Il testo dell’AI Act, il nuovo regolamento europeo sull’Intelligenza Artificiale ha ottenuto l’approvazione dal Comitato dei rappresentanti permanenti (Coreper) il 2 febbraio e successivamente anche dalle commissioni IMCO e LIBE del Parlamento europeo il 13 febbraio. Questi passaggi positivi aprono la strada all’ultima fase del processo legislativo, programmata per aprile, con la votazione del Parlamento in sessione plenaria e l’approvazione successiva del Consiglio.
Che cos’è l’AI Act?
Nel 2021 la Commissione Europea ha proposto per la prima volta un quadro normativo che regolasse lo sviluppo e l’utilizzo di tecnologie che fanno leva sull’Intelligenza Artificiale. L’obiettivo era quello di garantire che tutti i sistemi di AI usati all’interno dell’Unione Europea fossero sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell’ambiente. L’AI Act rappresenta la conclusione di un percorso, durato circa tre anni, per definire un regolamento chiaro e che mettesse d’accordo tutti gli Stati dell’Unione e risolvesse dubbi e preoccupazioni. L’intesa è stata infatti raggiunta solo a dicembre 2023.
Cosa prevede dunque l’AI Act?
Il regolamento prevedrà obblighi da rispettare per fornitori e utenti, basandosi su un modello che comprende quattro differenti livelli di rischio: inaccettabile, alto, limitato, minimo.
Il regolamento vieta specificamente diversi utilizzi dell’AI, inclusi quelli che abusano di persone o categorie vulnerabili, o effettuano categorizzazioni biometriche basate su dati sensibili come credo religioso, orientamento politico o sessuale. Vieta anche l’uso di sistemi come il riconoscimento delle emozioni sul posto di lavoro, il social scoring e la polizia predittiva. Il testo ammette comunque eccezioni, come l’utilizzo della categorizzazione biometrica per scopi di polizia con dati legalmente acquisiti.
L’AI Act affronta anche l’uso del riconoscimento facciale e biometrico in tempo reale, vietandolo tranne che in tre situazioni specifiche: la ricerca di vittime di reati o persone scomparse, minacce certe alla vita o alla sicurezza, e la localizzazione di presunti autori di specifici reati: terrorismo, abusi su minori, sequestri di persona, traffico illegale di armi, omicidi, stupri, traffico di materiale radioattivo, traffico di organi, crimini contro l’ambiente, rapine, sabotaggio, partecipazione ad organizzazioni criminali. In questi casi, l’uso è consentito solo dopo un’approvazione basata su controlli sugli impatti sui diritti fondamentali dei cittadini e solo per confermare l’identità di una persona già indagata
Viene data particolare attenzione ai sistemi ad alto rischio, che includono identificazione biometrica, sicurezza di infrastrutture critiche, algoritmi utilizzati in contesti lavorativi e scolastici e forze dell’ordine. Sono considerati sistemi ad alto rischio anche quelli impiegati per il controllo dei flussi migratori e delle frontiere, per l’assistenza e l’interpretazione legale e quelli utilizzati dalla pubblica amministrazione, o da enti privati, per l’assegnazione di sussidi, rimborsi e finanziamenti o per valutazione dei rischi in caso di assicurazioni. Gli sviluppatori di questi sistemi devono stabilire controlli, garantire la trasparenza dei dati e registrare log per tutta la vita commerciale dell’algoritmo. Gli sviluppatori devono fornire documenti tecnici, informazioni sulla sicurezza e sottoporsi a monitoraggio.
I sistemi ad alto impatto devono rispettare obblighi più stringenti, sottoponendosi a valutazioni approfondite e riportando immediatamente alla Commissione Europea eventuali incidenti di elevata rilevanza. La potenza di calcolo individuata per definire un sistema come “ad alto impatto” è di 10^25 FLOPs (floating point operations per second).
I sistemi di AI per uso generale, in particolare quelli di AI generativa, sono anch’essi regolamentati, con l’obbligo di marcare i contenuti generati dall’IA in modo riconoscibile e far sì che questi non siano illegali e anche di fornire liste del materiale coperto da copyright utilizzato per l’apprendimento.
Come avverranno i controlli e cosa prevede il regolamento per chi lo infrange?
Una parte dei controlli sull’utilizzo e lo sviluppo di sistemi di intelligenza artificiale verrà delegato alle autorità locali, che dovranno dotarsi di una sandbox regolatoria entro due anni dall’entrata in vigore dell’AI Act, per poter effettuare test su tali sistemi in sicurezza. Inoltre, è prevista l’istituzione di un Consiglio dell’AI all’interno della Commissione Europea, di cui farà parte un rappresentante per ogni stato dell’Unione e che potrà avvalersi di forum, consulenti tecnici e un comitato indipendente di scienziati ed esperti.
Infine, vengono specificate sanzioni per chi non rispetta il regolamento, con multe fino a 35 milioni di euro o il 7% del fatturato globale per usi proibiti e fino a 15 milioni o il 3% del fatturato globale per mancata ottemperanza alle regole per sistemi ad alto rischio o di uso generale.
.
