AI Act, il 2 agosto entra in vigore il primo regolamento sull’Intelligenza artificiale

A seguito della pubblicazione nella Gazzetta Ufficiale dell’Ue, l’AI Act entra in vigore definitivamente il 2 agosto 2024. Come viene regolamentata l'Intelligenza artificiale

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 13 Febbraio 2024 12:37Aggiornato: 22 Luglio 2024 08:58

Il 12 luglio 2024 l’AI Act è stato pubblicato in Gazzetta Ufficiale Europea (GUUE). Il Regolamento n. 1689 del 13 giugno 2024 prevede, in via del tutto eccezionale, una scaletta progressiva di attività operative. A seguito della pubblicazione, l’AI Act entrerà in vigore definitivamente il 2 agosto 2024.

Decorrenze

L’art. 113 prevede che:

  • I capi I e II “Definizioni e pratiche vietate” si applichino a decorrere dal 2 febbraio 2025
  • Il capo III, sezione 4, “Autorità di notifica designate dagli stati membri”, il capo V “Modelli di AI per finalità generali”, il capo VII “Banca dati UE per i sistemi ad alto rischio”, il capo XII “Sanzioni” e l’art. 78 “Riservatezza dei dati trattati in conformità al regolamento” si applichino a decorrere dal 2 agosto 2025, ad eccezione dell’art. 101 “Sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali”.

L’art. 6, paragrafo 1, “Classificazione dei sistemi ad alto rischio” e i corrispondenti obblighi previsti dal Regolamento si applicano a decorrere dal 2 agosto 2027.

Scadenze

  • L’AI Act è basato su una architettura a rischi. Tra gli impieghi vietati vi sono le tecnologie atte a manipolare i comportamenti delle persone, la sorveglianza biometrica, la raccolta massiccia e illimitata di foto di volti da internet, il riconoscimento delle emozioni sul posto di lavoro o a scuola, i sistemi di punteggio sociale o la polizia predittiva. A gennaio 2025 scatta il blocco di questi sistemi vietati.
  • Ad aprile 2025 è necessario adottare i codici di condotta, ovvero gli impegni che sviluppatori, aziende e associazioni dell’industria prenderanno per garantire l’inclusione dei principi dell’AI Act nello sviluppo delle loro attività. L’obiettivo dei codici di condotta è quello di amplificare gli impegni sulla sostenibilità ambientale e sociale, sulla formazione e alfabetizzazione tecnologica, nonché l’adozione di principi etici nella produzione di tecnologia. I codici di condotta devono basarsi “su obiettivi chiari e indicatori chiave di prestazione che consentano di misurare il conseguimento di tali obiettivi”.
  • Ad agosto 2025 l’attenzione si sposta sui modelli di AI generale, che sono quelli di maggior impatto sulla popolazione. I contenuti devono essere riconoscibili come generati da un’AI, laddove i contenuti deepfake devono essere etichettati attraverso sistemi come il watermarking.

Riesame e valutazioni

Il Considerando 174 sancisce che in considerazione dei “rapidi sviluppi tecnologici e le competenze tecniche necessarie per applicare efficacemente il presente regolamento, la Commissione dovrebbe valutare e riesaminare il presente regolamento entro il 2 agosto 2029 e successivamente ogni 4 anni e riferire al Parlamento europeo e al Consiglio”.

Un’altra tappa rilevante è fissata il 2 agosto 2028. A partire da questa data la Commissione dovrebbe valutare e riferire al Parlamento europeo e al Consiglio:

  • la necessità di modificare l’elenco delle voci relative ad aree ad alto rischio (Allegato III)
  • i sistemi di AI per gli obblighi di trasparenza
  • l’efficacia del sistema di supervisione e governance
  • i progressi nello sviluppo dei risultati di normazione sullo sviluppo efficiente dal punto di vista energetico.

