Dopo una maratona di colloqui incessanti durata tre giorni la Presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta di norme armonizzate sull’intelligenza artificiale, il cosiddetto AI Act.
La proposta di regolamento mira a garantire che i sistemi di intelligenza artificiale immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’UE, stimolando gli investimenti e l’innovazione sull’intelligenza artificiale in Europa.
Siamo di fronte ad una iniziativa legislativa faro con il potenziale di promuovere lo sviluppo e l’adozione di una intelligenza artificiale sicura e affidabile nel mercato unico dell’UE da parte di attori sia privati che pubblici.
L’idea principale è quella di regolamentare l’intelligenza artificiale in base alla capacità di quest’ultima di causare danni alla società seguendo un approccio basato sul rischio: maggiore è il rischio, più severe sono le regole.
Questa proposta legislativa può stabilire uno standard globale per la regolamentazione dell’intelligenza artificiale in altre giurisdizioni, seguendo un po’ il percorso tracciato dal GDPR.
Indice
Gli elementi principali dell’accordo provvisorio
Rispetto alla proposta iniziale della Commissione, i principali nuovi elementi dell’accordo provvisorio sono:
- norme sui modelli di intelligenza artificiale generica ad alto impatto che possono causare rischi sistemici in futuro, nonché sui sistemi di intelligenza artificiale ad alto rischio
- un sistema di governance riveduto con alcuni poteri di esecuzione a livello dell’UE
- estensione dell’elenco dei divieti, ma con la possibilità di utilizzare l’identificazione biometrica remota da parte delle autorità incaricate dell’applicazione della legge negli spazi pubblici, fatte salve le salvaguardie
- una migliore protezione dei diritti attraverso l’obbligo per gli installatori di sistemi di intelligenza artificiale ad alto rischio di effettuare una valutazione dell’impatto dei diritti fondamentali prima di utilizzare un sistema di intelligenza artificiale.
Definizioni e campo di applicazione
Per garantire che la definizione di un sistema intelligenza artificiale fornisca criteri sufficientemente chiari per distinguere l’intelligenza artificiale dai sistemi software più semplici, l’accordo di compromesso allinea la definizione all’approccio proposto dall’OCSE.
L’accordo provvisorio chiarisce che il regolamento non si applica a settori che esulano dal campo di applicazione del diritto dell’UE e non dovrebbe, in ogni caso, incidere sulle competenze degli Stati membri in materia di sicurezza nazionale o di qualsiasi entità incaricata di compiti in questo settore.
Inoltre, la legge sull’intelligenza artificiale non si applica ai sistemi utilizzati esclusivamente a fini militari o di difesa.
Analogamente, l’accordo prevede che il regolamento non si applichi ai sistemi di intelligenza artificiale utilizzati esclusivamente ai fini della ricerca e dell’innovazione, né alle persone che utilizzano l’intelligenza artificiale per motivi non professionali.
Il riconoscimento biometrico è stato vietato, salvo in tre casi, come ha spiegato il commissario al Mercato interno, Thierry Breton alla conferenza finale: “Prevista ed evidente minaccia di attacco terroristico; ricerca di vittime; persecuzione di seri crimini”.
“Le eccezioni per le forze dell’ordine prevedono salvaguardie più forti del testo iniziale della Commissione per non avere abusi. E’ stata la parte più combattuta” ha dichiarato Dragos Tudorache, correlatore del testo per conto del Parlamento.
Classificazione dei sistemi di IA come pratiche ad alto rischio e vietate
L’accordo prevede un livello orizzontale di protezione, compresa una classificazione ad alto rischio, per garantire che i sistemi di intelligenza artificiale che non sono suscettibili di causare gravi violazioni dei diritti fondamentali o altri rischi significativi non vengano catturati.
I sistemi di intelligenza artificiale che presentano un rischio limitato sarebbero soggetti a obblighi di trasparenza molto leggeri, ad esempio rivelando che il contenuto è stato generato dall’intelligenza artificiale in modo che gli utenti possano prendere decisioni informate su un ulteriore utilizzo.
Una vasta gamma di sistemi di intelligenza artificiale ad alto rischio sarebbe soggetta a una serie di requisiti e obblighi per ottenere l’accesso al mercato UE. Tali requisiti sono stati chiariti e adeguati dai colegislatori in modo da renderli più tecnicamente fattibili e meno onerosi per le parti interessate, ad esempio per quanto riguarda la qualità dei dati, o in relazione alla documentazione tecnica che dovrebbe essere redatta dalle PMI per dimostrare che i loro sistemi di intelligenza artificiale ad alto rischio sono conformi ai requisiti.
