Assistenza

800 033 727 - supporto@osservatori.net

English
Osservatori Digital Innovation del Politecnico di Milano

Torna

Cerca

Accedi
Accedi

Abbonamenti

Apri menù
Piani Singoli Piani Aziendali
Accedi
Accedi

Carrello

English

Assistenza

800 033 727 - supporto@osservatori.net

L’AI Act in breve

  • L’AI Act, ossia Artificial Intelligence Act, è un framework normativo che rappresenta passo storico nella regolamentazione dell’Intelligenza Artificiale e nella regolamentazione tecnologica in generale
  • Pubblicato in Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024 ed entrato in vigore il 1° agosto successivo, l’AI Act ridefinisce completamente il panorama dell’innovazione tecnologica europea e mondiale
  • La portata rivoluzionaria dell’AI Act rappresenta anche un nuovo paradigma per lo sviluppo e l’utilizzo responsabile dell’Intelligenza Artificiale, bilanciando l’innovazione tecnologica con la protezione dei diritti fondamentali dei cittadini europei
  • Secondo i dati dell’Osservatorio Artificial Intelligence della school of Management del Politecnico di Milano, più di un’azienda su due ha già avviato iniziative di alfabetizzazione, solo il 15% però ha in corso un progetto strutturato di adeguamento già integrato con altre normative applicabili

In questo articolo, a cura di Anna Italiano, avvocato e collaboratrice dell’Osservatorio Artificial Intelligence,analizzeremo approfonditamente i principali aspetti del Regolamento, dall’approccio basato sul rischio insito nelle tecnologie intelligenti prospettato dal legislatore europeo, ai principali obblighi normativi, fino alle sanzioni previste in caso di inadempienza.

Intelligienza Artificale

Cos’è l’AI Act

L’AI Act (Artificial Intelligence Act) è il primo regolamento globale specificamente progettato per governare lo sviluppo, la commercializzazione e l’utilizzo dei sistemi di Intelligenza Artificiale. Il regolamento mira ad assicurare che i sistemi di IA immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione stimolando contemporaneamente gli investimenti e l’innovazione nel settore dell’Intelligenza Artificiale in Europa.

L’AI Act adotta un approccio olistico che va oltre la mera regolamentazione tecnica, abbracciando una visione strategica dell’Intelligenza Artificiale come tecnologia abilitante per il futuro dell’Europa. Il Regolamento stabilisce un framework che permette alle aziende europee di competere a livello globale mantenendo standard etici elevati, creando un vantaggio competitivo basato sulla fiducia e sulla trasparenza.

L’obiettivo fondamentale dell’AI Act è creare un ecosistema di Intelligenza Artificiale “trustworthy” (affidabile) che possa prosperare in un ambiente regolamentato ma non eccessivamente restrittivo. Questo equilibrio delicato mira a proteggere i cittadini europei dai rischi dell’IA mentre promuove l’innovazione e la competitività dell’industria europea nel settore tecnologico più strategico del 21° secolo.

Quali sono le principali linee guida dell’AI Act in sintesi

L’AI Act allinea la definizione di Intelligenza Artificiale a quella utilizzata dall’Organizzazione per la Cooperazione e lo Sviluppo Economico, per garantire che tale definizione fornisca criteri sufficientemente chiari per distinguere l’AI dai sistemi software più semplici. Più in particolare, la nuova normativa descrive un sistema di Intelligenza Artificiale come “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia, che deduce dagli input ricevuti come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”. Questa definizione pone l’accento sulle caratteristiche di autonomiacapacità generativa e di influenza dell’ambiente circostante come elementi peculiari delle tecnologie intelligenti.

