Regolamento europeo

AI Act, il punto su risultati raggiunti e i dubbi sul futuro

Home Sicurezza digitale Privacy
Indirizzo copiato

L’Europa ha raggiunto un compromesso “impossibile”: tutelare diritto e innovazione; usare la leadership giuridica per compensare i ritardi tecnologici su Usa e Cina. Ma tenuta di questo provvisorio accordo è molto in dubbio

Pubblicato il 12 dic 2023
Barbara Calderini

Legal Specialist – Data Protection Officer

intelligenza artificiale ai act

Le norme dell’Unione Europea sull’intelligenza artificiale avanzano dopo avere raggiunto un accordo politico “provvisorio” sull’AI Act.

Come detto dalla presidente della Commissione UE Ursula von der Leyen, la legge contribuirà a sviluppare norme globali, con l’UE impegnata a livello internazionale in organizzazioni come G7, OCSE, Consiglio d’Europa, G20 e Nazioni Unite.

Questa è ad oggi la prima tappa ufficiale di quella che domani potrebbe essere la prima legislazione al mondo specifica per questo settore.

Passo necessario, coraggioso da parte dell’Europa; ma ancora gravato di incertezze. E non è un caso che il testo ufficiale ancora non ci sia e poi andrà votato dall’Europa.

AI Act, attenta Europa: ora serve una strategia per l’innovazione

AI Act, ovvero la fusione normativa tra affidabilità e accettabilità dei rischi

Tutto racchiuso in una cornice di compromessi raggiunti tenuta insieme da una sorta di filo conduttore che considera l’affidabilità dell’IA in termini di accettabilità dei rischi, valutati questi principalmente attraverso gli esiti delle valutazioni di conformità rese dagli esperti di tecnologia coinvolti nelle applicazioni e regolati dai meccanismi di responsabilità dettati dal principio di accountability.

Ne è derivata una sorta di fusione normativa tra affidabilità e accettabilità complessa e dai confini ancora piuttosto mutevoli essendo in corso di definizione il lato tecnico del testo definitivo che sarà votato dagli organismi europei. Ben inteso, prima della votazione, il testo completato dovrà essere sottoposto al rituale del procedimento legislativo e dunque approvato dai rappresentanti degli stati membri, confermato dalle istituzioni UE e solo allora formalmente adottato.

L’AI Act diventerà applicabile, salvo imprevisti, due anni dopo la sua entrata in vigore, con divieti e disposizioni che potrebbero essere già operativi dopo 6 mesi per alcune disposizioni. Salva la possibilità di una conformità volontaria, attraverso l’AI Pact, che permetterà alle aziende di adeguarsi prima che il regolamento diventi formalmente operativo.

Nel frattempo però, per molti, la corsa globale per stabilire la leadership tecnologica nel campo dell’intelligenza artificiale accompagnata dallo sforzo di sviluppare un’“IA responsabile” sembrerebbe ormai volgere favorevolmente nei confronti dell’UE rispetto a Cina e Stati Uniti.

I nodi critici dell’AI Act

Tuttavia, secondo l’Organizzazione europea dei consumatori (BEUC), questa normativa presenta criticità che ne limiteranno l’efficacia nella protezione dei consumatori.

Beuc

Da un lato, l’AI Act proibisce il social scoring, considerato umiliante e discriminatorio, e attribuisce diritti ai consumatori, come la possibilità di presentare reclami contro sistemi di intelligenza artificiale o richiedere risarcimenti collettivi per danni di massa.

Dall’altro permangono preoccupazioni significative: la legge consente ancora l’uso di sistemi di intelligenza artificiale per identificare e analizzare i sentimenti dei consumatori, considerati invasivi e imprecisi.

L’attenzione prevalente sui sistemi ad alto rischio lascia altri settori, come giocattoli e assistenti virtuali, sostanzialmente non regolamentati. Modelli ampiamente utilizzati, tra cui ChatGPT, mancano di regolamentazioni adeguate, senza obblighi di verifica di terze parti indipendenti o sufficiente trasparenza per il controllo pubblico.

Ursula Pachl della BEUC esprime delusione per le misure complessive di protezione dei consumatori, sottolineando che molte questioni cruciali sono state lasciate sotto-regolamentate.

La BEUC suggerisce che l’AI Act avrebbe dovuto affrontare più approfonditamente le preoccupazioni dei consumatori legate alla manipolazione e alla discriminazione. Invoca l’uso di altre normative, come la sicurezza dei prodotti, il GDPR e la legge sui consumatori, per garantire ulteriori livelli di protezione.

Se dunque l’accordo sull’AI Act rappresenta un passo significativo, le critiche sollevate dalla BEUC sottolineano altrettanto la necessità di ulteriori miglioramenti e di un’applicazione rigorosa per massimizzare la protezione dei consumatori nell’era dell’intelligenza artificiale.

