Il 9 febbraio 2024 è stato approvato da parte del Consiglio EU il testo dell'”AI Act” la legge che regola l’uso delle IA in Europa. Sarà messo ai voti nel Parlamento Ue tra marzo e aprile e diventerà legge auspicabilmente a maggio (con la pubblicazione sulla Gazzetta Ufficiale Ue); in generale, comunque, il testo non dovrebbe più cambiare e diventare esecutivo non prima di due anni dalla pubblicazione.
Qual è la definizione di Intelligenza Artificiale nell’AI Act?
Per definire il perimetro applicativo, il testo riporta la seguente definizione nell’Art. 3 comma 1:
“Sistema di intelligenza artificiale (sistema di IA): un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono“.
Nell’allegato I vengono specificati in questo modo tecniche e approcci considerati:
- Approcci di apprendimento automatico, compresi l’apprendimento supervisionato, l’apprendimento non supervisionato e l’apprendimento per rinforzo, con utilizzo di un’ampia gamma di metodi, tra cui l’apprendimento profondo (deep learning);
- approcci basati sulla logica e approcci basati sulla conoscenza, compresi la rappresentazione della conoscenza, la programmazione induttiva (logica), le basi di conoscenze, i motori inferenziali e deduttivi, il ragionamento (simbolico) e i sistemi esperti;
- approcci statistici, stima bayesiana, metodi di ricerca e ottimizzazione.
Ovviamente tale definizione sarà oggetto di ulteriore discussione, ma al considerando 6 vengono ulteriormente precisate le caratteristiche dell’atto, indicando che “[La nozione di AI] dovrebbe essere basata sulle principali caratteristiche dell’intelligenza artificiale, quali le sue capacità di apprendimento, ragionamento o modellizzazione, in modo da distinguerla da sistemi software o approcci di programmazione più semplici.non riguarda sistemi software tradizionali o programmati secondo criteri definiti esclusivamente da persone fisiche per eseguire automaticamente operazioni.
Che cos’è l'”AI Act”?
L’AIA (Atto Europeo sull’Intelligenza Artificiale) anche conosciuto come “AI Act”, proposto dalla Commissione Europea nel 2021, rappresenta il primo tentativo a livello mondiale di regolamentare l’intelligenza artificiale (IA). Il suo obiettivo è creare un quadro normativo armonizzato per l’UE, che favorisca l’innovazione e la fiducia nell’IA, garantendo al contempo la sicurezza e la protezione dei diritti fondamentali e dei dati.
Il lato business è particolarmente interessato dal Regolamento, in quanto sono definiti perimetri chiari ed indicate responsabilità precise per chi impiega software di AI.
La legge dell’UE regolamenta i sistemi di IA sulla base di valutazioni del rischio dei modelli, da eseguirsi a cura delle aziende interessate. Tanto più è elevato il rischio per i diritti o la salute delle persone, ad esempio, maggiori saranno gli obblighi e le limitazioni da rispettare.In sintesi è definita la seguente classificazione dei sistemi di IA in base al loro livello di rischio:
- Livello inaccettabile: sistemi vietati perché intrinsecamente pericolosi; essi comprendono la manipolazione cognitivo-comportamentale di persone o di gruppi vulnerabili (p.e. giocattoli ad attivazione vocale che promuovano comportamenti pericolosi nei bambini); la classificazione sociale, ovvero sistemi che profilano le persone in base al comportamento, allo status socioeconomico o alle caratteristiche fisiche; sistemi di identificazione biometrica in real-time e a distanza, come ad esempio il riconoscimento facciale.
- Rischio elevato: sistemi soggetti a requisiti rigorosi di conformità (es. sistemi di riconoscimento biometrico non in tempo reale, sistemi che gestiscono infrastrutture critiche o usati per la formazione, l’addestramento o l’orientamento scolastico e professionale).
- Rischio limitato: sistemi soggetti a obblighi di trasparenza e di informazione, in cui deve essere reso palese all’utente che sta interagendo con un’IA, sono inclusi tutti i sistemi che generano o manipolano immagini, audio o video (utilizzabili ad esempio per i deepfake).
- Rischio minimo: sistemi non soggetti a specifici obblighi normativi.
Quali sono le prescrizioni operative per l’uso delle IA?
