AI;
  • I sistemi di AI identificati come portatori di rischio elevato — quelli con il potenziale di impattare significativamente sulla salute, sicurezza, diritti fondamentali, ambiente, democrazia o stato di diritto — sono soggetti a norme regolamentari complete. Queste norme richiedono una chiara ripartizione delle responsabilità tra sviluppatori e utenti, imponendo agli sviluppatori di assistere gli utenti nel rispettare i criteri di valutazione dei sistemi di AI ad alto rischio;
  • I criteri per determinare queste classificazioni, inclusi i FLOPS (cioè, la loro potenza di calcolo) con un limite di rilevanza di 10^25 FLOP (da alcuni considerato molto elevato), sono regolabili e possono essere rivisti nel tempo.

Inoltre, il regolamento introduce divieti su pratiche considerate dannose, come:

  • Tecniche che manipolano la cognizione e il comportamento individuale;
  • Raccolta casuale di dati di riconoscimento facciale da spazi pubblici su internet o tramite CCTV;
  • Uso di sistemi di riconoscimento delle emozioni in ambienti lavorativi e scolastici.
  • Implementazione di punteggi di credito sociale;
  • Elaborazione biometrica per l’inferenza di dati personali sensibili come orientamento sessuale o credenze religiose; E
  • Alcune applicazioni di polizia predittiva mirate a individui. Obblighi più severi per i modelli di base e l’IA generale.

Viene introdotto un regime speciale per i sistemi di AI general-purpose e i modelli di base (i c.d. foundation model). Un’AI general-purpose è un’intelligenza artificiale che può essere utilizzata per molti scopi diversi. È anche regolamentata per i casi in cui viene integrata in un altro sistema ad alto rischio. I foundation model sono sistemi di grandi dimensioni in grado di svolgere un’ampia gamma di compiti distinti, come la generazione di video, testi e immagini, conversazioni in linguaggio laterale, calcoli o generazione di codice informatico.

L’AI Act pone un forte accento sui diritti e la trasparenza per i modelli di base, rendendo obbligatorie anche le valutazioni di impatto sui diritti fondamentali per i sistemi di AI ad alto rischio e quelli utilizzati nel settore bancario ed assicurativo. In particolare, i foundation model e i sistemi di AI general purpose che possono causare un rischio sistemico hanno i seguenti obblighi:

  • Gestione del rischio: Le organizzazioni sono tenute a condurre valutazioni dei modelli utilizzando protocolli e strumenti all’avanguardia;
  • Red Teaming: Deve essere effettuato e documentato in modo esaustivo un test avversario al fine di identificare e affrontare i rischi sistemici;
  • Cybersecurity: Deve essere garantito un solido livello di cybersecurity sia per il modello di AI che per la sua infrastruttura fisica; e
  • Consumo di energia: Le aziende sono obbligate a monitorare, registrare e divulgare il consumo energetico effettivo o stimato del modello.

Inoltre, i fornitori sono obbligati ad

  • adottare una policy che aderisca alle leggi sul copyright dell’Unione, impiegando tecnologie avanzate se necessario; e
  • devono anche preparare una sintesi completa dei materiali utilizzati per addestrare il modello di intelligenza artificiale. Presumo che i considerando dell’AI Act indicheranno chiaramente che la sintesi non deve riguardare i singoli punti di dati di addestramento, perché sarebbe eccessivamente costoso.

È prevista anche la registrazione obbligatoria in una banca dati europea e tale disposizione, insieme alla divulgazione dei contenuti utilizzati dal sistema di intelligenza artificiale di cui sopra, potrebbe dare origine a controversie significative, in quanto i detentori dei diritti dei materiali utilizzati dai sistemi di intelligenza artificiale potrebbero contestarne l’uso ai sensi della legislazione sul copyright e sulla privacy.

 

Governance dell’AI secondo l’AI Act approvato

In termini di governance e conformità, l’AI Act stabilisce un Ufficio Europeo per l’AI per monitorare i modelli di intelligenza artificiale più complessi. Prevede la creazione di un panel scientifico e di un forum consultivo per integrare le prospettive dei diversi stakeholder. Ciò garantisce che la regolamentazione sia sempre informata e aggiornata rispetto agli sviluppi nel campo.

Ma un argomento di notevole discussione sarà su quali poteri vengono dati alle autorità locali per l’AI e quali entità verranno nominate come autorità nazionali. Come è accaduto con il GDPR, le autorità locali non vorranno rinunciare ai loro poteri. L’Ufficio AI dovrebbe ridurre il rischio di approcci incoerenti in tutta l’UE tra le autorità locali, ma non si può escludere l’attrito politico tra diverse autorità locali.

Le Sanzioni dell’AI Act

Ovviamente, l’AI Act stabilisce anche un sistema di sanzioni che, come è stato il caso per una serie di recenti regolamenti europei, si basa sul fatturato globale delle aziende o su un importo predeterminato, a seconda di quale sia più elevato. Saranno di € 35 milioni o 7% per violazioni delle applicazioni AI vietate, € 15 milioni o 3% per violazioni degli obblighi dell’AI Act e € 7,5 milioni o 1,5% per la fornitura di informazioni errate. Dovremo rivedere il testo poiché è più probabile che le sanzioni saranno piuttosto “fino a” tali importi come previsto per altre legislazioni dell’UE.

Si fanno eccezioni per le piccole imprese, con sanzioni limitate per PMI e startup. Quindi, anche sulle sanzioni, è stato raggiunto un equilibrio tra la necessità di regolamentare l’IA e l’obiettivo di non limitare lo sviluppo di questa tecnologia nell’UE. Per lo stesso motivo, vengono fornite le cosiddette soluzioni di “sandboxing” dove le soluzioni possono essere testate beneficiando di un regime speciale.

La tempistica dell’AI Act

La data di applicabilità dell’AI Act approvato seguirà una precisa tempistica, con un periodo di transizione di sei mesi per l’introduzione dei divieti, un anno per i modelli di base e i sistemi di IA per uso generale e due anni per il lancio degli altri sistemi di IA, distinti secondo il rischio associato.

Il testo dell’AI Act approvato non è ancora disponibile e le informazioni sopra riportate derivano anche da informazioni attualmente rese pubbliche. Il testo finale sarà pubblicato nella Gazzetta Ufficiale dell’Unione Europea nel gennaio 2024, momento in cui inizieranno a decorrere le scadenze sopra menzionate. Tuttavia, non vi è dubbio che, indipendentemente dalla durata del periodo di transizione, nessuna azienda sarà disposta ad adottare soluzioni di intelligenza artificiale che non siano conformi all’AI Act e che la costringerebbero a disinvestire dalla tecnologia in tempi brevi.

Noi di DLA Piper abbiamo creato soluzioni innovative per garantire la conformità all’intelligenza artificiale in modo economico ed efficiente, contattateci per saperne di più. Nel frattempo, potete ottenere maggiori informazioni in due esclusivi webinar che abbiamo organizzato in italiano (registrati QUI) e in inglese (registrati QUI) con i nostri colleghi internazionali, confrontando anche l’AI Act con l’executive order degli Stati Uniti sull’AI e l’attuale bozza di legislazione sull’AI del Regno Unito.

(Visited 1.192 times, 1 visits today)
Close Search Window