Difensori di diritti civili

Dello stesso tenore le dichiarazioni di Daniel Leufer, analista politico senior del gruppo no-profit Access Now, impegnato nella difesa dei diritti digitali delle persone e delle comunità a rischio:

“Indipendentemente dalle vittorie ottenute in queste ultime fasi di negoziazione, rimane il fatto che nel testo finale persistono gravi difetti, come scappatoie per l’applicazione della legge, mancanza di protezione nel contesto migratorio, possibilità di opt-out per gli sviluppatori e significative lacune nei divieti per i sistemi di intelligenza artificiale più pericolosi.”

E’ piuttosto scettico anche Daniel Castro, vicepresidente della Fondazione per l’innovazione e la tecnologia dell’informazione (ITIF), che suggerisce come l’UE dovrebbe mettere in pausa la legislazione sull’intelligenza artificiale fino a una migliore comprensione della tecnologia. Sottolinea alttesì il rischio di conseguenze indesiderate derivanti da una legislazione prematura e afferma che l’UE dovrebbe concentrarsi sulla vittoria nella corsa all’innovazione anziché sulla corsa alla regolamentazione, sottolineando che le leggi esistenti possono già essere applicate e che è troppo presto per identificare le nuove regole necessarie. Castro ritiene infatti che agire rapidamente non garantirà il successo, anzi.

Un equilibrio tra diritti e innovazione

Muovendo da un’altra prospettiva invece la European Tech Alliance elogia l’accordo sull’AI Act raggiunto dai negoziatori dell’Unione Europea. Nella sua dichiarazione, il segretario generale dell’EUTA, Victoria de Posson, ha espresso apprezzamento per gli sforzi volti a regolamentare gli usi ad alto rischio dell’IA, evitando al contempo norme eccessivamente onerose che potrebbero ostacolare lo sviluppo di casi di utilizzo vantaggioso. Critica invece Digital Europe-Anitec Assinform, temendo burocrazia e costi di compliance eccessivi per le giovani società europee di AI.

Sul fronte delle istituzioni politiche emergono invece rassicurazioni su questo fronte.

Svenja Hahn, eurodeputata tedesca, a nome del gruppo liberale Renew Europe, ha asserito:

“In 38 ore di negoziati nell’arco di tre giorni siamo stati in grado di prevenire una massiccia regolamentazione eccessiva dell’innovazione dell’IA e di salvaguardare i principi dello stato di diritto nell’uso dell’IA nelle forze dell’ordine”.

E ancora: “Siamo riusciti a impedire la sorveglianza biometrica di massa. Nonostante una dura battaglia durata diversi giorni di negoziati, non è stato possibile ottenere un divieto totale dell’identificazione biometrica in tempo reale nonostante il massiccio vento contrario proveniente dagli Stati membri.

“Volevano utilizzare la sorveglianza biometrica nel modo più non regolamentato possibile. Solo il governo tedesco aveva chiesto un divieto.”

Così anche Kim van Sparrentak, eurodeputata olandese coinvolta nella stesura delle regole sull’intelligenza artificiale, che ha dichiarato:

L’Europa sta tracciando la sua strada e non sta adottando il modello di sorveglianza cinese. Dopo intense negoziazioni con gli Stati membri dell’UE, siamo riusciti a limitare l’uso di questi sistemi. In una società libera e democratica, è fondamentale poter muoversi liberamente per le strade, partecipare a festival o eventi sportivi senza essere costantemente monitorati dal governo.”

Brando Benifei, eurodeputato del Partito Democratico al Parlamento europeo, si è espresso con analoga soddisfazione: “È stato lungo e intenso, ma ne è valsa la pena. Grazie alla resilienza del Parlamento europeo, la prima legislazione orizzontale al mondo sull’intelligenza artificiale manterrà la promessa europea: garantire che i diritti e le libertà siano al centro dello sviluppo di questa tecnologia innovativa. La corretta attuazione sarà fondamentale: il Parlamento continuerà a vigilare per garantire il sostegno a nuove idee imprenditoriali con sandbox e regole efficaci per i modelli più potenti”.

Altrettanto ha fatto il funzionario rumeno Dragos Tudorache: “L’UE è la prima al mondo a mettere in atto una solida regolamentazione sull’intelligenza artificiale, guidandone lo sviluppo e l’evoluzione in una direzione incentrata sull’uomo. La legge sull’intelligenza artificiale stabilisce norme per modelli di intelligenza artificiale grandi e potenti, garantendo che non presentino rischi sistemici per l’Unione e offre solide garanzie per i nostri cittadini e le nostre democrazie contro eventuali abusi della tecnologia da parte delle autorità pubbliche. Protegge le nostre PMI, rafforza la nostra capacità di innovare e guidare nel campo dell’intelligenza artificiale e protegge i settori vulnerabili della nostra economia. L’Unione Europea ha dato un contributo impressionante al mondo; l’AI Act è un altro atto che avrà un impatto significativo sul nostro futuro digitale”.

AI Act: i punti chiave

L’accordo, salutato con entusiasmo anche da altri rappresentanti dell’UE, si esprime su vari aspetti: dagli accordi di salvaguardia sull’intelligenza artificiale cosiddetta “general scope” alla limitazione dell’utilizzo di sistemi di identificazione biometrica da parte delle forze dell’ordine; dai divieti di social scoring e di intelligenza artificiale utilizzata per manipolare o sfruttare le vulnerabilità degli utenti al diritto dei consumatori di presentare reclami e ricevere spiegazioni significative; dalle misure a sostegno dell’innovazione delle organizzazioni promettenti alla sostenibilità ambientale. Le sanzioni, infine, da 35 milioni di euro o 7% del fatturato globale a 7,5 milioni o 1,5% del fatturato.

