La Commissione europea ha recentemente pubblicato la prima bozza del codice di condotta per i modelli GPAI (General-Purpose AI).
Il documento formalizza una serie di linee guida, definite all’esito di un processo inclusivo “multistakeholder”, di ampia consultazione e partecipazione, con l’intento di assicurare, integrandone la relativa portata applicativa, il rispetto delle disposizioni introdotte dall’AI Act (cfr. Regolamento 2024/1689/UE), costituente la legge europea sull’intelligenza artificiale, recante norme armonizzate in materia che entreranno in vigore, a pieno regime operativo, a partire dal prossimo agosto 2025.
Struttura e finalità del codice di condotta
La bozza del codice di condotta sfocerà nell’approvazione definitiva di una successiva versione finale disponibile, dopo una prolungata fase di concertazione multilaterale promossa nell’ambito di 4 distinti cicli di stesura, entro aprile 2025, delineando un importante atto flessibile di “soft law”, che completerà il quadro regolatorio cogente positivizzato dal Regolamento 2024/1689/UE, al fine di porre a carico dei fornitori vincoli dispositivi di valenza suppletiva, destinati a trovare applicazione in mancanza di diverse misure ugualmente efficaci adottate dagli operatori.
La genesi del testo esprime, pertanto, un rilevante approccio metodologico di condivisione sinergica, aperta al variegato contributo degli attori coinvolti nella redazione della prima bozza elaborata da esperti indipendenti organizzati in quattro gruppi di lavoro (ciascuno dei quali ha approfondito uno specifico tema riguardante rispettivamente: regole per la salvaguardia della trasparenza, del diritto d’autore e del copyright, misure per la valutazione, l’identificazione dei rischi, la mitigazione e la gestione dei rischi, governance per i fornitori dei modelli GPAI).
Sotto il profilo sistematico, la bozza del codice di condotta per i modelli GPAI rappresenta “uno strumento essenziale per i fornitori di modelli di IA” (cfr. Considerando 117, Regolamento 2024/1689/UE), in attuazione di quanto stabilito dall’art. 56 del cd. “EU AI Act”, da cui si evince l’intento normativo di garantire la corretta applicazione della nuova disciplina, con particolare riferimento alla concreta osservanza degli obblighi prescritti dagli artt. 53 e 55, nell’ottica, tra l’altro, di individuare correttamente la tipologia e la natura dei rischi provocati dal processo di addestramento dei sistemi di intelligenza artificiale.
In particolare, l’art. 53 del Regolamento 2024/1689/UE prescrive stringenti obblighi per i fornitori di modelli di intelligenza artificiale di uso generale con rischio sistemico.
Definizione di modelli GPAI a rischio sistemico
Un sistema è classificabile come modello di IA di uso generale con rischio sistemico se, in via alternativa, al ricorrere delle condizioni stabilite dall’art. 51, “ha capacità di impatto elevato valutate sulla base di strumenti tecnici e metodologie adeguati, compresi indicatori e parametri di riferimento; sulla base di una decisione della Commissione, d’ufficio o a seguito di una segnalazione qualificata del gruppo scientifico, possiede capacità o un impatto equivalenti […], tenendo conto dei criteri stabiliti nell’allegato XIII”. Invero, secondo la citata disposizione, in ogni caso, “si presume che un modello di intelligenza artificiale di uso generale abbia capacità di impatto elevato quando la quantità cumulativa di calcolo utilizzata per il suo addestramento, misurata in operazioni in virgola mobile, è superiore a 10”.
Principi e valori fondamentali
Più nel dettaglio delle novità introdotte, la struttura del codice di condotta consta di una serie di misure, sottomisure e KPI (Key Performance Indicators), al fine di integrare la disciplina del Regolamento 2024/1689/UE, nel rispetto dei principi e valori fondamentali, facenti parte del corpus identitario euro-unitario, così come sanciti dai trattati e dalla CDFUE (Carta dei diritti fondamentali dell’Unione europea), secondo standard di proporzionalità definiti in ragione dei rischi concretamente rilevati.
In sede di preambolo, sulla scorta di quanto affermato dall’art. 1, par. 1 della legge europea sull’intelligenza artificiale, il codice di condotta enuclea una serie di obiettivi prioritari sottesi alla “ratio ispiratrice” del relativo testo, laddove viene espressamente riconosciuta “l’importanza di migliorare il funzionamento del mercato interno, di creare condizioni di parità per la regolamentazione dell’intelligenza artificiale (AI) incentrata su un approccio umano-centrico affidabile, garantendo, al contempo, un elevato livello di protezione dei diritti fondamentali, tra cui la democrazia, lo Stato di diritto e la tutela dell’ambiente, contro gli effetti dannosi dell’IA (cfr. First Draft General-Purpose AI Code of Practice, p. 6).