Quali sono i settori in cui non viene applicato l’AI Act

Le principali casistiche di esclusione dall’ambito di applicazione dell’AI Act riguardano:

  • i settori che non rientrano nell’ambito di applicazione del diritto dell’UE (e non dovrebbe, in ogni caso, incidere sulle competenze degli Stati membri in materia di sicurezza nazionale o su qualsiasi entità competente in questo ambito);
  • i sistemi utilizzati esclusivamente per scopi militari o di difesa;
  • i sistemi di Intelligenza Artificiale utilizzati solo a scopo di ricerca e sviluppo scientifici;
  • l’utilizzo dell’IA per motivi non professionali.

Come vengono classificati i sistemi di AI in base al rischio

L’AI Act è basato su quell’approccio “risk-based” che ritroviamo anche in altre normative (prima tra tutte, il GDPR): maggiore è il rischio insito nell’utilizzo di un determinato sistema Intelligenza Artificiale, più importanti e penetranti saranno, conseguentemente, le responsabilità di chi sviluppa e usa quel sistema, sino a giungere a un divieto di utilizzo delle applicazioni e delle tecnologie il cui rischio è considerato inaccettabile.

Per meglio comprendere questo principio, la tabella seguente sintetizza la classificazione dei sistemi di AI prevista dal Regolamento, ordinata dal livello di rischio più elevato a quello nullo.

Nelle sezioni successive, approfondiamo ciascuna categoria per evidenziarne caratteristiche, ambiti d’applicazione e principali implicazioni normative.

Categoria di rischio AIDescrizione sinteticaEsempi di pratiche/sistemiPrincipali obblighi o conseguenze
Rischio inaccettabile (vietato)Utilizzi considerati lesivi dei diritti fondamentali o manipolativi– Sfruttamento vulnerabilità e tecniche subliminali
– Social scoring pubblico/privato
– Scraping non mirato di immagini facciali
– Riconoscimento emozioni in lavoro/istruzione
– Categorizzazione biometrica su dati sensibili
– Polizia predittiva per persone		Divieto assoluto di immissione sul mercato e utilizzo
Alto rischioSistemi potenzialmente dannosi per salute, sicurezza, diritti o democrazia– Componenti di sicurezza di prodotti (es. dispositivi medici)
– IA in settori critici: istruzione, sanità, giustizia, PA, selezione personale, sicurezza pubblica		Valutazione di conformità ex ante, requisiti su dati, trasparenza, sorveglianza umana, accuratezza, cybersicurezza
Rischio limitatoSistemi che richiedono solo trasparenza per garantire uso consapevole– Chatbot e assistenti virtuali
– Riconoscimento emozioni/categorizzazione biometrica non vietata
– Generazione di contenuti e deepfake		Obbligo di informare l’utente che interagisce con una IA o contenuto generato da IA
Rischio minimo o nulloApplicazioni quotidiane non soggette a obblighi specifici– Filtri antispam
– Sistemi di raccomandazione (intrattenimento)
– Videogiochi e strumenti di produttività		Nessun obbligo specifico, ma conformità a GDPR e normative generali UE

Quali sono le pratiche di AI vietate

Anzitutto, il Regolamento pone un divieto generale e radicale rispetto a determinati utilizzi dell’AI il cui rischio è considerato inaccettabile.

In particolare, è fatto divieto di immettere sul mercato e utilizzare:

  • sistemi che tendono allo sfruttamento delle vulnerabilità delle persone, anche tramite il ricorso a tecniche subliminali e di manipolazione comportamentale cognitiva;
  • sistemi finalizzati all’attribuzione di un punteggio sociale (c.d. “social scoring”) per scopi pubblici e privati;
  • sistemi finalizzati allo “scrapingnon mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso;
  • sistemi finalizzati al riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione;
  • sistemi di categorizzazione biometrica per dedurne dati sensibili quali l’orientamento sessuale o le convinzioni religiose;
  • alcune applicazioni di polizia predittiva per le persone (ossia l’utilizzo di IA per prevedere le probabilità di commissione di reati).

