Sin dalla prima bozza dell’AI Act del 2021, l’UE si è concentrata sull’obiettivo della riduzione del rischio relativo ad alcuni specifici casi d’uso dell’IA. Tuttavia, introducendo obblighi specifici per i modelli di fondazione, il Parlamento europeo abbandona questa logica.
Vediamo di cosa si tratta e perché far entrare in vigore le norme relative a generative AI e foundation models immediatamente potrebbe essere rischioso.
Il tempismo dell’AI Act
Con una votazione straordinaria di 499 voti positivi, l’Artificial Intelligence Act (o AI Act), ossia il Regolamento con cui l’Unione europea propone di regolare l’Intelligenza Artificiale, è approdato all’ultimo stadio del procedimento legislativo. La stragrande maggioranza raggiunta dal Parlamento Europeo ha aperto la strada ai negoziati interistituzionali destinati a finalizzare la prima legge al mondo che ha come oggetto l’IA.
Il perfetto tempismo di tale operazione normativa si inserisce nella cornice della strategia digitale dell’Unione europea. L’AI Act è un’iniziativa di punta per regolamentare questa tecnologia dirompente.
Segue un approccio basato sul rischio, vietando le applicazioni di IA che presentano un rischio inaccettabile e imponendo un regime rigoroso per i casi di utilizzo ad alto rischio. Come dichiarato dai co-relatori Benifei e Tudorache, il momento è quanto più opportuno per regolare l’impatto di questa rivoluzione tecnologica. Le recenti notizie in merito all’AI generativa, come il caso di ChatGPT, hanno dimostrato anche ai non addetti ai lavori gli impatti che questa può avere sulla società: basti pensare al rischio rappresentato dalla produzione di informazione e, soprattutto, di disinformazione da parte di queste tipologie di IA.
Vista, dunque, l’estrema versatilità dell’IA, nell’ultima versione dell’AI Act votata dal Parlamento Europeo sono stati inseriti degli aspetti non previsti nei testi precedentemente pubblicati da Commissione e Consiglio.
L’inserimento di riferimenti all’IA generativa, la menzione dei foundation models, e il loro inquadramento nella piramide del rischio sono due principali aspetti di novità che saranno presumibilmente oggetto del trilogue.
Cosa accade, quindi, ora, e cosa dobbiamo aspettarci?
la fase di discussioni del trilogue
Prima di passare all’analisi degli aspetti sostanziali, giova svolgere una breve premessa sulla fase del procedimento normativo che attende l’AI Act. Il voto del Parlamento Europeo, sebbene indice di un grande consenso attorno alla proposta normativa, è stato solo l’ultimo step delle votazioni che le istituzioni coinvolte, ossia Commissione, Consiglio e Parlamento, hanno effettuato singolarmente.
Ora è, dunque, tempo del trilogue. Le negoziazioni tra la Commissione europea, il Parlamento europeo e il Consiglio europeo sono in fase di svolgimento e nei mesi di giugno e luglio sono stati svolti i primi due incontri. L’obiettivo è raggiungere una versione finale del testo normativo entro gennaio 2024. Presumibilmente, il Regolamento entrerà in vigore nei prossimi due anni.
Il primo nodo da sciogliere nel trilogue riguarderà la proposta presentata dal relatore Benifei di far entrare in vigore le norme relative a generative AI e foundation models immediatamente.
Tale proposta ha delle implicazioni pratiche e giuridiche di non poco conto. Anzitutto, significherebbe avere una prima regolazione dell’uso e della commercializzazione di questo tipo di IA senza che però sia stato percorso tutto il cursus normativo. Se, da un lato, questa proposta pare essere figlia di un periodo in cui l’IA generativa ha spopolato a livello globale, dall’altro la messa in esecuzione di norme inserite all’ultimo nel testo dell’AI Act e senza il necessario passaggio previsto nel procedimento legislativo sarebbe un potenziale rischio per le imprese e per gli individui. Mancando allo stato un testo definitivo, l’entrata in vigore di queste norme sarebbe un rischio perché verrebbe richiesto agli operatori di adeguarsi immediatamente agli obblighi previsti dal Regolamento, ancora tuttavia in via di definizione.
Inoltre, bypassare alcuni gradi del procedimento normativo, previsti dalla legge, rappresenterebbe un precedente rischioso, tale per cui, con la giustificazione della “lentezza del legislatore”, si potrebbe ritenere necessario legiferare senza alcuna esigenza effettiva di affrettare i tempi necessari a costruire norme solide e rispettose del procedimento democratico.
IA generativa e foundation model
Passando all’analisi di quanto l’AI Act prevede per l’IA generativa e i foundation models, ossia i modelli base di intelligenza artificiale, questi dovranno rispettare obblighi di mitigazione del rischio e di trasparenza.
Già il Consiglio aveva inserito la definizione di General Purpose Artificial Intelligence (GPAI), e aveva aggiunto il titolo 1A, IA per scopi generali. Secondo questa versione, tutte le GPAI verrebbero classificate, ai sensi dell’Art. 4(b), come casi d’uso ad alto rischio. Rispetto, invece all’IA generativa, il Parlamento Europeo si è astenuto dal focalizzarsi sulla totalità dei sistemi di GPAI, ma si è concentrato sulla sola regolamentazione dei modelli base. È stato pertanto inserito l’Art. 28(b), che include una serie di obblighi come le misure di governance dei dati, i livelli di prestazione, i requisiti per l’uso dell’energia, la documentazione tecnica e il rispetto di alcuni requisiti di trasparenza delineati nell’articolo 52(1) della proposta del Parlamento Europeo.
