L’AI Act, ossia Artificial Intelligence Act, rappresenta passo storico nella regolamentazione dell’Intelligenza Artificiale e nella regolamentazione tecnologica in generale. Questo ambizioso framework normativo, pubblicato in Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024 ed entrato in vigore il 2 agosto successivo, ridefinisce completamente il panorama dell’innovazione tecnologica europea e mondiale. La portata rivoluzionaria dell’AI Act va ben oltre la semplice regolamentazione: rappresenta un nuovo paradigma per lo sviluppo e l’utilizzo responsabile dell’Intelligenza Artificiale, bilanciando l’innovazione tecnologica con la protezione dei diritti fondamentali dei cittadini europei.
In questo articolo analizzeremo approfonditamente tutti gli aspetti del regolamento, dal suo iter di approvazione, ai rischi su cui si basa l’approccio alle tecnologie intelligenti prospettato dal legislatore europeo, fino alle sanzioni previste in caso di inadempienza.
L’AI Act (Artificial Intelligence Act) è il primo regolamento globale specificamente progettato per governare lo sviluppo, la commercializzazione e l’utilizzo dei sistemi di Intelligenza Artificiale. Il regolamento mira ad assicurare che i sistemi di IA immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione, stimolando contemporaneamente gli investimenti e l’innovazione nel settore dell’Intelligenza Artificiale in Europa.
L’AI Act adotta un approccio olistico che va oltre la mera regolamentazione tecnica, abbracciando una visione strategica dell’Intelligenza Artificiale come tecnologia abilitante per il futuro dell’Europa. Il regolamento stabilisce un framework che permette alle aziende europee di competere a livello globale mantenendo standard etici elevati, creando un vantaggio competitivo basato sulla fiducia e sulla trasparenza.
L’obiettivo fondamentale dell’AI Act è creare un ecosistema di Intelligenza Artificiale “trustworthy” (affidabile) che possa prosperare in un ambiente regolamentato ma non eccessivamente restrittivo. Questo equilibrio delicato mira a proteggere i cittadini europei dai rischi dell’IA mentre promuove l’innovazione e la competitività dell’industria europea nel settore tecnologico più strategico del 21° secolo.
L’AI Act, o Artificial Intelligence Act, è stato presentato per la prima volta nel mese di aprile 2021 dalla Commissione Europea, attraverso la Proposta di Regolamento del Parlamento Europeo e del Consiglio. La proposta di una legge sull’Intelligenza Artificiale nasce con l’obiettivo di stabilire regole armonizzate sull’Intelligenza Artificiale e di modificare alcuni atti legislativi dell’Unione.
In data 14 giugno 2023, il Parlamento Europeo ha adottato la propria posizione negoziale sul Regolamento e, in data 8 dicembre 2023, a seguito di tre giorni di colloqui, il trilogo costituito da rappresentanti del Parlamento Europeo, del Consiglio dell’Unione Europea e della Commissione Europea ha raggiunto un accordo provvisorio sul testo dell’AI Act.
Il testo integrale e definitivo dell’Artificial Intelligence Act è stato approvato a larga maggioranza dal Parlamento europeo il 13 marzo 2024 (523 i voti a favore, 46 i contrari e 49 gli astenuti). Il 21 maggio 2024 anche il Consiglio dell’UE ha approvato in via definitiva l’AI Act. La maggior parte degli obblighi introdotti dalla nuova normativa – tra cui, in particolare, quelli previsti in capo alle imprese che sviluppano o utilizzano sistemi ad alto rischio – troverà piena applicazione nel termine di due anni dopo l’entrata in vigore di quest’ultima, avvenuta il 1° agosto 2024, venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del 12 luglio 2024. Tuttavia:
L’AI Act allinea la definizione di Intelligenza Artificiale a quella utilizzata dall’Organizzazione per la Cooperazione e lo Sviluppo Economico, per garantire che tale definizione fornisca criteri sufficientemente chiari per distinguere l’AI dai sistemi software più semplici. Più in particolare, la nuova normativa descrive un sistema di Intelligenza Artificiale come “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia, che deduce dagli input ricevuti come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”, definizione che pone l’accento sulle caratteristiche di autonomia, capacità generativa e di influenza dell’ambiente circostante come elementi peculiari delle tecnologie intelligenti.
L’AI Act non si applica a:
L’AI Act è basato su quell’approccio “risk-based” che ritroviamo anche in altre normative (prima tra tutte, il GDPR): maggiore è il rischio insito nell’utilizzo di un determinato sistema Intelligenza Artificiale, maggiori saranno, conseguentemente, le responsabilità di chi sviluppa e usa quel sistema, sino a giungere a un divieto di utilizzo delle applicazioni e delle tecnologie il cui rischio è considerato inaccettabile.
Anzitutto, il Regolamento pone un divieto generale e radicale rispetto a determinati utilizzi dell’AI il cui rischio è considerato inaccettabile.