Poiché i sistemi di intelligenza artificiale sono sviluppati e distribuiti attraverso catene di valore complesse, l’accordo di compromesso include modifiche che chiariscono la ripartizione delle responsabilità e dei ruoli dei vari attori in tali catene, in particolare fornitori e utenti di sistemi di intelligenza artificiale. Chiarisce, inoltre, il rapporto tra le responsabilità ai sensi della legge sull’intelligenza artificiale e quelle già esistenti ai sensi di altre normative, come la pertinente legislazione UE sulla protezione dei dati o settoriale.
Per alcuni usi, il rischio è ritenuto inaccettabile e, pertanto, questi sistemi saranno vietati dall’UE.
L’accordo provvisorio vieta, ad esempio: la manipolazione comportamentale cognitiva, l’eliminazione non mirata di immagini facciali da Internet o riprese a circuito chiuso, il riconoscimento delle emozioni sul posto di lavoro e le istituzioni educative, punteggio sociale, categorizzazione biometrica per i dati sensibili, come l’orientamento sessuale o le credenze religiose, e alcuni casi di polizia predittiva per gli individui.
Eccezioni per l’applicazione della legge
Considerate le specificità delle autorità incaricate dell’applicazione della legge e la necessità di preservare la loro capacità di utilizzare l’intelligenza artificiale nel loro lavoro vitale, sono state concordate diverse modifiche alla proposta della Commissione relative all’uso dei sistemi di intelligenza artificiale ai fini di applicazione della legge.
Fatte salve adeguate garanzie, tali modifiche sono intese a riflettere la necessità di rispettare la riservatezza dei dati operativi sensibili in relazione alle loro attività. Ad esempio, è stata introdotta una procedura di emergenza che consente alle forze dell’ordine di utilizzare uno strumento di intelligenza artificiale ad alto rischio che non ha superato la procedura di valutazione della conformità in caso di urgenza. Tuttavia, è stato anche introdotto un meccanismo specifico per garantire che i diritti fondamentali siano sufficientemente protetti contro eventuali abusi dei sistemi di intelligenza artificiale.
Inoltre, per quanto riguarda l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, l’accordo provvisorio chiarisce gli obiettivi in cui tale uso è strettamente necessario ai fini dell’applicazione della legge e per i quali le autorità incaricate dell’applicazione della legge dovrebbero pertanto essere eccezionalmente autorizzate a utilizzare tali sistemi.
Sono previste garanzie aggiuntive e le eccezioni sono limitate ai casi di vittime di determinati reati, alla prevenzione di minacce reali, presenti o prevedibili, come gli attacchi terroristici, e alle ricerche di persone sospettate dei crimini più gravi.
Sistemi di IA generici e modelli fondativi (foundational models)
Sono state aggiunte nuove disposizioni per tener conto delle situazioni in cui i sistemi di intelligenza artificiale possono essere utilizzati per molti scopi diversi – intelligenza artificiale di uso generale – e in cui la tecnologia di intelligenza artificiale di uso generale è successivamente integrata in un altro sistema ad alto rischio. L’accordo provvisorio affronta anche i casi specifici dei sistemi di intelligenza artificiale per uso generale (GPAI).
Regole specifiche sono state concordate anche per i modelli di base, grandi sistemi in grado di svolgere con competenza una vasta gamma di compiti distintivi, come la generazione di video, testo, immagini, la conversione in linguaggio laterale, informatica, o la generazione di codice informatico.
L’accordo provvisorio prevede che i modelli fondativi debbano rispettare specifici obblighi di trasparenza prima di essere immessi sul mercato.
È stato introdotto un regime più rigoroso per i modelli fondativi ad alto impatto. Si tratta di modelli di base formati con grandi quantità di dati e con complessità avanzata, capacità e prestazioni ben al di sopra della media, che possono diffondere i rischi sistemici lungo la catena del valore. Sono quelle forme di intelligenza artificiale generali in grado di svolgere compiti diversi, come creare un testo o un’immagine e allenati attraverso un’enorme mole di dati non categorizzati, come GPT-4, alla base di ChatGPT, o LaMDA, dietro Google Bard.
Una nuova architettura di governance
A seguito delle nuove norme sui modelli di GPAI e dell’evidente necessità di applicarle a livello dell’UE, è istituito un ufficio dell’intelligenza artificiale all’interno della Commissione con il compito di:
- sorvegliare i modelli di intelligenza artificiale più avanzati
- contribuire a promuovere le norme e le pratiche di prova
- far rispettare le regole comuni in tutti gli Stati membri.
