Ci sono volute 36 ore ai negoziatori del Parlamento europeo e del Consiglio Ue per trovare la quadra sul nuovo Regolamento sull’Intelligenza Artificiale (AI Act), stabilendo così il nuovo record di lunghezza delle trattive durante un trilogo. Se da un lato questo evidenzia la distanza delle posizioni durante il negoziato, avvenuto tra mercoledì e venerdì scorsi, dall’altra dimostra la forte volontà condivisa da tutti i presenti di raggiungere un accordo sulla prima legge al mondo a regolare questo tipo di tecnologia, con un approccio allineato a quello proposto dall’Ocse.
A livello generale, il testo legislativo appena approvato mira a stabilire norme armonizzate relative all’immissione sul mercato, alla messa in servizio e all’uso nell’Unione europea di sistemi di Intelligenza artificiale (IA), seguendo un approccio basato su classi di rischio dei sistemi di IA. Gli ambiti di applicazione possono essere divisi in rischio inaccettabile, alto rischio, rischio limitato e rischio minimo. A seconda della classe di rischio, si applicano normative più estese o limitate.
I sistemi con un rischio inaccettabile includono pratiche vietate in quasi tutti i casi, perché violano i diritti fondamentali dell’Unione. I sistemi con un rischio elevato includono tutti i sistemi che possono costituire un rischio alla salute, alla sicurezza e ai diritti fondamentali. Essi sono consentiti sul mercato europeo solo in casi eccezionali, che principalmente riguardano la sicurezza. Per quanto riguarda invece i sistemi di IA a rischio limitato o minimo, l’AI Act si limita a fissare esclusivamente obblighi e vincoli di trasparenza. L’utente finale deve quindi essere obbligatoriamente informato che sta interagendo con sistemi di IA.
L’Act prevede inoltre la creazione di sandbox regolamentari, ossia ambienti sperimentali, e una governance dedicata per monitorarne l’implementazione, a livello europeo e a livello nazionale. Il regolamento fissa, inoltre, regole di trasparenza armonizzate per i sistemi di IA che interagiscono con persone fisiche, nonché i sistemi per generare o manipolare contenuti come immagini, audio e video.
Rispetto alla proposta iniziale della Commissione, i principali nuovi elementi dell’accordo provvisorio includono:
- norme sui modelli di IA ad alto impatto generale che possono causare rischi sistemici in futuro, e sui sistemi di IA ad alto rischio;
- un sistema di governance rivisto, con l’istituzione di un Ufficio AI all’interno della Commissione;
- l’estensione dell’elenco dei divieti, ma con la possibilità di utilizzare l’identificazione biometrica a distanza in casi eccezionali da parte delle autorità di polizia negli spazi pubblici;
- l’obbligo per chi impiega sistemi di IA ad alto rischio di condurre una valutazione d’impatto sui diritti fondamentali prima dell’uso.
Tra i punti che hanno destato maggiore interesse durante i negoziati, vi è il fatto che le versioni iniziali del regolamento non prendessero esplicitamente in considerazione i cosiddetti Foundation Model e la General Purpose AI (GPAI), come ad esempio ChatGPT, ma lo sviluppo tecnologico e commerciale dell’ultimo anno ha spinto i legislatori a integrarli nell’ambito della normativa.
Un altro punto sensibile affrontato riguarda le eccezioni per l’uso di sistemi di identificazione biometrica (Remote Biometric Identification – RBI) in spazi accessibili al pubblico, previa autorizzazione giudiziaria e per liste di reati rigorosamente definite. L’RBI “post-remoto”, cioè non in tempo reale, verrebbe utilizzato esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave. L’RBI “in tempo reale”, invece, sarebbe conforme a condizioni rigorose e il suo uso sarebbe limitato nel tempo e nel luogo, ai fini di utilizzi come ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale), prevenzione di una minaccia terroristica specifica e attuale, o localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (ad esempio, terrorismo, traffico di esseri umani, sfruttamento sessuale).
Tra gli usi dell’IA vietati, sono stati inclusi, tra gli altri, i seguenti: la manipolazione cognitiva del comportamento, la raccolta non mirata di immagini facciali da Internet o da Closed-Circuit Television (CCTV), il riconoscimento delle emozioni sul posto di lavoro e negli istituti scolastici, il cosiddetto social scoring, la categorizzazione biometrica per dedurre dati sensibili, come l’orientamento sessuale o le convinzioni religiose, e alcuni casi di polizia predittiva per gli individui.
Infine, l’accordo provvisorio prevede l’applicazione del Regolamento due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche.
In totale, ci sono voluti circa due anni e mezzo per trovare una posizione comune tra i co-legislatori. La proposta della Commissione risale infatti al 21 aprile 2021, mentre il testo del Consiglio Ue è stato adottato a dicembre 2022 e quello del Parlamento a giugno 2023. Dopo mesi di trattive e diversi incontri, lo scorso venerdì 8 dicembre si è arrivati ad un’intesa di massima, ma i triloghi ancora procedono a livello tecnico e la prima bozza della nuova proposta è attesa solo nelle prossime settimane.
(Nella foto in alto, un momento della conferenza stampa. Copyright: European Union)
The post ⚡️ Che cosa dice l’AI Act approvato dall’Europa appeared first on L'Imprenditore.