l’analisi

AI Act, requisiti e obblighi per i sistemi ad alto rischio: tutto quello che c’è da sapere



Indirizzo copiato

L’AI Act stabilisce requisiti e obblighi specifici per i sistemi di intelligenza artificiale considerati ad alto rischio (applicazioni usate in ambiti come la sicurezza dei prodotti, il riconoscimento biometrico, le infrastrutture critiche, l’accesso ai servizi essenziali, l’educazione, il lavoro, la giustizia). Queste misure mirano a garantire che l’uso dell’IA sia sicuro, etico e rispettoso dei diritti fondamentali

Pubblicato il 22 apr 2024

Rocco Panetta

Partner Panetta Studio Legale e IAPP Country Leader per l’Italia



Coltivando il verso: la sfida di scrivere poesia con GPT4

Il 2024 sarà ricordato, con riguardo alle normative del comparto digitale, per dell’approvazione dell’AI Act da parte del Parlamento europeo, in trilogo con il Consiglio e la Commissione europea.

Questo regolamento ha diversi meriti e tante occasioni perse, ma è già diventato la golden rule a cui tutti dobbiamo guardare per comprendere come i sistemi di AI devono essere progettati, commercializzati ed usati.

Limiti ed opportunità dell’AI, piaccia o no, passeranno attraverso lo studio e l’interpretazione dell’AI Act, che come noto è basato ed è stato scritto in continuità con il GDPR e con le altre norme sui dati e sul digitale adottate negli ultimi 5 anni dall’UE.

Proseguendo nella disamina dell’AI Act, iniziata qui su Agendadigitale (potete recuperare i numeri precedenti qui), e del suo approccio basato sul rischio, vorrei discutere qui degli usi ad alto rischio.

Quali sono le applicazioni ad alto rischio

La classe delle applicazioni ad alto rischio è quella più rilevante in quanto ricadere o meno in questa categoria per un’azienda comporterà un onere di compliance diverso.

Non a caso è stato oggetto di acceso dibattito tra i co-legislatori, con molte modifiche rispetto alla proposta iniziale della Commissione. Il nodo è semplice: da un lato le spinte erano per non ampliare troppo la lista di usi ad alto rischio, per evitare questo onere  aggiuntivo per le aziende, dall’altro, soprattutto il Parlamento, non si voleva, per il solo fine di evitare più controlli, lasciare che certe applicazioni potessero essere usate senza le dovute garanzie e precauzioni.

Sono dunque considerate ad alto rischio le applicazioni di AI che vengono usate per componenti di sicurezza di un prodotto (giocattoli, dispositivi medici, auto, aerei etc.) o se rientrano negli usi dell’allegato III. L’allegato III stabilisce che siano ad alto rischio le AI per il riconoscimento biometrico da remoto (ma non quello in tempo reale, che è considerato proibito, salvo le eccezioni previste dall’articolo 5), quelle per il riconoscimento delle emozioni e quelle usate per la categorizzazione biometrica, in base ad attributi o caratteristiche sensibili o protette.

AI usate nelle infrastrutture critiche

Sono poi ad alto rischio le AI usate nelle infrastrutture critiche (per il rifornimento di gas, elettricità e acqua) e quelle utilizzate per valutare la possibilità di beneficiare di servizi essenziali pubblici e privati come l’accesso alle cure, al credito, o per calcolare l’entità di una assicurazione sulla vita o per la salute. Completano la lista anche gli usi per valutare la priorità delle chiamate d’emergenza alla polizia, agli ospedali o ai vigili del fuoco.

Formazione ed educazione scolastica

Con riferimento ai sistemi di formazione ed educazione scolastica, il Parlamento ha fatto diverse modifiche prevedendo l’alto rischio ogni qualvolta l’AI sia usata per stabilire l’ammissione ad una scuola, di qualsiasi grado, o il superamento di una prova d’esame, o ancora se uno studente non ha tenuto un comportamento adeguato durante un esame. Da ricordarsi il caso italiano, sanzionato dal Garante qualche anno fa, di una Università che aveva utilizzato, durante il periodo del Covid, un sistema che in modo automatizzato rilevava se uno studente avesse tenuto un comportamento anomalo durante la prova da remoto, senza fornire adeguate garanzie in caso di errore.

Lavoro e giustizia

Sempre il Parlamento europeo ha riformulato le previsioni in ambito lavorativo, considerando ad alto rischio quelle AI che servono a valutare e scremare i CV così come quelle per valutare i dipendenti, incluse le promozioni e i licenziamenti o l’assegnazione dei compiti.

Per quanto riguarda l’amministrazione della giustizia, ove permesso da leggi nazionali od europee, le forze dell’ordine potranno utilizzare sistemi che servano a valutare la probabilità che una persona risulti vittima di un reato; potranno usare altresì poligrafi e strumenti per la valutazione dell’affidabilità delle prove in possesso. Potranno usare sistemi per valutare se un soggetto possa commettere o ricommettere un reato, purchè tale valutazione non si basi solo sul suo profilo, pratica vietata dall’articolo 5. Questi sistemi potranno essere usati dalle autorità addette al controllo dei confini per il controllo dei flussi migratori, per valutare le richieste di ingresso e per l’identificazione dei migranti.

