L’AI Act è stato finalmente pubblicato nella Gazzetta Ufficiale dell’Unione Europea. In esso sono presenti molti obblighi per gli sviluppatori e gli altri attori che intendono interagire con il mercato AI europeo. Ma in questo testo ci sono anche diverse eccezioni alla sua applicazione: una particolarmente rilevante riguarda l’open-source, ma essa stessa è soggetta a limitazioni.
Evoluzione dell’open source
Ormai l’open-source si è affermato come un vero e proprio asset per tutto l’ecosistema informatico e non più come un modello di condivisione di nicchia. Già nel 2010, Fortune riportava come l’ambiente corporativo ne facesse ampio uso, tanto che il suo utilizzo ha continuato a crescere negli anni.
In un report, Linux Foundation afferma infatti che “[…] la penetrazione dell’open source varia dal 20 all’85% del software complessivo utilizzato.”. In più, questa tecnologia è oggetto di crescente interesse non solo dagli attori privati, ma anche da quelli pubblici, come espresso in un report dell’Osservatorio sull’Open Source della Commissione Europea. In sintesi, si può affermare che oggi l’open-source è pervasivo e rilevante in ogni dominio software.
L’open source nell’IA
Le tecnologie che si basano su protocolli di condivisione estranei a modelli rigidamente proprietari sono innumerevoli e coinvolgono anche il mondo dall’ Intelligenza Artificiale (IA). Persino un colosso come Microsoft, storicamente ostile a questo mondo, ha rilasciato in open-source lo scorso maggio Phi-3: uno “small language model” allenato con 3,8 miliardi di parametri e capace di operare in contesti dove altri modelli più ingombranti (come GPT3, con i suoi 175 miliardi di parametri) non potrebbero. Sulla stessa linea, Meta aveva rilasciato poco prima Llama 3 in due formati: uno compatto (8 miliardi di parametri) e uno più corposo (70 miliardi di parametri).
L’open source nell’AI Act
Questa realtà è stata esplicitamente riconosciuta anche dall’AI Act, nel quale si afferma che i “software e i dati, compresi i modelli, rilasciati con licenza libera e open source […] possono offrire notevoli opportunità di crescita per l’economia dell’Unione” (Recital 102, AI Act).
Ma in pratica questi modelli come vengono qualificati e regolati da un punto di vista legale?
Innovazione a rischio?
La risoluzione di questo problema presenta molteplici conseguenze. I critici dell’AI Act sono dell’opinione che questo testo rischia di ostacolare il settore tecnologico dell’AI in Europa. Il motivo di questa argomentazione risiederebbe nel presunto carico eccessivo, tecnico e burocratico, che l’AI Act imporrebbe. Ma, vera o falsa che sia questa critica, sviluppare e condividere in open-source semplifica di molto il processo di compliance. Infatti, in base all’Art. 2(12) dell’AI Act, questo testo non è applicabile ai sistemi di IA rilasciati con licenza libera e open-source. Ciò è di particolare rilevanza specialmente per:
| i terzi che rendono accessibili al pubblico strumenti, servizi, processi o componenti di IA diversi dai modelli di IA per finalità generali”, dato che non dovrebbero essere tenuti a conformarsi a requisiti relativi alle responsabilità lungo la catena del valore dell’IA, in particolare nei confronti del fornitore che li ha utilizzati o integrati, quando tali strumenti, servizi, processi o componenti di IA sono resi accessibili con licenza libera e open source (Recital 89, AI Act). |
Questo ci porta a un’altra domanda: come si definisce l’open-source?
Il problema della definizione dell’open source
Rispondere a questa domanda è più complicato di quello che potrebbe sembrare. Delle volte termini come ‘open’ e ‘open source’ sono utilizzati in maniera confusa e non omogenea con scopi più di marketing che di descrizione tecnica. Esistono dei testi che forniscono degli elementi descrittivi di riferimento, ma non sono universalmente condivisi. Alcuni potrebbero rifarsi alla famosa “Free Software Definition” di Richard Stallman, altri potrebbero preferire la “OSI Definition”, più vicina al modo di esprimersi del mondo legale. Anche avere una licenza open-source potrebbe non essere dirimente.
Ma, come già accennato, poter correttamente classificare un software come open-source è molto importante per uno sviluppatore che voglia vendere un prodotto AI nel mercato europeo. La questione è stata anche oggetto di un post, molto condiviso su LinkedIn, della Senior Policy Advisor al Parlamento Europeo Laura Caroli.