Un gruppo scientifico di esperti indipendenti fornirà consulenza all’Ufficio AI sui modelli GPAI, contribuendo allo sviluppo di metodologie per la valutazione delle capacità dei modelli di fondazione, fornendo consulenza sulla designazione e l’emergere di modelli di fondazione ad alto impatto, e monitoraggio dei possibili rischi per la sicurezza dei materiali connessi ai modelli di fondazione.
L’AI Board, che comprenderà i rappresentanti degli Stati membri, rimarrà una piattaforma di coordinamento e un organo consultivo della Commissione e conferirà un ruolo importante agli Stati membri nell’attuazione del regolamento, compresa la progettazione di codici di condotta per i modelli di base.
Infine, sarà istituito un forum consultivo per le parti interessate, quali i rappresentanti dell’industria, le PMI, le start-up, la società civile e il mondo accademico, per fornire competenze tecniche al consiglio di amministrazione dell’IA.
L’AI Act prevede anche strumenti per rafforzare il copyright e richiedere trasparenza sui contenuti generati dagli algoritmi.
Sanzioni
Le sanzioni sono state fissate come percentuale del fatturato annuo globale della società incriminata nell’esercizio finanziario precedente o come importo predeterminato, se superiore.
Si tratterebbe di:
- 35 milioni di euro o del 7% per le violazioni delle applicazioni IA vietate
- 15 milioni di euro o il 3% per le violazioni degli obblighi della legge
- 7,5 milioni di euro o 1,5% per la fornitura di informazioni errate.
Tuttavia, l’accordo provvisorio prevede limiti più proporzionati alle ammende amministrative per le PMI e per le start-up in caso di violazione delle disposizioni della legge sull’intelligenza artificiale.
L’accordo di compromesso chiarisce, inoltre, che una persona fisica o giuridica può presentare una denuncia all’autorità di vigilanza del mercato competente in materia di conformità con la legge sull’intelligenza artificiale e può prevedere che tale reclamo sarà trattato in linea con le procedure specifiche di tale autorità.
Trasparenza e tutela dei diritti fondamentali
L’accordo provvisorio prevede una valutazione d’impatto dei diritti fondamentali prima che un sistema di IA ad alto rischio sia immesso sul mercato dai suoi installatori.
Prevede, inoltre, una maggiore trasparenza per quanto riguarda l’uso di sistemi di intelligenza artificiale ad alto rischio. In particolare, alcune disposizioni della proposta della Commissione sono state modificate per indicare che alcuni utenti di un sistema di intelligenza artificiale ad alto rischio che sono enti pubblici saranno anche tenuti a registrarsi nella banca dati dell’UE per i sistemi di intelligenza artificiale ad alto rischio.
Inoltre, le nuove disposizioni aggiunte pongono l’accento sull’obbligo per gli utenti di un sistema di riconoscimento delle emozioni di informare le persone fisiche quando sono esposte a tale sistema.
Misure a sostegno dell’innovazione
Al fine di creare un quadro giuridico più favorevole all’innovazione e di promuovere l’apprendimento normativo basato sui fatti, le disposizioni relative alle misure a sostegno dell’innovazione sono state sostanzialmente modificate rispetto alla proposta della Commissione.
In particolare, è stato chiarito che le sandbox di regolamentazione dell’intelligenza artificiale, che dovrebbero stabilire un ambiente controllato per lo sviluppo, la sperimentazione e la convalida di sistemi innovativi di IA, dovrebbero anche consentire di testare sistemi innovativi di IA in condizioni reali.
Sono state aggiunte nuove disposizioni che consentono di testare i sistemi di intelligenza artificiale in condizioni reali, in condizioni e salvaguardie specifiche.
Per alleggerire l’onere amministrativo a carico delle piccole imprese, l’accordo provvisorio contiene un elenco di azioni da intraprendere a sostegno di tali operatori e prevede alcune deroghe limitate e chiaramente specificate.
Entrata in vigore
L’accordo provvisorio prevede che l’atto intelligenza artificiale si applichi due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche. Sei mesi per proibire gli usi vietati.
In seguito all’accordo provvisorio di poche ore fa, nelle prossime settimane proseguiranno i lavori a livello tecnico per completare i dettagli del nuovo regolamento.
La Presidenza presenterà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per l’approvazione una volta che questo lavoro è stato concluso.L’intero testo dovrà essere confermato da entrambe le istituzioni e sottoposto a revisione giuridico-linguistica prima dell’adozione formale da parte dei colegislatori.
Da menzionare anche una conformità volontaria, il cosiddetto AI Pact, che permetterà alle aziende di adeguarsi all’AI Act prima che diventi pienamente operativo.