Entro tale data, inoltre, per tre anni, la Commissione dovrebbe valutare anche l’impatto ed efficacia dei codici di condotta volontari in vista della promozione dell’applicazione dei requisiti previsti per i sistemi ad altro rischio.

Multe

Le multe arrivano fino a 35 milioni di euro o al 7% del fatturato globale nel caso degli usi proibiti.

Per i sistemi ad alto rischio o quelli di uso generale si arriva fino a un massimo di 15 milioni o del 3% del fatturato globale in caso di mancata ottemperanza alle regole. Se si contestano informazioni non corrette, la sanzione raggiunge i 7,5 milioni di euro o dell’1% del fatturato globale.

Per startup e PMI l’ammontare viene ridimensionato.

Le multe contro enti pubblici sono previste per un massimo di 1,5 milioni, se si violano le norme sugli usi proibiti, o per un massimo di 750mila euro negli altri casi.

Cosa è accaduto nei mesi precedenti

Gli ambasciatori dei 27 Stati membri hanno adottato la posizione del Consiglio stesso sull’AI Act, sulla base di quanto provvisoriamente accordato dal Trilogo a dicembre. Allora, l’accordo politico raggiunto aveva lasciato alcuni Stati membri insoddisfatti, soprattutto Paesi come Francia e Germania. Aleggiava, quindi, sempre più insistente la possibilità che all’interno del Consiglio si venisse a creare un “muro” eretto da una minoranza che avrebbe costretto a rimandare l’approvazione del testo dell’AI Act dopo le elezioni europee.
Le critiche sollevate vertevano principalmente su:

  1. limitare l’innovazione con la categorizzazione delle AI prevedendo vari livelli in base ai potenziali rischi per gli individui;
  2. l’uso nella sorveglianza basata sui sistemi di AI;
  3. l’autoregolamentazione bilanciando diritti e opportunità

La votazione di pochi giorni fa, anticipata il 21 gennaio da una riunione tecnica, sempre in seno al Consiglio, sembra aver dissipato ogni nube e l’approvazione all’unanimità dell’AI Act fa ragionevolmente prevedere che il Parlamento europeo possa procedere fluidamente senza ulteriori perplessità e rallentamenti.

Approccio basato sul rischio

L’idea cardine su cui si fonda l’AI Act  è quella di regolamentare l’intelligenza artificiale seguendo un approccio “basato sul rischio”, ovverosia tanto maggiore è il rischio, quanto più rigorose e stringenti si presentano le regole. Il testo confermato dal Coreper prevede:

  • regole sui modelli di AI per finalità generali ad alto impatto che possono comportare rischi sistemici in futuro, nonché sui sistemi di AI ad alto rischio
  • un sistema di governance riveduto con alcuni poteri di esecuzione a livello dell’UE
  • ampliamento dell’elenco dei divieti, ma con la possibilità di utilizzare l’identificazione biometrica remota da parte delle autorità di contrasto negli spazi pubblici, fatte salve le tutele
  • una migliore protezione dei diritti tramite l’obbligo per gli operatori di sistemi di AI ad alto rischio di effettuare una valutazione d’impatto sui diritti fondamentali prima di utilizzare un sistema di AI.

Cos’è l’intelligenza artificiale per l’AI Act

Con il termine intelligenza artificiale si indica una famiglia di tecnologie in rapida evoluzione in grado di apportare una vasta gamma di benefici economici e sociali in tutto lo spettro delle attività industriali e sociali. L’uso dell’intelligenza artificiale, garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione dell’erogazione di servizi, può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale nonché fornire vantaggi competitivi fondamentali alle imprese e all’economia europea. Tale azione è particolarmente necessaria in settori ad alto impatto, tra i quali figurano quelli dei cambiamenti climatici, dell’ambiente e della sanità, il settore pubblico, la finanza, la mobilità, gli affari interni e l’agricoltura.

Tuttavia gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell’IA possono, altresì, comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti tecnologici e delle possibili sfide, l’UE si impegna a perseguire un approccio equilibrato. L’interesse dell’Unione è quello di preservare la leadership tecnologica dell’UE e assicurare che i cittadini europei possano beneficiare di nuove tecnologie sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell’Unione.

L’AI Act tiene fede all’impegno politico della presidente Ursula von der Leyen che, nei suoi orientamenti politici per la Commissione 2019-2024 “Un’Unione più ambiziosa”, ha annunciato che la Commissione avrebbe presentato una normativa per un approccio europeo coordinato alle implicazioni umane ed etiche dell’intelligenza artificiale.

A seguito di tale annuncio la Commissione ha pubblicato il 19 febbraio 2020 il Libro bianco sull’intelligenza artificiale, che definisce le opzioni strategiche su come conseguire il duplice obiettivo di promuovere l’adozione dell’IA e affrontare i rischi associati a determinati utilizzi di tale tecnologia.

Obiettivi specifici

Il quadro normativo proposto sull’intelligenza artificiale presenta degli obiettivi specifici:

  • assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
  • assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
  • migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
  • facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.

Al fine di conseguire tali obiettivi l’AI Act presenta un approccio normativo orizzontale all’IA equilibrato e proporzionato, che si limita ai requisiti minimi necessari per affrontare i rischi e i problemi ad essa collegati, senza limitare od ostacolare lo sviluppo tecnologico o altrimenti aumentare in modo sproporzionato il costo dell’immissione sul mercato di soluzioni di IA.
La natura orizzontale dell’AI Act richiede un’assoluta coerenza con la normativa vigente dell’Unione applicabile ai settori nei quali i sistemi di IA ad alto rischio sono già utilizzati o saranno probabilmente utilizzati in un prossimo futuro.
È, inoltre, assicurata la coerenza con la Carta dei diritti fondamentali dell’Unione europea e il diritto derivato dell’UE in vigore in materia di protezione dei dati, tutela dei consumatori, non discriminazione e parità di genere.

L’AI Act non pregiudica il regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva (UE) 2016/680) e li integra con una serie di regole armonizzate applicabili alla progettazione, allo sviluppo e all’utilizzo di determinati sistemi di IA ad alto rischio nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota.

Integra, inoltre, il diritto dell’Unione in vigore in materia di non discriminazione con requisiti specifici che mirano a ridurre al minimo il rischio di discriminazione algoritmica, in particolare in relazione alla progettazione e alla qualità dei set di dati utilizzati per lo sviluppo dei sistemi di IA, integrati con obblighi relativi alle prove, alla gestione dei rischi, alla documentazione e alla sorveglianza umana durante l’intero ciclo di vita dei sistemi di IA. Non pregiudica l’applicazione del diritto dell’Unione in materia di concorrenza.

I sistemi di IA ad alto rischio

L’accordo di compromesso stabilisce un livello orizzontale di protezione, compresa una classificazione ad alto rischio. I sistemi di AI che presentano solo un rischio limitato sarebbero soggetti a obblighi di trasparenza molto leggeri. Un’ampia gamma di sistemi di AI ad alto rischio sarebbe autorizzata, ma soggetta a una serie di requisiti e obblighi per ottenere accesso al mercato dell’UE.
I sistemi di AI ad alto rischio sono i sistemi di IA elencati in uno dei seguenti settori:

Identificazione e categorizzazione biometrica delle persone fisiche:

Sistemi di IA destinati a essere utilizzati per l’identificazione biometrica remota “in tempo reale” e “a posteriori” delle persone fisiche.

Gestione e funzionamento delle infrastrutture critiche

I sistemi di IA destinati a essere utilizzati come componenti di sicurezza nella gestione del traffico stradale e nella fornitura di acqua, gas, riscaldamento ed elettricità.

Istruzione e formazione professionale

  • I sistemi di IA destinati a essere utilizzati al fine di determinare l’accesso o l’assegnazione di persone fisiche agli istituti di istruzione e formazione professionale;
  • i sistemi di IA destinati a essere utilizzati per valutare gli studenti negli istituti di istruzione e formazione professionale e per valutare i partecipanti alle prove solitamente richieste per l’ammissione agli istituti di istruzione.

Occupazione, gestione dei lavoratori e accesso al lavoro autonomo

  • i sistemi di IA destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicizzare i posti vacanti, vagliare o filtrare le candidature, valutare i candidati nel corso di colloqui o prove;
  • l’IA destinata a essere utilizzata per adottare decisioni in materia di promozione e cessazione dei rapporti contrattuali di lavoro, per l’assegnazione dei compiti e per il monitoraggio e la valutazione delle prestazioni e del comportamento delle persone nell’ambito di tali rapporti di lavoro.

Accesso a prestazioni e servizi pubblici e a servizi privati essenziali e fruizione degli stessi

  • i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi;
  • i sistemi di IA destinati a essere utilizzati per valutare l’affidabilità creditizia delle persone fisiche o per stabilire il loro merito di credito, a eccezione dei sistemi di IA messi in servizio per uso proprio da fornitori di piccole dimensioni;
  • i sistemi di IA destinati a essere utilizzati per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, compresi vigili del fuoco e assistenza medica.

Attività di contrasto

  • I sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per effettuare valutazioni individuali dei rischi delle persone fisiche al fine di determinare il rischio di reato o recidiva in relazione a una persona fisica o il rischio per vittime potenziali di reati;
  • i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto, come poligrafi e strumenti analoghi, o per rilevare lo stato emotivo di una persona fisica;
  • i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per individuare i “deep fake”;
  • i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per la valutazione dell’affidabilità degli elementi probatori nel corso delle indagini o del perseguimento di reati;
  • i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per prevedere il verificarsi o il ripetersi di un reato effettivo o potenziale sulla base della profilazione delle persone fisiche di cui all’articolo 3, paragrafo 4, della direttiva (UE) 2016/680 o per valutare i tratti e le caratteristiche della personalità o il comportamento criminale pregresso di persone fisiche o gruppi;
  • i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per la profilazione delle persone fisiche di cui all’articolo 3, paragrafo 4, della direttiva (UE) 2016/680 nel corso dell’indagine, dell’accertamento e del perseguimento di reati;
  • i sistemi di IA destinati a essere utilizzati per l’analisi criminale riguardo alle persone fisiche, che consentono alle autorità di contrasto di eseguire ricerche in set di dati complessi, correlati e non correlati, resi disponibili da fonti di dati diverse o in formati diversi, al fine di individuare modelli sconosciuti o scoprire relazioni nascoste nei dati.

Gestione della migrazione, dell’asilo e del controllo delle frontiere

  • I sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti, come poligrafi e strumenti analoghi, o per rilevare lo stato emotivo di una persona fisica;
  • i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti per valutare un rischio (compresi un rischio per la sicurezza, un rischio di immigrazione irregolare o un rischio per la salute) posto da una persona fisica che intende entrare o è entrata nel territorio di uno Stato membro;
  • i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti per verificare l’autenticità dei documenti di viaggio e dei documenti giustificativi delle persone fisiche e per individuare i documenti non autentici mediante il controllo delle caratteristiche di sicurezza;
  • i sistemi di IA destinati ad assistere le autorità pubbliche competenti nell’esame delle domande di asilo, di visto e di permesso di soggiorno e dei relativi reclami per quanto riguarda l’ammissibilità delle persone fisiche che richiedono tale status.

Amministrazione della giustizia e processi democratici

I sistemi di IA destinati ad assistere un’autorità giudiziaria nella ricerca e nell’interpretazione dei fatti e del diritto e nell’applicazione della legge a una serie concreta di fatti

Diritti fondamentali

L’utilizzo dell’IA con le sue caratteristiche specifiche, come opacità, complessità, dipendenza dai dati, comportamento autonomo, può incidere negativamente su una serie di  diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea.

L’AI Act mira ad assicurare un livello elevato di protezione di tali diritti fondamentali e ad affrontare varie fonti di rischio attraverso un approccio basato sul rischio chiaramente definito. Definendo una serie di requisiti per un’IA affidabile e di obblighi proporzionati per tutti i partecipanti alla catena del valore, la presente proposta migliorerà e promuoverà la protezione dei diritti tutelati dalla Carta:

  • il diritto alla dignità umana (articolo 1)
  • rispetto della vita privata e alla protezione dei dati di carattere personale (articoli 7 e 8)
  • non discriminazione (articolo 21)
  • parità tra donne e uomini (articolo 23).

Mira a prevenire un effetto dissuasivo sui diritti alla libertà di espressione (articolo 11) e alla libertà di riunione (articolo 12), nonché ad assicurare la tutela del diritto a un ricorso effettivo e a un giudice imparziale, della presunzione di innocenza e dei diritti della difesa (articoli 47 e 48), così come il principio generale di buona amministrazione.

Inciderà sui diritti dei lavoratori a condizioni di lavoro giuste ed eque (articolo 31), offrirà un livello elevato di protezione dei consumatori (articolo 38), garantirà i diritti del minore (articolo 24) e l’inserimento delle persone con disabilità (articolo 26). Rilevante è anche il diritto a un livello elevato di tutela dell’ambiente e al miglioramento della sua qualità (articolo 37), anche in relazione alla salute e alla sicurezza delle persone.

Governance

A seguito delle nuove regole sui modelli di AI per finalità generali e dell’evidente necessità di una loro applicazione a livello dell’Ue è istituito:

  • un Ufficio per l’AI all’interno della Commissione incaricato di: a) supervisionare i modelli di IA più avanzati; b) contribuire a promuovere norme e pratiche di prova e far rispettare le norme comuni in tutti gli Stati membri
  • un gruppo scientifico di esperti indipendenti, che fornirà consulenza all’ufficio per l’AI. In particolare: a) si interesserà dei modelli per finalità generali; b) contribuirà allo sviluppo di metodologie per valutare le capacità dei modelli di base; c) fornirà consulenza sulla designazione e l’emergere di modelli di base ad alto impatto, monitorando i possibili rischi materiali di sicurezza connessi ai modelli di base
  • il comitato per l’AI, composto da rappresentanti degli Stati membri, svolgerà un ruolo di coordinamento e organo consultivo della Commissione. Svolgerà un ruolo importante nell’attuazione del regolamento, compresa la progettazione di codici di buone pratiche per i modelli di base
  • Forum consultivo per i portatori di interessi, quali i rappresentanti dell’industria, le pmi, le start-up, la società civile e il mondo accademico, al fine di fornire competenze tecniche al comitato per l’AI.

Finalità generali e modelli di base

Rispetto alla proposta inziale della Commissione, sono state introdotte nuove disposizioni che tengono conto di situazioni in cui i sistemi di AI possono essere utilizzati per finalità generali e quelle in cui la tecnologia di AI per finalità generali è successivamente integrata in un altro sistema ad alto rischio.

Sono state inoltre concordate regole specifiche per i modelli di base, in grado di svolgere un’ampia gamma di compiti distintivi, come:

  • generazione di video, testi, immagini
  • conversazione in linguaggio laterale
  • calcolo di dati
  • generazione di codici informatici.

L’accordo provvisorio prevede che i modelli di base debbano rispettare specifici obblighi di trasparenza prima di essere immessi sul mercato. È stato introdotto un regime più rigoroso per i modelli di base “ad alto impatto”, ovvero quei modelli di base addestrati con grandi quantità di dati e di complessità, capacità e prestazioni avanzate ben al di sopra della media, che possono diffondere i rischi sistemici lungo la catena del valore.