Sistemi di AI possono essere usati anche per assistere (non sostituire per fortuna) i giudici nell’analisi della giurispriudenza e della legge da applicare.

Il fatto che tutti questi casi d’uso siano considerati ad alto rischio costituisce quell’equilibrio tra volontà di utilizzare nuove tecnologie, anche se in ambienti altamenti rischiosi, e tutela dei diritti fondamentali.

L’eccezione all’articolo 6 e il FRIA

A tal proposito il Parlamento ha fatto a mio avviso una mossa saggia, aggiungendo, rispetto al testo originale proposto dalla Commissione, nuovi paragrafi all’articolo 6, con due clausole importanti.

Se le applicazioni dell’Allegato III non hanno un impatto sui diritti fondamentali, la salute, la sicurezza, o la decisione finale che avrebbe preso l’uomo, allora possono non essere considerate ad alto rischio. Si tratta però di casi un cui l’AI è usata per azioni ancillari, o per migliorare il risultato di un’azione fatta dall’uomo. Per essere esentati occorrerà comunque provare documentalmente perché l’AI non sia da considerarsi ad alto rischio.

L’introduzione della valutazione d’impatto sui diritti fondamentali

Il grande punto segnato dal Parlamento in sede di negoziazione – ciò di cui peraltro va orgoglioso in particolare il co-rapporteur italiano Brando Benifei – è stato poi l’introduzione della valutazione d’impatto sui diritti fondamentali (c.d. FRIA). Originariamente pensata dal Parlamento per tutte le applicazioni ad alto rischio, il compromesso raggiunto lo prevede come obbligatorio per i soggetti pubblici e quelli privati che offrono servizi pubblici, come le banche. Prima del loro utilizzo pubblico, si dovranno identificare le conseguenze probabili per quelle determinate categorie di persone a rischio e le soluzioni da adottare in termini di controllo umano e di organizzazione interna.

Per aiutare le aziende, in caso queste abbiano già fatto una valutazione di impatto privacy (DPIA), la FRIA andrà semplicemente a integrarla, e al contempo l’AI Office europeo dovrà fornire un template che faciliti la compliance. Richiesta importante, che però è rimasta nei soli preamboli del regolamento, è che le aziende invitino gli stakeholder (associazioni di categoria, associazioni di tutela dei consumatori, etc.) a confrontarsi per comprendere meglio i rischi reali per le categorie di soggetti interessati.

AI ad alto rischio: gli obblighi per i provider

I provider di AI ad alto rischio sono dunque tenuti ad avere un sistema di gestione del rischio, durante il ciclo vita dell’AI. Si dovranno identificare in primis i rischi alla salute, alla sicurezza e ai diritti fondamentali. Per i rischi che non possono essere eliminati dovranno essere previste soluzioni perché siano mitigabili. I deployer dovranno essere informati e, se opportuno, formati sull’uso del sistema. Particolare attenzione, nella gestione del rischio, dovrà essere rivolta ai minori e alle persone vulnerabili.

Per quanto riguarda il data training bisognerà scegliere dataset adeguati, che siano il più possibile rappresentativi dei soggetti possibilmente colpiti da conseguenze negative.

L’uso di dati sensibili è permesso solo ove strettamente necessario e dove non sia possibile ottenere gli stessi risultati ottimali per evitare i bias con dati sintetici o anonimi. Tali dati dovranno essere accuratamente gestiti e protetti, non potranno essere trasferiti a terzi e, una volta raggiunto lo scopo, dovranno essere cancellati.

I provider dovranno tenere la necessaria documentazione, che sarà semplificata per le startup. I log dovranno essere registrati per poter meglio identificare l’origine di eventuali problemi si dovessero verificare. Le informazioni verso i deployer dovranno essere comprensibili in modo da permettere loro di capire come usare i sistemi di AI forniti dai provider.

Conclusioni

È indubbio che l’AI Act introduca nuovi paradigmi di compliance per provider e developer, che oggi possono sembrare impattanti. Ma ricordiamoci che queste richieste servono a tutelare tutti noi, imprese e PA incluse. Le prescrizioni esistenti nell’elettronica, l’idraulica, la medicina, l’energia nucleare, le automobili, non hanno impedito al mondo di innovare in questi campi, anzi lo hanno migliorato. L’invenzione che alla fine dell’800 ha permesso all’automobile di diffondersi e di diventare uno degli strumenti principali dello sviluppo della società del XX secolo è stata il sistema frenante. Ciò ha permesso di eliminare divieti assoluti ed introdurre regole e misure progressive che hanno aumentato la fiducia e permesso all’automobile di diffondersi. Per l’AI la questione è anche più delicata perché gli output restano ancora imprevedibili in molti casi, perciò resta ancora più fondamentale tenere traccia di come ci si è arrivati, per poter investigare eventuali malfunzionamenti e porvi rimedio per gli usi ulteriori e futuri.

Come ogni nuova sfida potrà sembrare difficoltosa all’inizio, così come lo fu in parte con il GDPR, ma una volta trovati gli standard e le buone prassi, ci guarderemo indietro con un ineffabile sorriso sulle labbra.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2