Ambito applicativo e definizioni
Nell’ambito delle regole predisposte a carico dei fornitori dei modelli GPAI, si formalizza, con l’intento di identificare i destinatari soggetti alla portata applicativa del Regolamento 2024/1689/UE, un’ampia definizione concettuale dell’intelligenza artificiale generativa di grandi dimensioni per includere in tale nozione qualsivoglia sistema “in grado di generare testo, immagini e altri contenuti” creati, distribuiti, utilizzati o consumati che, per tali scopi, necessitano di specifiche prescrizioni da osservare per sfruttare appieno le potenzialità offerte dalle nuove tecnologie emergenti, e minimizzare i rischi provocati (cfr. First Draft General-Purpose AI Code of Practice, p. 8).
Obblighi di trasparenza e documentazione
In attuazione di quanto previsto dall’art. 53, par. 1, lettera a) della legge europea sull’intelligenza artificiale (secondo cui “i fornitori di modelli di intelligenza artificiale di uso generale devono redigere e tenere aggiornata la documentazione tecnica del modello, compreso il suo processo di formazione e collaudo e i risultati della sua valutazione, riportando le informazioni minime di cui all’allegato XI, al fine di fornirle, su richiesta, all’Ufficio AI e alle autorità nazionali competenti”), la bozza del codice di condotta dedicata agli standard di trasparenza ivi stabiliti, specifica il tenore operativo dei vincoli prescritti.
Tutela del diritto d’autore
Della medesima valenza risultano anche le norme relative al copyright, che richiamano l’art. 53, par. 1, lettera c) del Regolamento 2024/1689/UE, ponendo a carico dei fornitori dei modelli di IA l’ulteriore obbligo di “attuare una politica volta a conformarsi al diritto dell’Unione in materia di diritto d’autore e diritti connessi, e in particolare a identificare e rispettare, anche mediante tecnologie all’avanguardia, una riserva di diritti espressa ai sensi dell’articolo 4 della direttiva (UE) 2019/790”, con l’impegno tra l’altro, di implementare e aggiornare le relative misure durante l’intero ciclo di progettazione tecnica dei sistemi di intelligenza artificiale.
Tassonomia dei rischi sistemici
Particolarmente rilevante è, altresì, la sezione del codice di condotta predisposta in tema di “tassonomia dei rischi sistemici”, nella parte in cui si formalizza l’impegno a riconoscere e comprendere la tipologia, la natura e la fonte dei rischi provocati dai sistemi di intelligenza artificiale.
Sul piano terminologico, la bozza del codice di condotta rinvia alla definizione positivizzata dall’art. 3, par. 2 della legge europea sull’intelligenza artificiale, secondo cui per “rischio sistemico” si intende “la combinazione della probabilità che si verifichi un danno e della gravità di tale danno”.
Tipologie e parametri dei rischi
Nel novero delle tipologie di rischi sistemici rientrano, più specificamente, quelli associati ai reati informatici, nonché allo sviluppo, progettazione e utilizzo di armi dirette a determinare rischi chimici, biologici, radiologici e nucleari, cui si aggiungono i problemi operativi legati all’incapacità di controllare sistemi autonomi o automatizzati di uso generale. Tra i rischi sistemici sono, altresì, inclusi gli effetti di discriminazione, persuasione e manipolazione su larga scala prodotti dalle campagne di disinformazione, compresa “l’interferenza elettorale, la perdita di fiducia nei media e l’omogeneizzazione o l’eccessiva semplificazione di conoscenza” (cfr. First Draft General-Purpose AI Code of Practice, p. 17).
L’elenco dei rischi identificati, lungi dal costituire un “numerus clausus” fisso e immodificabile, è suscettibile di progressivo ampliamento estensivo delle relative fattispecie, che possono essere successivamente individuate, tenuto conto dei pregiudizi cagionati soprattutto in relazione alla tutela della privacy, della sicurezza e della salute pubblica, nonché agli intervenenti invasivi di sorveglianza effettuati su larga scala.
Secondo il codice di condotta, la natura dei rischi sistemici dipende da una serie di parametri da prendere in considerazione che riguardano, tra l’altro, l’origine del modello, gli attori (Stato, gruppo, individuo, agente IA autonomo), e l’intento (intenzionale, non intenzionale).
Costituiscono ulteriori rilevanti variabili:
- il grado di probabilità/gravità nella verificazione del rischio (basso impatto, alta probabilità, alto impatto, bassa probabilità),
- la velocità con cui il rischio si materializza (graduale, improvviso, in continua evoluzione),
- la visibilità del rischio mentre si materializza (palese/aperto, nascosto),
- il corso degli eventi (lineare, ricorsivo, composto, a cascata/reazioni a catena).
Fonti e caratteristiche dei rischi
Nell’ambito delle fonti dei rischi sistemici, sono, infine, indicati alcuni fattori da cui dipendono le funzionalità di modelli IA pericolosi in grado di determinare, tra l’altro, “capacità di cyber-offensiva, capacità chimiche, biologiche, radiologiche e nucleari, capacità di acquisizione o proliferazione di armi, autonomia, scalabilità, adattabilità per apprendere nuovi compiti, autoreplicazione, automiglioramento e capacità di addestrare altri modelli, persuasione, manipolazione e inganno” (cfr. First Draft General-Purpose AI Code of Practice, pp. 18 e ss.).
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.