Per poter comprendere una volta per tutte come l’AI Act si relaziona con l’open-source è necessario analizzare alcune disposizioni del testo. Come anche riportato dalla Dott.ssa Caroli, solo quando un software rispetta la “vera essenza” dell’open-source si giustifica la sua esclusione dall’ambito di applicazione dell’AI Act. Quindi, ci sono dei requisiti da rispettare, riportati nei Considerando 102 e 103. Specificatamente, si reputano open-source “i software e i dati, compresi i modelli” che:
- condivisi apertamente;
- liberamente consultabili, utilizzabili, modificabili, ridistribuitili, incluse le eventuali versioni modificate;
- l’architettura dei modelli, i parametri, i pesi e le informazioni d’uso sono rese pubbliche;
Quando una licenza si dovrebbe classificare come open-source
In più, una licenza si dovrebbe classificare come open-source quando consente agli utenti di “eseguire, copiare, distribuire, studiare, modificare e migliorare i software e i dati, compresi i modelli, purché il modello sia attribuito al fornitore originario e siano rispettate condizioni di distribuzione identiche o comparabili” (Recital, 103). I componenti IA open-source possono essere forniti e sviluppati in modi diversi, come per esempio su archivi aperti (e.g. GitHub). Se la messa a disposizione di tali componenti viene monetizzata non si beneficia dell’esenzione di cui all’Art. 2(12), anche nel caso essa consista nella “fornitura di assistenza tecnica o altri servizi” oppure nel caso di “utilizzo di dati personali per motivi diversi dal solo miglioramento della sicurezza, della compatibilità o dell’interoperabilità del software”.
Limiti dell’eccezione
In certi casi l’AI Act rimane applicabile anche quando il sistema AI è effettivamente catalogabile come open-source. Questo è il caso di quando il sistema AI viene commercializzato, ma non solo. Anche in presenza di sistemi AI definibili ad alto rischio (Art. 6), proibiti (Art. 5) e soggetti a specifici obblighi di trasparenza (Art. 50) l’AI Act rimane operativo. Come stabilito dallo stesso Art. 2(12):
| Il presente regolamento [AI Act] non si applica ai sistemi di IA rilasciati con licenza libera e open source, a meno che non siano immessi sul mercato o messi in servizio come sistemi di IA ad alto rischio o come sistema di IA rientrante nell’ambito di applicazione dell’articolo 5 o 50. |
Esistono anche delle specificità per quanto concerne gli obblighi dei fornitori di modelli di IA per finalità generali, di cui all’Art. 53 dell’AI Act. In base a questo dispositivo, i fornitori devono redigere e mantenere la documentazione tecnica del modello; come mettere a disposizione informazioni e documenti per altri fornitori di sistemi AI che intendono integrare il modello di IA per finalità generali nei loro sistemi di IA integrare. Ebbene, in base al Paragrafo 2 dell’Art. 53 tali obblighi di trasparenza e accountability:
| non si applicano ai fornitori di modelli di IA rilasciati con licenza libera e open source che consentono l’accesso, l’uso, la modifica e la distribuzione del modello e i cui parametri, compresi i pesi, le informazioni sull’architettura del modello e le informazioni sull’uso del modello, sono resi pubblici. |
Il paragrafo statuisce anche “tale eccezione non si applica ai modelli di IA per finalità generali con rischi sistemici”. Infine, l’Art. 54 dell’AI Act statuisce una disciplina simile, ma per i rappresentanti autorizzati dei fornitori di modelli di IA per finalità generali.
Conclusioni
Da inizio agosto l’AI Act è entrato ufficialmente in vigore e diventerà gradualmente applicabile nei prossimi anni. Gli attori che operano nell’AI avranno modo e tempo di confrontarsi con le specificità di questo testo normativo, ma è una buona idea portarsi avanti con il lavoro. Tuttigli attori, specialmente gli sviluppatori, devono avere molto chi aro in che modo l’AI Act impatta i propri prodotti. In questo senso è molto importante comprendere quale ruolo ha la tecnologia open-source in questo nuovo paradigma normativo.
Questo breve approfondimento è parte di una ricerca eseguita da CyberEthicsLab. nel programma di ricerca e innovazione IRIS Horizon 2020 dell’Unione Europea e nell’ambito dell’accordo di sovvenzione n. 101021727.
