Dopo un tour de force durato ben 36 ore, nella tarda serata di venerdì 8 dicembre l’Unione Europea ha finalmente raggiunto un accordo (seppur provvisorio) sulla legge riguardante l’intelligenza artificiale, conosciuta come Artificial Intelligence Act, approvando di fatto nuove regole sulle IA.
Questo regolamento è la prima legislazione al mondo che mira a mettere dei paletti riguardo lo sviluppo e l’utilizzo delle intelligenze artificiali. In una nota dell’Eurocamera infatti si legge: “questo Regolamento mira a garantire che i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale siano protetti dall’intelligenza artificiale ad alto rischio, stimolando al contempo l’innovazione e rendendo l’Europa leader nel settore”1.
Ursula von der Leyen, presidente della Commissione Europea esulta: “La legge sull’intelligenza artificiale dell’Unione Europea è una novità a livello mondiale, un quadro giuridico unico per lo sviluppo dell’Ia di cui ci si può fidare e per la sicurezza e i diritti fondamentali delle persone e delle imprese”.
Il percorso del pacchetto di regole sulle IA però non si conclude qui, ma dovranno passare ancora diverse settimane, in cui andranno finalizzati i dettagli, per poi essere sottoposto all’approvazione definitiva. Nel complesso, il primo regolamento al mondo in materia di IA entrerà in vigore solo tra due anni circa.
In attesa delle nuove regole sulle IA
In vista del periodo transitorio necessario per l’applicazione dei requisiti sui sistemi di intelligenza artificiale ad alto rischio, la Commissione Europea ha introdotto il Patto sull’IA il 16 novembre scorso. Questa iniziativa mira a incoraggiare l’industria ad adottare volontariamente tali requisiti prima della scadenza legale, concentrando particolare attenzione sui sistemi di IA generativa in preparazione delle elezioni europee previste per giugno dell’anno prossimo.
Le aziende che partecipano al Patto sottoscriveranno impegni formali, supportati da azioni in corso o pianificate. Questi sforzi verranno pubblicati dalla Commissione Europea per aumentare la visibilità e rafforzare la fiducia nel settore. Attualmente, è in corso un invito a manifestare interesse, con discussioni previste nella prima metà del 2024 per esplorare idee preliminari e buone pratiche. Dopo l’adozione formale dell’Atto sull’Intelligenza Artificiale, le organizzazioni leader nel Patto saranno chiamate a rendere pubblici i loro primi impegni.
Cosa prevede il regolamento
Le nuove regole sulle IA prevedono la categorizzazione del rischio rappresentato dalle IA in quattro livelli: basso, limitato, alto e inaccettabile. A secondo del livello di rischio, i diversi sistemi saranno soggetti a differenti obblighi. Nel primo caso, ad esempio, le IA che rappresentano un rischio basso non dovranno sottostare a nessun obbligo, se non quello di rendere esplicito che il contenuto generato proviene da una IA.
Per IA con rischio alto, invece, verrà valutato l’impatto che questa potrà avere sui diritti fondamentali prima dell’immissione sul mercato. Infine, alle IA considerate con un livello di rischio inaccettabile verrà impedita la pubblicazione.
Ma cosa si intende per rischio inaccettabile? Un esempio è la raccolta indiscriminata delle immagini dei volti delle persone, che siano esse prese da internet, da telecamere di sicurezza, ecc.
Un’eccezione
Questo aspetto delle discussioni ha rischiato di creare impasse nelle lunghe trattative, con numerose modifiche apportate rispetto alla proposta iniziale della Commissione. Uno dei nodi cruciali riguarda la procedura d’emergenza che permetterà alle forze dell’ordine di impiegare un sistema di riconoscimento facciale ad alto rischio che non ha completato la valutazione prevista.
Questa eccezione, pur essendo stata approvata, per poter essere applicata dovrà risultare in linea con i meccanismi specifici per la salvaguardia dei diritti fondamentali. Per quanto riguarda l’uso di sistemi di identificazione biometrica a distanza in tempo reale in aree pubbliche, sono state introdotte delle eccezioni “con l’approvazione giudiziaria e limitatamente a una lista ben definita di reati”.
L’utilizzo di tali sistemi in modalità ‘post-remota’ sarebbe consentito esclusivamente per la ricerca mirata di persone condannate o sospettate di gravi reati. Invece, l’impiego in tempo reale sarebbe circoscritto “a tempo e luogo specifici” per ricerche mirate di vittime (come in casi di rapimento, traffico o sfruttamento sessuale), per prevenire minacce terroristiche “specifiche e attuali”, o per localizzare o identificare persone sospettate di reati specifici come terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a organizzazioni criminali e reati ambientali.
Ulteriori disposizioni
L’accordo ha poi introdotto nuove regole sulle IA per gestire situazioni in cui l’intelligenza artificiale viene utilizzata per molti scopi diversi e dove la tecnologia generale viene poi integrata in altri sistemi ad alto rischio. In questo quadro, sarà creato un Ufficio IA all’interno della Commissione Europea, incaricato di “monitorare i modelli più sofisticati, sostenere lo sviluppo di standard e pratiche di test, e applicare le normative comuni in tutti gli stati membri”.
In parallelo, verrà istituito un forum consultivo per le parti interessate, quali rappresentanti dell’industria, delle PMI, delle startup, della società civile e dell’ambito accademico, per fornire competenze tecniche all’Ufficio IA.
Per far fronte all’ampia gamma di funzioni che i sistemi IA possono svolgere (come la generazione di video, testi, immagini, conversazioni in linguaggio naturale, calcoli o generazione di codice informatico) e alla loro rapida evoluzione, è stato stabilito che i modelli di intelligenza artificiale generativa “ad alto impatto” (addestrati su vasti insiemi di dati generalizzati e non etichettati) dovranno aderire a rigorosi obblighi di trasparenza prima del loro ingresso sul mercato.
Questi obblighi includono la redazione di documentazione tecnica, il rispetto della normativa UE sul copyright e la divulgazione di sintesi dettagliate sui dati utilizzati per la formazione.
Sostegno e sanzioni
Per quanto riguarda il sostegno all’innovazione nel settore dell’intelligenza artificiale, l’accordo prevede la creazione di “sandbox” regolamentari. Questi ambienti di prova forniranno uno spazio controllato per lo sviluppo, il test e la validazione di nuovi sistemi IA, anche in condizioni reali. L’obiettivo è di ridurre il carico amministrativo sulle piccole imprese, proteggendole dalla concorrenza dei grandi attori del mercato, attraverso misure di supporto e deroghe ben definite.
Infine, sono ovviamente previste sanzioni per chi infrange le nuove regole sulle IA. Gli individui e le organizzazioni avranno la possibilità di presentare reclami alle autorità di vigilanza del mercato in caso di non conformità alla legislazione UE sull’IA. In caso di violazione del regolamento, le aziende saranno soggette a multe basate su una percentuale del loro fatturato globale annuo o un importo fisso, a seconda di quale sia maggiore.
Le sanzioni variano in base alla gravità della violazione: 35 milioni di euro o il 7% del fatturato per violazioni di applicazioni proibite, 15 milioni di euro o il 3% per violazioni degli obblighi legali, e 7,5 milioni di euro o l’1,5% per la fornitura di informazioni non corrette. Per le piccole e medie imprese e le startup, sono previste sanzioni più proporzionate.