In particolare, è fatto divieto di immettere sul mercato ed utilizzare: sistemi che tendono allo sfruttamento delle vulnerabilità delle persone, anche tramite il ricorso a tecniche subliminali e di manipolazione comportamentale cognitiva; sistemi finalizzati all’attribuzione di un punteggio sociale (c.d. “social scoring”) per scopi pubblici e privati; sistemi finalizzati allo “scraping” non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso; sistemi finalizzati al riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione; sistemi di categorizzazione biometrica per dedurne dati sensibili quali l’orientamento sessuale o le convinzioni religiose; alcune applicazioni di polizia predittiva per le persone (ossia l’utilizzo di IA per prevedere le probabilità di commissione di reati).
I sistemi di AI ad alto rischio (vale a dire, quei sistemi che possono porre rischi significativi per la salute e la sicurezza, per i diritti fondamentali delle persone, la democrazia, lo Stato di diritto e le libertà individuali) sono individuati all’art. 6 dell’AI Act e consistono nello specifico in:
L’AI Act prevede che i sistemi di AI ad alto rischio siano soggetti a una serie di specifici requisiti e obblighi per accedere al mercato dell’UE, tra i quali:
L’AI Act prevedere inoltre che i sistemi di Artificial Intelligence debbano essere sottoposti a una procedura di valutazione della conformità ex ante, vale a dire, a un processo strutturato di verifica normativa e tecnica che coinvolge sia i produttori che, eventualmente enti terzi di controllo, con l’obiettivo di evitare, tramite una sorta di filtro preventivo, che sistemi potenzialmente pericoloso o discriminatori vengano immessi sul mercato europeo senza adeguate garanzie.
Inoltre, poiché i sistemi di AI sono sviluppati e distribuiti attraverso catene del valore complesse, la normativa chiarisce l’assegnazione delle responsabilità e i ruoli dei vari attori coinvolti in tali catene, con particolare attenzione alle ipotesi in cui un operatore apponga il proprio nome o marchio su un sistema AI ad alto rischio già immesso sul mercato, vi apporti una modifica sostanziale o ne modifichi le finalità.
La produzione e l’utilizzo di sistemi di AI che presentano solo un rischio limitato saranno soggetti a meri obblighi di trasparenza. Nello specifico, l’art. 50 dell’AI Act reca determinati obblighi di trasparenza che si applicano ai sistemi che interagiscono con le persone fisiche (come, per esempio, chatbot ed assistenti virtuali), ai sistemi di riconoscimento delle emozioni e di categorizzazione biometrica (non rientranti tra quelli vietati), ai sistemi che generano o manipolano contenuti (“deep fake”): l’utente dovrà essere informato di stare interagendo con una IA, o che un determinato contenuto è stato generato da una IA (si pensi, ad esempio, ai contenuti deepfake, che dovranno essere marcati come tali), ciò al fine di consentire all’utente di interagire con la tecnologia in modo consapevole e di assumere decisioni informate.
Tutti i sistemi di Intelligenza Artificiale non rientrati tra le pratiche vietate, tra i sistemi ad alto rischio e tra quelli a rischio limitato di cui all’art. 50 dell’AI ACT, sono da qualificarsi come a rischio minimo o nullo. Quest’ultima categoria, di carattere residuale, comprende sistemi e applicazioni non soggetti a obblighi specifici sanciti dalla nuova normativa, ma subordinati al rispetto della legislazione europea generale. Alcuni esempi includono filtri antispam, sistemi di raccomandazione per intrattenimento, videogiochi con IA e strumenti di produttività. Pur non richiedendo regolamentazione specifica, restano applicabili GDPR, normative sui consumatori e altre legislazioni settoriali pertinenti.
L’AI Act introduce un regime normativo specifico e articolato per i fornitori di modelli di Intelligenza Artificiale per finalità generali, come GPT, Claude o Llama, vale a dire quei modelli che sono in grado di svolgere un’ampia gamma di compiti distinti e che possono essere integrati in molteplici applicazioni a valle. I fornitori di modelli di AI per finalità generali sono tenuti innanzitutto a redigere e mantenere costantemente aggiornata una documentazione tecnica esaustiva del modello, che descriva in dettaglio l’architettura, i processi di addestramento e i risultati dei test di valutazione.
Inoltre, devono fornire informazioni complete, così come una documentazione dettagliata ai fornitori a valle che intendano integrare il loro modello in sistemi di AI specifici, consentendo a questi ultimi di comprendere appieno le capacità e i limiti del modello base.
Un aspetto particolarmente innovativo riguarda l’obbligo di attuare politiche concrete per rispettare il diritto d’autore, identificando e rispettando eventuali riserve di diritti sui contenuti utilizzati per l’addestramento. Inoltre, è richiesta la pubblicazione di una sintesi sufficientemente dettagliata dei dataset impiegati nell’addestramento del modello.
Il Regolamento prevede, poi, obblighi aggiuntivi e più stringenti per i modelli considerati “a rischio sistemico”, intendendosi per tali i modelli che:
Inoltre, la nuova normariva presume che un modello di IA per finalità generali abbia capacità di impatto elevato e, quindi, rientri nei modelli a rischio sistemico, quando la quantità cumulativa di calcolo utilizzata per il suo addestramento misurata in operazioni in virgola mobile è superiore a 10^25.
Nel caso di modelli a rischio sistemico, i fornitori dovranno condurre test contraddittori approfonditi (adversarial testing), progettati specificamente per identificare vulnerabilità e comportamenti indesiderati; valutare e mitigare preventivamente i potenziali rischi sistemici che potrebbero manifestarsi a livello dell’Unione Europea; documentare meticolosamente e segnalare tempestivamente all’ufficio per l’IA qualsiasi incidente significativo e garantire un livello particolarmente elevato di protezione della cibersicurezza dell’infrastruttura che ospita il modello.
È stato istituito un Ufficio per l’AI, all’interno della Commissione, con il compito di supervisionare i modelli di IA più avanzati, contribuire a promuovere standard e pratiche di test, con regole comuni in tutti gli Stati membri. L’Ufficio per l’IA sarà affiancato dal Comitato scientifico di esperti indipendenti, il quale fornirà la propria consulenza in merito ai modelli di IA per finalità generali, contribuendo allo sviluppo di metodologie per valutare le capacità dei modelli di base, fornendo consulenza sulla designazione e l’emergere di modelli di base ad alto impatto e monitorando i possibili rischi materiali di sicurezza connessi ai modelli di base.
Il Comitato per l’IA, composto da rappresentanti degli Stati membri, sarà una piattaforma di coordinamento e un organo consultivo della Commissione. Il Forum consultivo per gli stakeholder (rappresentanti dell’industria, PMI, start-up, società civile e mondo accademico) avrà il compito di fornire le competenze tecniche a tale Comitato.
L’AI Act prevede diverse misure a sostegno dell’innovazione, con un’attenzione particolare a creare un ambiente normativo armonizzato che favorisca lo sviluppo responsabile e competitivo dell’Intelligenza Artificiale in Europa. Tra queste misure, la più importante è certamente costituita dalle cc.dd. “regulatory sanboxes”, vale a dire, spazi di sperimentazione normativa controllati, istituiti dalle autorità competenti, in cui fornitori e potenziali fornitori di sistemi di IA potranno sviluppare, addestrare, testare e convalidare sistemi di IA innovativi, anche in condizioni reali, sotto supervisione normativa.
Il sistema di sanzioni è basato su una percentuale del fatturato annuo globale nell’esercizio finanziario precedente della società che ha commesso la violazione o, se superiore, su un importo predeterminato: 35 milioni di Euro o il 7% per le violazioni relative ad applicazioni di Artificial Intelligence vietate; 15 milioni di Euro o il 3% per violazioni degli obblighi del regolamento relativi ai sistemi AI ad alto rischio; 7,5 milioni di Euro o l’1,5% per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità competenti durante le ispezioni o le richieste di controllo.
Sono previste sanzioni più proporzionate per PMI e start-up in caso di violazione delle disposizioni dell’AI Act.
Come accennato in precedenza, l’applicazione dell’AI Act avrà inizio 24 mesi dopo l’entrata in vigore (avvenuta il primo agosto 2024), salvo però alcune eccezioni. I divieti relativi a pratiche vietate sono stati implementati sei mesi dopo l’entrata in vigore, mentre i codici di buone pratiche dopo nove mesi. L’implementazione delle norme sui sistemi di IA per finalità generali (General Purpose AI Systems), incluse quelle relative alla governance, è prevista per il 2 agosto 2025, mentre gli obblighi per i sistemi ad alto rischio entreranno in vigore ad agosto 2027.
Nell’ambito della regolamentazione dell’AI, con l’AI Act l’Unione europea si pone come un ente all’avanguardia e attivo. Tuttavia, per mantenere tale vantaggio sarà fondamentale per l’UE aggiornare questi regolamenti coerentemente allo stato dell’arte e allo sviluppo della tecnologia. L’IA è cresciuta raggiungendo valori record negli ultimi anni. Una legislazione aggiornata ed efficace consentirà di impedire gli usi ad altissimo rischio e, in generale, di sviluppare un approccio risk-based.
Allo stesso tempo, però, le regolamentazioni dovrebbero anche cercare di evitare di normare in modo eccessivo le progettualità meno critiche. L’obiettivo finale è infatti quello di giungere a un corretto equilibrio tra regolamentazione e un’economia florida. Diversamente da quanto avvenuto rispetto al passato (come nel caso del Cloud), il confronto dell’UE con i vari player del settore dell’AI fa ben sperare che in futuro si possa raggiungere tale obiettivo.
Contenuti suggeriti dell’Osservatorio Artificial Intelligence
