Approvata la prima legge al mondo sull’intelligenza artificiale

Il 13 Marzo 2024, con 523 voti favorevoli, 46 contrari e 49 astensioni, è stato approvato dal Parlamento Europeo il testo dell’AI Act, la normativa che regolamenterà l’intelligenza artificiale in Europa. Il nuovo Regolamento mira a garantire che i sistemi di intelligenza artificiale immessi sul mercato europeo siano sicuri e rispettino i diritti e i valori fondamentali dell’Unione Europea. Si tratta del primo regolamento al mondo di questo tipo.

I principali obiettivi dell’AI Act sono i seguenti:

• Sviluppare un quadro normativo uniforme che favorisca il buon funzionamento del mercato unico digitale e lo sviluppo di tecnologie e prodotti basati sull’intelligenza artificiale;
• Garantire la sicurezza e la conformità dei sistemi di intelligenza artificiale immessi sul mercato con la normativa europea in materia di diritti fondamentali;
• Predisporre una governante efficace che garantisca l’applicazione della normativa esistente in materia di diritti fondamentali e sicurezza ai sistemi di intelligenza artificiale.

Il tema dell’intelligenza artificiale ha assunto nel tempo una rilevanza crescente non solo dal punto di vista tecnologico, ma anche per quanto riguarda le sue implicazioni a livello economico, sociale e legale. Ne sono esempio l’interruzione temporanea del servizio di generazione di immagini “Gemini” di Google in seguito alle critiche per le rappresentazioni non aderenti alle realtà, oppure la scelta di OpenAI di non rendere accessibile, per motivi di sicurezza, la versione beta del proprio modello di intelligenza artificiale generativa video “Sora”. Si è inoltre discusso molto sui possibili effetti collaterali derivanti dall’uso dell’intelligenza artificiale, come ad esempio la perdita di posti di lavoro oppure la diffusione di fake news, ma anche le questioni riguardanti il rispetto dei diritti di proprietà intellettuale.

Si è pertanto deciso di normare il settore con il preciso scopo di  prevenire i potenziali rischi derivanti dai sistemi di intelligenza artificiale e dai loro possibili utilizzi.

Il Regolamento definisce un sistema di IA come “un sistema basato macchine progettato per funzionare con diversi livelli di autonomia, che può mostrare capacità di adattamento dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce dagli input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici”.

Pertanto, affinché un sistema di IA rientri nella definizione del Regolamento AI Act, esso deve:

• essere basato su macchine (ovvero sistemi computazionali capaci di generare output) e progettato con diversi livelli di autonomia, cioè in grado di operare, almeno in una certa misura, senza l’intervento umano;
• mostrare capacità di adattamento e quindi essere dotato dell’abilità di apprendimento che gli permetta di evolvere durante l’uso;
• operare al fine di raggiungere determinati obiettivi espliciti o impliciti, quali, ad esempio, la risoluzione di determinati problemi tecnici, la valutazione del merito creditizio di una persona o lo spostamento di un veicolo da un luogo all’altro;
• dedurre come generare output dagli input che riceve e quindi essere capace di ottenere gli output (ad esempio, previsioni, contenuti, raccomandazioni o decisioni) e di ricavare modelli e/o algoritmi dagli input/dati ricevuti;
• influenzare gli ambienti fisici: gli ambienti sono i contesti in cui opera il sistema di intelligenza artificiale. Ad esempio, un sistema di valutazione del credito influenza il suo ambiente aiutando a decidere se a qualcuno verrà concesso un prestito.

La classificazione dei suddetti sistemi di IA all’interno del regolamento viene fatta in base ai rischi identificati per i diritti e le libertà degli individui. In particolare, i sistemi di IA vengono classificati nelle seguenti categorie definite in base ai rischi potenziali:

• rischio inaccettabile: sistemi di IA i cui usi rappresentano una seria minaccia per i diritti fondamentali (ad esempio, quelli che possono essere utilizzati per scopi di manipolazione cognitivo-comportamentale dell’utente; i sistemi di “social scoring” o “punteggio sociale”, cioè quelli che assegnano un punteggio a ciascun individuo in base al suo comportamento, influenzando in questo modo l’accesso ai servizi, all’occupazione, o ad altre opportunità; quelli che riconoscono le emozioni, se utilizzati sul posto di lavoro e nell’ambito dell’istruzione);
• rischio alto: sistemi di IA che saranno valutati sulla base della conformità a requisiti minimi (ad esempio, quelli utilizzati in infrastrutture critiche, dispositivi medici, nonché sistemi di identificazione biometrica, categorizzazione e riconoscimento delle emozioni).
• rischio basso o minimo: questa categoria include la maggior parte dei sistemi di IA. Il Regolamento chiarisce che la produzione e l’utilizzo di sistemi di intelligenza artificiale che presentano solo un rischio limitato per i diritti e le libertà degli individui saranno soggetti a semplici obblighi di trasparenza.

Vi sono però delle eccezioni. In linea di principio le forze dell’ordine non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge. L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa.

Sono previsti obblighi chiari anche per altri sistemi di IA ad alto rischio, che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto. Rientrano in questa categoria gli usi legati a infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base (ad esempio assistenza sanitaria, banche, ecc.), alcuni sistemi di contrasto, migrazione e gestione delle frontiere, giustizia e processi democratici (come nel caso di sistemi usati per influenzare le elezioni). Per questi sistemi vige l’obbligo di valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e accurati e garantire la sorveglianza umana.

Sul piano sanzionatorio si prevede, infine, che, gli Stati membri stabiliscano sanzioni dettagliate e altre misure di applicazione per la violazione dell’AI Act da parte degli operatori. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive e tenere conto degli interessi delle piccole e medie imprese (PMI), comprese le startup e la loro redditività economica.

Dopo l’approvazione del Parlamento del 13 marzo, il regolamento deve ancora essere sottoposto alla verifica finale dei giuristi-linguisti e dovrà essere adottato definitivamente durante la prossima sessione plenaria del Parlamento Europeo, programmata per il mese di aprile. L’AI Act dovrà poi ricevere l’approvazione formale dal Consiglio e pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, presumibilmente nel mese di maggio di quest’anno.

L’AI Act entrerà quindi in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi 24 mesi dopo l’entrata in vigore, salvo per quanto riguarda: i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore; i codici di buone pratiche (nove mesi dopo); le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi) e gli obblighi per i sistemi ad alto rischio (36 mesi).

Approfondimenti:

Il testo approvato

Servizio Ricerca del Parlamento europeo (EN): raccolta di studi sull’intelligenza artificiale