Ne deriva, quindi, a “livello inaccettabile” la proibizione esplicita per lo sviluppo e l’utilizzo di IA che:
- Impieghino tecniche subliminali o manipolative.
- Sfruttino le vulnerabilità fisiche e/o psicologiche delle persone.
- Siano utilizzati per il social scoring da parte di autorità pubbliche.
Mentre nel caso del “rischio elevato” l’Atto indica i seguenti obblighi:
- Essere sottoposti a una valutazione di conformità da parte di un organismo indipendente.
- Rispettare requisiti di sicurezza e di gestione del rischio.
- Garantire la trasparenza e l’accesso alle informazioni per gli utenti.
- Essere sviluppati e utilizzati in modo etico e responsabile.
Alcune prescrizioni devono essere rispettate anche nel caso di “rischio limitato”:
- Fornire informazioni chiare e accessibili agli utenti sul loro funzionamento.
- Garantire la tracciabilità e la rintracciabilità dei dati utilizzati.
- Essere sviluppati e utilizzati in modo da non discriminare gli utenti.
L’AIA non introduce specifici obblighi per i sistemi di IA a rischio minimo (ad esempio filtri anti-spam, sistemi di riconoscimento ottico dei caratteri, sistemi di completamento automatico dei testi, ecc.), ma è comunque consigliabile un’attività di monitoraggio continua.
Applicazione, governance e prescrizioni per le aziende
L’AIA sarà applicato dalle autorità nazionali competenti in materia di IA; per l’Italia tale funzione sarà probabilmente affidata all’Agid, ma non c’è ancora l’ufficialità. La Commissione Europea avrà un ruolo di supervisione e coordinamento.
Gli obblighi derivanti dall’AI Act per le aziende italiane, come per le aziende in altri stati membri dell’UE, comprendono diversi aspetti chiave:
- Classificazione dei sistemi AI: le aziende devono classificare i loro sistemi AI in base al livello di rischio che presentano per i diritti fondamentali delle persone, secondo le categorie definite.
- Conformità ai requisiti di trasparenza: le aziende devono assicurarsi che i loro sistemi AI siano trasparenti, comprensibili e tracciabili. Ciò può includere, ad esempio, la documentazione dei dati utilizzati, dei modelli di apprendimento automatico, nonché l’implementazione di misure per consentire una migliore comprensione delle decisioni prese dagli algoritmi.
- Valutazione e mitigazione dei rischi: le aziende devono condurre valutazioni dei rischi per i loro sistemi AI, identificando e mitigando i potenziali impatti negativi sulla società, l’ambiente e i diritti individuali. Questo può includere l’adozione di misure per evitare discriminazioni, bias o altre conseguenze indesiderate.
- Conformità alle regole specifiche: le aziende devono rispettare le regole specifiche stabilite nell’AI Act, come ad esempio quelle relative alla sorveglianza biometrica, all’uso di sistemi di scoring sociale e all’interazione uomo-macchina in ambienti critici come la salute, la sicurezza e la sorveglianza.
- Design e governance responsabili: le aziende devono adottare pratiche di design e governance responsabili per i loro sistemi AI, includendo l’integrazione di principi etici, la supervisione umana adeguata e meccanismi per l’aggiornamento e il miglioramento continuo dei modelli AI.
- Nomina di rappresentanti responsabili: le aziende devono designare rappresentanti legali responsabili per garantire la conformità agli obblighi stabiliti dall'”AI Act” e per fungere da punto di contatto con le autorità di regolamentazione.
Conclusioni e prospettive
Questi sono i principali obblighi derivanti dall’Atto per le aziende italiane. La legislazione mira a garantire un utilizzo sicuro, etico e responsabile dell’intelligenza artificiale nell’UE, promuovendo al contempo l’innovazione e la competitività nell’economia digitale.
È molto importante che le realtà imprenditoriali adottino un approccio proattivo per comprendere e rispettare tali obblighi al fine di evitare sanzioni e conseguenze legali; affidarsi a GM Consulting garantisce una rapida integrazione nei flussi aziendali delle più recenti prescrizioni, restate in contatto con noi!
Non appena sarà emesso l’atto definitivo le aziende interessate potranno avviare con noi l’iter per la redazione dell'”AI policy” documento che garantirà la conformità all'”AI Act”, promuovendo un uso che favorisca un’evoluzione etica delle funzioni sempre più innovative delle IA generative.