Quali sono i sistemi di AI ad alto rischio

I sistemi di AI ad alto rischio, individuati all’art. 6 dell’AI Act, sono quei sistemi che possono porre rischi significativi per la salute e la sicurezza, per i diritti fondamentali delle persone, la democrazia, lo Stato di diritto e le libertà individuali.

Consistono nello specifico in:

  • sistemi di AI destinati a essere utilizzati come componenti di sicurezza di prodotti (o qualora i sistemi di IA siano essi stessi prodotti), disciplinati da specifiche normative di armonizzazione dell’Unione e soggetti ad una valutazione di conformità da parte di terzi prima della loro immissione sul mercato (è il caso, per esempio, dei giocattoli o dei dispositivi medici o medico-diagnostici);
  • sistemi di AI che rientrano in uno o più settori critici e casi d’uso che verranno espressamente identificati dalla normativa, se presentano un rischio significativo di danno per la salute umana, la sicurezza o i diritti fondamentali delle persone fisiche; vi rientrano, ad esempio, i sistemi di IA destinati a essere utilizzati nei settori dell’istruzione, della sanità, della selezione e gestione del personale, della sicurezza e del contrasto alla criminalità, dell’amministrazione della giustizia e della pubblica amministrazione, quando idonei a incidere sulla salute, sulla libertà e sui diritti fondamentali dei cittadini.

L’AI Act prevede che i sistemi di AI ad alto rischio siano soggetti a una serie di specifici requisiti e obblighi per accedere al mercato dell’UE, tra i quali:

  • adozione di sistemi di gestione dei rischi;
  • elevata qualità dei set di dati che alimentano il sistema;
  • adozione di documentazione tecnica recante tutte le informazioni necessarie alle autorità per valutare la conformità dei sistemi di Artificial Intelligence ai requisiti normativi;
  • conservazione delle registrazioni degli eventi (“log”) per la durata del ciclo di vita del sistema;
  • trasparenza e fornitura di informazioni agli utilizzatori;
  • misure volte a garantire la sorveglianza umana;
  • adeguati livelli di accuratezza, robustezza, cybersicurezza.

L’AI Act prevedere inoltre che i sistemi di Artificial Intelligence debbano essere sottoposti a una procedura di valutazione della conformità ex ante. Si tratta di un processo strutturato di verifica normativa e tecnica che coinvolge sia i produttori che, eventualmente enti terzi di controllo, con l’obiettivo di evitare, tramite una sorta di filtro preventivo, che sistemi potenzialmente pericoloso o discriminatori vengano immessi sul mercato europeo senza adeguate garanzie.

Inoltre, poiché i sistemi di AI sono sviluppati e distribuiti attraverso catene del valore complesse, la normativa chiarisce l’assegnazione delle responsabilità e i ruoli dei vari attori coinvolti in tali catene, con particolare attenzione alle ipotesi in cui un operatore apponga il proprio nome o marchio su un sistema AI ad alto rischio già immesso sul mercato, vi apporti una modifica sostanziale o ne modifichi le finalità.

scarica-catalogo-programmi-osservatori

Quali sono i sistemi di AI a rischio limitato

La produzione e l’utilizzo di sistemi di AI che presentano solo un rischio limitato saranno soggetti a meri obblighi di trasparenza. Nello specifico, l’art. 50 dell’AI Act reca determinati obblighi di trasparenza che si applicano ai sistemi:

  • che interagiscono con le persone fisiche (come, per esempio, chatbot e assistenti virtuali);
  • ai sistemi di riconoscimento delle emozioni e di categorizzazione biometrica (non rientranti tra quelli vietati);
  • ai sistemi che generano o manipolano contenuti (“deep fake”).

In questi casi l’utente dovrà essere informato di stare interagendo con una IA, o che un determinato contenuto è stato generato da una IA (si pensi, ad esempio, ai contenuti deepfake, che dovranno essere marcati come tali). L’obiettivo è consentire all’utente di interagire con la tecnologia in modo consapevole e di assumere decisioni informate.

