AI Act, Europa prima al mondo a normare l’intelligenza artificiale

Security Awareness
6 Maggio 2024
AI ACT - riconoscimento biometrico

AI ACT: per le aziende imprescindibile un’adeguata formazione

Chi temeva che l’intelligenza artificiale potesse causare una deriva senza controllo dell’utilizzo della tecnologia, ora può dormire sonni un po’ più tranquilli.
Soprattutto se vive la condizione di cittadino europeo.

È recente infatti la notizia della regolamentazione di una materia così nuova e per molti versi ancora poco conosciuta da parte dell’Europa, prima al mondo ad addentrarsi giuridicamente in questo ambito.

Circa un mese fa, il 13 marzo scorso, il Parlamento europeo ha infatti approvato con larghissima maggioranza (523 voti favorevoli, 46 contrari e 49 astensioni) l’AI Act, il Regolamento europeo sull’intelligenza artificiale, che era stato proposto dalla Commissione europea il 21 aprile 2021, con l’obiettivo di garantire il rispetto dei diritti fondamentali e della dignità delle persone nello sviluppo e nell’uso delle tecnologie AI.

Il suo campo di applicazione abbraccia tutti i settori (ad eccezione di quello militare) e tutti i tipi di intelligenza artificiale.

Il Regolamento diventerà legge entro maggio o giugno in quanto il testo deve essere tradotto in 24 lingue e adeguato alle normative nazionali mediante un ulteriore voto del Parlamento e l’approvazione del Consiglio dell’Unione europea.

Le applicazioni dell’intelligenza artificiale sono classificate e regolamentate in base al rischio di causare danni ai cittadini e rientrano principalmente in tre categorie: pratiche vietate, sistemi ad alto rischio, e altri sistemi.

Le pratiche vietate dalle applicazioni di AI sono ad esempio i sistemi di classificazione biometrica, l’estrapolazione indiscriminata di immagini facciali da internet o da registrazioni dei sistemi di telecamere a circuito chiuso al fine di creare banche dati di riconoscimento facciale.
L’obiettivo è di escludere tutti quei sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone.

L’identificazione biometrica in tempo reale in spazi accessibili al pubblico non è del tutto vietata bensì limitata, e gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico ma richiedono un’approvazione giudiziaria o di un’autorità indipendente.
L’identificazione biometrica a posteriori è considerata ad alto rischio. Per questo, per potervi fare ricorso, l’autorizzazione giudiziaria dovrà essere collegata a un reato.

I sistemi ad alto rischio, secondo il regolamento proposto, sono quelli che pongono minacce significative alla salute, alla sicurezza o ai diritti fondamentali delle persone.
Richiedono una valutazione di conformità obbligatoria, intrapresa come autovalutazione da parte del fornitore, prima di essere immessi sul mercato.
Includono non solo le infrastrutture critiche o le componenti di sicurezza ma anche:

  • la formazione scolastica (per determinare l’accesso o l’ammissione, per assegnare persone agli istituti o ai programmi di istruzione e formazione professionale a tutti i livelli, per valutare i risultati dell’apprendimento delle persone, per valutare il livello di istruzione adeguato per una persona, per monitorare e rilevare comportamenti vietati degli studenti durante le prove, ecc);
  • la gestione dei lavoratori (per l’assunzione e la selezione delle persone, per l’adozione di decisioni riguardanti le condizioni del rapporto di lavoro, la promozione e la cessazione dei rapporti contrattuali, per l’assegnazione dei compiti sulla base dei comportamenti individuali, ecc);
  • i servizi essenziali inclusi i servizi sanitari; le prestazioni di sicurezza sociale; i servizi sociali, ma anche l’affidabilità creditizia; l’amministrazione della giustizia; la gestione della migrazione e delle frontiere.

Applicazioni particolarmente critiche, come quelle per i dispositivi medici, richiedono che l’autovalutazione del fornitore ai sensi del regolamento sull’intelligenza artificiale venga presa in considerazione dall’organismo che conduce la valutazione, ai sensi delle normative dell’Unione Europea esistenti.