Volendo mappare i principali requisiti richiesti all’IA generativa e ai foundation models, si evidenzia che le imprese dovranno tener conto dei seguenti aspetti:
- Livelli appropriati di sicurezza (Articolo 28 ter, paragrafo 2 quater) – Il modello dovrà raggiungere livelli adeguati di prestazioni, prevedibilità, interpretabilità, correggibilità, sicurezza e cybersicurezza.
- Data governance (Articolo 28 ter, paragrafo 2 ter) – Gli insiemi di dati che il modello utilizza dovranno essere soggetti a un’adeguata governance dei dati, comprese le misure per esaminare e mitigare le distorsioni.
- Aderenza ai principi generali (Articolo 4a, paragrafo 1) – L’azienda dovrà fare il possibile per rispettare i seguenti principi (i dettagli di ciascuno sono riportati nella bozza stessa):
- Agenzia e supervisione umana
- Solidità tecnica e sicurezza
- Privacy e gestione dei dati
- Trasparenza
- Diversità, non discriminazione ed equità
- Benessere sociale e ambientale.
Trasparenza
Il principale obiettivo della norma è, dunque, garantire la trasparenza di questi modelli che oggi sono spesso associati a opacità e scarsa fiducia nel risultato prodotto. Rispetto alla trasparenza, l’AI Act prevede che i modelli dovranno essere registrati in un registro pubblico ufficiale (cfr. Allegato VIII, sezione C) recante informazioni circa le fonti di dati utilizzati dall’azienda durante lo sviluppo.
Il rischio che si vuole mitigare è quello della proliferazione di pratiche di web scraping, vale a dire una tecnica di ‘crawling’ (estrazione dei dati). Spesso, l’IA generativa si avvale di queste tecniche per raccogliere le informazioni dal web: una modalità di allenamento che, assieme al data mining, preoccupa i gestori dei motori di ricerca e i creator dei contenuti per via della possibile violazione del copyright sulle loro opere.
A tal riguardo, sempre nell’ambito della trasparenza, la proposta di Regolamento prevede (Articolo 28b, para. 4c, Allegato VIII, art. 60g) che, nel caso in cui alcuni dei dati di formazione siano protetti da copyright di terzi, l’azienda dovrà fornire una sintesi pubblica di tali dati. Inoltre, essa dovrà informare l’utente che il contenuto è generato da un sistema di IA e non da esseri umani.
Dimostrare la compliance
I produttori di IA dovranno altresì dimostrare la compliance agli obblighi qui richiamati, sotto diversi aspetti.
L’azienda dovrà infatti stabilire un sistema di gestione della qualità per garantire e documentare la compliance alla nuova normativa (Articolo 28b, comma 2f), non solo nel corso della fase finale di messa a disposizione al pubblico e distribuzione della tecnologia, bensì – come già visto nell’ambito del GDPR – nel corso dell’intero processo di creazione della tecnologia. L’Art. 28b comma 1 parla infatti di pre-market compliance.
L’azienda dovrà altresì mettere a disposizione adeguata documentazione tecnica ai suoi fornitori (cd. dowstream, Allegato VIII, art. 60g) e conservarla per almeno 10 anni (Art. 28 comma 3).
Prospettive future
Gli obblighi di adeguamento all’AI Act sono complessi e numerosi. Pensare, dunque, a una loro entrata in vigore anticipata rispetto al resto dell’impianto normativo, di cui sono parte essenziale, pare essere un grave rischio per l’efficacia dell’enforcement dell’AI Act.
Gli emendamenti del Consiglio e del Parlamento sulle GPAI e sui modelli di fondazione non erano contemplati nella valutazione d’impatto iniziale della Commissione. Pertanto, questa significativa estensione del regolamento non è stata adeguatamente valutata ed espone i fornitori di tali modelli di IA a costi di compliance imprevedibili e potenzialmente ingiustificati.
Sarebbe dunque auspicabile che il legislatore si concentrasse su applicazioni specifiche ad alto rischio di modelli di fondazione o GPAI. Senza uno scopo previsto, un modello di fondazione/GPAI non dovrebbe essere considerato un sistema di IA ad alto rischio e, pertanto, non dovrebbe essere trattato come tale e soggetto ai relativi obblighi.
Conclusioni
L’onere di conformità imposto dal Parlamento Europeo ai fornitori e agli sviluppatori di modelli di fondazione è allo stato eccessivo e potrebbe condurre a risvolti negativi, anche sul lato dell’innovazione. Anziché discutere di anticipare l’entrata in vigore di detti obblighi, alcune sfide urgenti su cui il legislatore europeo dovrebbe soffermarsi nel corso del trilogue riguardano ad esempio la carenza di una solida struttura di enforcement nonché una chiara delimitazione delle responsabilità degli sviluppatori di modelli di base open-source e dei fornitori che li rendono disponibili in commercio.