Quali sono i sistemi di AI a rischio minimo o nullo

Tutti i sistemi di Intelligenza Artificiale non rientrati tra le pratiche vietate, tra i sistemi ad alto rischio e tra quelli a rischio limitato di cui all’art. 50 dell’AI Act, sono da qualificarsi come a rischio minimo o nullo. Quest’ultima categoria, di carattere residuale, comprende sistemi e applicazioni non soggetti a obblighi specifici sanciti dalla nuova normativa, ma subordinati al rispetto della legislazione europea generale. Alcuni esempi includono:

  • filtri antispam;
  • sistemi di raccomandazione per intrattenimento;
  • videogiochi con IA e strumenti di produttività.

Pur non richiedendo regolamentazione specifica, restano applicabili GDPR, normative sui consumatori e altre legislazioni settoriali pertinenti.

Cosa prevede l’AI Act per i sistemi di Intelligenza Artificiale per finalità generali e modelli di base

L’AI Act introduce un regime normativo specifico e articolato per i fornitori di modelli di Intelligenza Artificiale per finalità generali, come GPT, Claude o Llama, vale a dire quei modelli che sono in grado di svolgere un’ampia gamma di compiti distinti e che possono essere integrati in molteplici applicazioni a valle. I fornitori di modelli di AI per finalità generali sono tenuti a:

  • redigere e mantenere costantemente aggiornata una documentazione tecnica esaustiva del modello, che descriva in dettaglio l’architettura, i processi di addestramento e i risultati dei test di valutazione;
  • fornire informazioni complete, così come una documentazione dettagliata ai fornitori a valle che intendano integrare il loro modello in sistemi di AI specifici, consentendo a questi ultimi di comprendere appieno le capacità e i limiti del modello base;
  • attuare politiche concrete per rispettare il diritto d’autore, identificando e rispettando eventuali riserve di diritti sui contenuti utilizzati per l’addestramento;
  • pubblicare una sintesi sufficientemente dettagliata dei dataset impiegati nell’addestramento del modello.

Cosa sono i i modelli a rischio sistemico e quali sono gli obblighi aggiuntivi

Il Regolamento prevede, poi, obblighi aggiuntivi e più stringenti per i modelli considerati “a rischio sistemico”, intendendosi per tali i modelli che:

  1. presentino capacità di impatto elevato valutate sulla base di strumenti tecnici e metodologie adeguati, compresi indicatori e parametri di riferimento;
  2. sulla base di una decisione della Commissione, ex officio o a seguito di una segnalazione qualificata del gruppo di esperti scientifici, presentino capacità o un impatto elevato, tenendo conto di alcuni criteri stabiliti dall’AI Act stesso.

Inoltre, la nuova normariva presume che un modello di IA per finalità generali abbia capacità di impatto elevato e, quindi, rientri nei modelli a rischio sistemico, quando la quantità cumulativa di calcolo utilizzata per il suo addestramento misurata in operazioni in virgola mobile è superiore a 10^25.

Per i modelli a rischio sistemico, i fornitori dovranno:

  • condurre test contraddittori approfonditi (adversarial testing), progettati specificamente per identificare vulnerabilità e comportamenti indesiderati;
  • valutare e mitigare preventivamente i potenziali rischi sistemici che potrebbero manifestarsi a livello dell’Unione Europea;
  • documentare meticolosamente e segnalare tempestivamente all’ufficio per l’IA qualsiasi incidente significativo;
  • garantire un livello particolarmente elevato di protezione della cibersicurezza dell’infrastruttura che ospita il modello.