Gli altri sistemi, cioè i sistemi di intelligenza artificiale al di fuori delle categorie di cui sopra (inclusi i grandi modelli di AI generativa, come la nota piattaforma di creazione di contenuti ChatGPT) dovranno rispettare una serie di requisiti di trasparenza:

  • divulgare che il contenuto è stato generato dall’AI;
  • fare in modo che i modelli non generino contenuti illegali;  
  • pubblicare le sintesi dei dati protetti da diritto d’autore.

I modelli più potenti, che potrebbero comportare rischi sistemici, dovranno rispettare anche altri obblighi, ad esempio quello di effettuare valutazioni dei modelli, di valutare e mitigare i rischi sistemici e di riferire in merito agli incidenti.


Applicazione dell’AI ACT

Il campo di applicazione del Regolamento riguarda sia i fornitori sia gli utilizzatori di sistemi IA, i quali devono garantire che i prodotti rispettino le norme stabilite, siano accompagnati dalla documentazione necessaria e siano provvisti di un marchio di conformità europeo. Vi sono però delle eccezioni, come ad esempio i sistemi destinati esclusivamente a scopi militari o di difesa e i modelli gratuiti e open-source che non presentano rischi sistemici. 

Tempi di applicazione dell’AI ACT

Le disposizioni inizieranno a entrare in vigore per gradi, un modo anche per lasciare alle aziende il tempo di adeguarsi alle nuove misure.

Più precisamente:

  • 6 mesi dopo gli Stati membri dovranno proibire i sistemi di AI vietati,
  • 1 anno dopo inizieranno ad applicarsi le regole per i sistemi di intelligenza artificiale di uso generale,
  • 2 anni dopo sarà applicabile il resto della legge sull’AI,
  • 3 anni dopo gli obblighi saranno applicabili ai sistemi ad alto rischio,

Sanzioni dell’AI ACT

Il Regolamento classifica i sistemi IA in base al livello di rischio, che può essere minimo, limitato, alto o inaccettabile. Ciò comporta differenti responsabilità e limitazioni per gli sviluppatori e gli utenti di tali sistemi, con sanzioni previste per chi non rispetta le disposizioni, che vanno dall’1,5% al 7% del fatturato globale dell’azienda.

Comitato Europeo per l’Intelligenza Artificiale

La legge propone inoltre l’introduzione di un Comitato Europeo per l’Intelligenza Artificiale per promuovere la cooperazione internazionale e garantire il rispetto del Regolamento.
I Paesi dell’UE dovranno istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali, in modo che PMI e start-up possano sviluppare sistemi di AI prima di immetterli sul mercato.

Le reazioni

Come sempre ci sono i fautori della regolamentazione, che temono i pericoli della deregulation tecnologica, e quindi accolgono con soddisfazione le nuove misure e chi, invece (in particolare le aziende), teme che queste portino eccessive limitazioni nello sviluppo delle applicazioni.

In ogni caso, secondo il commissario per il Mercato interno Thierry Breton, ripreso dal Sole 24 ore “l’Europa è ora uno standard mondiale in materia di Ai affidabile”. Lo stesso quotidiano economico definisce il Regolamento, il “più completo sistema normativo sull’intelligenza artificiale fino a questo momento varato, uno storico pacchetto di norme che, in assenza di apposita legislazione degli Stati Uniti, potrebbe stabilire il tono di come l’Ai dovrebbe essere governata nel mondo occidentale”.

Sicuramente parliamo di una materia, l’intelligenza artificiale, che non va sottovalutata e che va trattata con consapevolezza, serietà e professionalità, anche perché è in continua evoluzione. Queste novità normative rappresentano inoltre un ulteriore campo di conoscenze che devono essere acquisite e gestite.
Per questo è essenziale che le aziende seguano una specifica formazione che le renda inattaccabili sia sul fronte tecnologico, sia su quello giuridico.

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto