Cosa cambia con la legge europea sull'AI

Vista la sempre più ampia diffusione dei sistemi di Intelligenza Artificiale, il Parlamento Europeo ha da poco approvato definitivamente l’AI Act, completando l’iter legislativo per pubblicare le prime leggi mirate a regolamentarne l’uso e le applicazioni, per mitigare i rischi e creare un mercato unico dove i player internazionali possano agire in conformità alle norme dell’UE. Un insieme di regole per garantire sicurezza e rispetto dei diritti fondamentali, promuovendo l’innovazione e la creazione di “uno strumento con il fine ultimo di migliorare il benessere degli esseri umani”.

• Sistemi di AI con rischio inaccettabile
• Sistemi di AI con rischio elevato
• Sistemi di AI con rischio limitato
• Applicazioni con rischio minimo o nullo

Per AI, le organizzazioni internazionali che partecipano ai lavori intendono “un sistema automatizzato (basato su macchine) progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali” (art.3 AI Act).

Basandosi sul principio che l’Intelligenza Artificiale dev’essere sviluppata e utilizzata in modo sicuro, etico e rispettoso dei diritti fondamentali e dei valori europei, l’obiettivo dell’AI Act è, nello specifico, quello di proteggere la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di AI, partendo dalla valutazione dei loro possibili rischi e del livello d’impatto. In breve, più alto è il rischio possibile, più rigorosa e stringente deve essere la regolamentazione. Ma quindi cosa cambierà?

Sistemi di AI con rischio inaccettabile

Alcune applicazioni con rischi inaccettabili, che contraddicono valori e principi fondamentali dell’UE (tra cui rispetto della dignità umana, della democrazia e dello stato di diritto), saranno vietate o limitate da severe restrizioni. Tra queste, i sistemi che manipolano il comportamento umano per eludere la volontà personale, che consentono attività come lo “scoring sociale” da parte delle autorità pubbliche, o la polizia predittiva, che vede l’uso di dati sensibili per calcolare, ad esempio, le probabilità che una persona commetta un reato.

Nemmeno le forze dell’ordine potranno quindi fare ricorso ai sistemi di identificazione biometrica con AI, tranne in alcune situazioni specifiche espressamente previste dalla legge. L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose o se i casi rientreranno in quelli ammessi che includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico.

Sistemi di AI con rischio elevato

I sistemi a rischio elevato, che potrebbero quindi arrecare danni significativi a livello “sistemico” (con impatto su diritti fondamentali e sicurezza delle persone), come quelli utilizzati per la selezione del personale, l’ammissione all’istruzione o l’erogazione di servizi essenziali, tra cui la Sanità, saranno soggetti ad obblighi rigorosi e requisiti stringenti prima di essere immessi sul mercato e utilizzati, per aumentare la sicurezza, il controllo umano e garantire la tracciabilità dei risultati.

Gli sviluppatori e gli utilizzatori di sistemi di IA ad alto rischio dovranno rispettare anche diversi obblighi di registrazione, tracciabilità e segnalazione, effettuando valutazioni dei modelli e dei rischi sistemici e riferendo di eventuali incidenti o fughe di dati.

Sistemi di AI con rischio limitato

Le AI con rischio limitato, ritenute in grado di influenzare i diritti o la volontà degli utenti, saranno soggette a requisiti di trasparenza, per rendere le persone consapevoli del fatto che interagiscono con un sistema di intelligenza artificiale e dare la possibilità di comprenderne caratteristiche e limitazioni. Rientrano in questa categoria i sistemi per generare o manipolare video e foto (come i deepfake), o per fare conversazioni personalizzate (come i chatbot). Si stabilisce quindi il diritto di sapere se si sta parlando con un bot o che un’immagine è creata o artefatta dall’IA. Gli sviluppatori e gli utilizzatori di questi sistemi dovranno anche garantire che le informazioni fornite siano chiare, comprensibili e accessibili.

Applicazioni con rischio minimo o nullo

I sistemi di IA per finalità generali che non hanno nessun impatto sulla sicurezza delle persone e offrono ampi margini di scelta e controllo, come le applicazioni di tipo ludico (videogiochi) o per scopi estetici (filtri fotografici) dovranno soddisfare esclusivamente i requisiti di trasparenza e rispettare le norme UE sul diritto d’autore durante le fasi di addestramento dei vari modelli. 

L’AI Act ha anche l’obiettivo di sostenere l’innovazione e la ricerca dell’ambito dell’Intelligenza Artificiale attraverso il finanziamento di progetti e iniziative che puntino sulla qualità, l’impatto sociale, l’interdisciplinarità e la collaborazione transnazionale. A questo proposito, i paesi dell’UE dovranno istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali (i cosiddetti sandbox), in modo che PMI e start-up possano sviluppare sistemi di AI innovativi e addestrarli prima di immetterli sul mercato.

Siamo davanti ai primi passi verso un utilizzo dell’Intelligenza artificiale più consapevole e sicuro: la legge deve ancora essere formalmente approvata dal Consiglio ed entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE, iniziando ad applicarsi 24 mesi dopo l’entrata in vigore. In caso di violazione delle disposizioni, saranno previsti avvertimenti, diffide e sanzioni a seconda della gravità dell’infrazione.