Come funziona la Governance nell’AI Act

Per garantire l’applicazione dell’AI Act, è stata istituito una struttura di governance su più livelli:

  • l’Ufficio per l’AI, all’interno della Commissione, ha il compito di supervisionare i modelli di IA più avanzati, contribuire a promuovere standard e pratiche di test, con regole comuni in tutti gli Stati membri;
  • il Comitato scientifico di esperti indipendenti affianca l’Ufficio per l’IA e fornisce la propria consulenza in merito ai modelli di IA per finalità generali, contribuendo allo sviluppo di metodologie per valutare le capacità dei modelli di base, fornendo consulenza sulla designazione e l’emergere di modelli di base ad alto impatto e monitorando i possibili rischi materiali di sicurezza connessi ai modelli di base;
  • i Comitato per l’IA, composto da rappresentanti degli Stati membri, è una piattaforma di coordinamento e un organo consultivo della Commissione;
  • i Forum consultivo per gli stakeholder (rappresentanti dell’industria, PMI, start-up, società civile e mondo accademico) ha il compito di fornire le competenze tecniche a tale Comitato.

A che punto è l’adeguamento normativo dell’AI Act da parte delle aziende

Guardando gli adempimenti previsti dall’AI Act, dai dati di Ricerca dell’Osservatorio Artificial Intelligence emerge che in Italia oltre un’azienda su due ha avviato iniziative di alfabetizzazione. Nonostante ciò, solo il 15% ha un progetto strutturato e integrato con altre normative applicabili (ad esempio per la protezione dei dati o per applicazioni specifiche della propria industry).

Quali sono le misure dell’AI Act a sostegno dell’innovazione

L’AI Act prevede diverse misure a sostegno dell’innovazione, con un’attenzione particolare a creare un ambiente normativo armonizzato che favorisca lo sviluppo responsabile e competitivo dell’Intelligenza Artificiale in Europa. Tra queste misure, la più importante è certamente costituita dalle cc.dd. “regulatory sanboxes”. Si tratta di spazi di sperimentazione normativa controllati, istituiti dalle autorità competenti, in cui fornitori e potenziali fornitori di sistemi di IA possono sviluppare, addestrare, testare e convalidare sistemi di IA innovativi, anche in condizioni reali, sotto supervisione normativa.

Quali sono le sanzioni previste dall’AI Act

Il sistema di sanzioni è basato su una percentuale del fatturato annuo globale nell’esercizio finanziario precedente della società che ha commesso la violazione o, se superiore, su un importo predeterminato:

  • 35 milioni di Euro o il 7% per le violazioni relative ad applicazioni di Artificial Intelligence vietate;
  • 15 milioni di Euro o il 3% per violazioni degli obblighi del regolamento relativi ai sistemi AI ad alto rischio;
  • 7,5 milioni di Euro o l’1,5% per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità competenti durante le ispezioni o le richieste di controllo.

Sono previste sanzioni più proporzionate per PMI e startup in caso di violazione delle disposizioni dell’AI Act.

L’AI Act in conclusione

Nell’ambito della regolamentazione dell’AI, con l’AI Act l’Unione europea si pone come un ente all’avanguardia e attivo. Tuttavia, per mantenere tale vantaggio sarà fondamentale per l’UE aggiornare questi regolamenti coerentemente allo stato dell’arte e allo sviluppo della tecnologia. L’IA è cresciuta raggiungendo valori record negli ultimi anni. Una legislazione aggiornata ed efficace consentirà di impedire gli usi ad altissimo rischio e, in generale, di sviluppare un approccio risk-based.

Allo stesso tempo, però, le regolamentazioni dovrebbero anche cercare di evitare di normare in modo eccessivo le progettualità meno critiche. L’obiettivo finale è infatti quello di giungere a un corretto equilibrio tra regolamentazione e un’economia florida. Diversamente da quanto avvenuto rispetto al passato (come nel caso del Cloud), il confronto dell’UE con i vari player del settore dell’AI fa ben sperare che in futuro si possa raggiungere tale obiettivo.

Ti è piaciuto l'articolo? Accedi a tutte le altre risorse di Osservatori.net

Lascia un commento

Iscriviti
Notificami
guest
0 Commenti
Vecchi
Più recenti Le più votate
Feedback in linea
Visualizza tutti i commenti