Definizione di intelligenza artificiale nell’AI Act

Il Consiglio UE scrive che si è giunti a una soluzione di compromesso che ricalca la definizione dell’Ocse.

Qui si definisce così l’intelligenza artificiale: “Un sistema di IA è “un sistema basato su una macchina che, per obiettivi espliciti o impliciti, deduce dagli input ricevuti come generare output come previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali. I diversi sistemi di IA variano nei loro livelli di autonomia e adattabilità dopo l’implementazione”.

La commissione UE aveva invece questa definizione: Il “sistema di intelligenza artificiale è definito come “un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”. La differenza è nell’allegato I che in pratica conteneva tutte le tecniche algoritmiche, anche quelle semplici, applicate ai sistemi di raccomandazione che reggono la pubblicità online.

Ambito applicativo dell’AI Act

L’accordo provvisorio chiarisce inoltre che il regolamento non si applica ad aree al di fuori del campo di applicazione del diritto dell’UE e non dovrebbe, in ogni caso, influire sulle competenze degli Stati membri in materia di sicurezza nazionale o su qualsiasi entità incaricata di compiti in questo settore.

L’atto di AI non si applicherà nemmeno ai sistemi utilizzati esclusivamente per scopi militari o di difesa. Allo stesso modo, l’accordo prevede che il regolamento non si applichi ai sistemi di IA utilizzati al solo scopo di ricerca e innovazione, né a coloro che utilizzano l’IA per motivi non professionali.

L’approccio adottato dall’AI Act è quello orizzontale “basato sul rischio”

L’approccio adottato dall’AI Act è quello orizzontale (ovvero si estende ad ogni sistema di IA operante in ambito aziendale, scolastico o piuttosto sanitario; dai sistemi per le nuove assunzioni di personale nelle aziende all riconoscimento facciale da parte delle forze dell’ordine, ai fake diffusi on line) e “basato sul rischio”.

E d’altra parte già il Libro bianco della Commissione sull’IA, emesso nel 2020, delineava una visione di questo tipo, immaginando un ecosistema caratterizzato da eccellenza e fiducia. Proprio il Libro Bianco infatti ha costituito la base per l’accordo politico attuale.

L’accordo sul Regolamento classifica i sistemi di intelligenza artificiale in quattro categorie definite in base ai potenziali rischi per i diritti fondamentali:

  1. Rischio Inaccettabile: Vietati in Europa. Esempi includono sistemi di social scoring che assegnano punteggi individuali basati su comportamenti.
  2. Rischio Alto: Includono sistemi critici come quelli per la fornitura di acqua e dispositivi medici. Possono entrare nel mercato europeo rispettando requisiti rigorosi, con possibilità di certificazione europea.
  3. Rischio Minimo: Ad esempio, sistemi di raccomandazioni per gli acquisti. Le imprese possono adottare codici di condotta su base volontaria.
  4. Rischi relativi alla carenza di Informazione: Gli utenti devono essere informati sull’interazione con un sistema di IA, ad esempio, quando si tratta di raccomandazioni di acquisto o generazione di contenuti come foto. I deepfake e altri contenuti generati dall’IA dovranno essere etichettati come tali. In aggiunta, i fornitori dovranno sviluppare i sistemi in modo che i contenuti sintetici, quali audio, video, testo e immagini, siano contrassegnati in un formato leggibile dalla macchina, rendendoli riconoscibili come generati o manipolati artificialmente.

I sistemi di intelligenza artificiale che presentano solo rischi limitati saranno pertanto soggetti a obblighi di informazione e trasparenza leggeri, ad esempio rivelando che il contenuto è stato generato dall’intelligenza artificiale in modo che gli utenti possano prendere decisioni mirate sull’ulteriore utilizzo.

I sistemi di raccomandazione e i filtri antispam, otterranno a quanto pare un pass gratuito.

Large language models

Le regole più stringenti si applicano invece ai sistemi General Purpose (GPAI), inclusi Large Language Models (LLM) come ChatGPT, considerati di tipo sistemico, molto potenti e di ampio uso.

Questi modelli e di conseguenza le loro applicazioni generative, comprese appunto ChatGPT, Bard e Midjourney dovranno essere sottoposte a specifici adempimenti per garantire sicurezza informatica, trasparenza nei processi di addestramento e condivisione della documentazione tecnica già prima di essere commercializzate. Dovranno quindi pubblicare i materiali usati nell’addestramento degli algoritmi, rendere riconoscibili i contenuti generati e proteggere i diritti d’autore.

Proprio in merito al diritto d’autore, oltre all’implementazione di sistemi di watermarking, si ribadisce l’importanza di ottenere un consenso preventivo.

Viene inoltre introdotto un sistema specifico di obblighi per i sistemi definiti ad alto rischio, con valutazioni di impatto e strategie di mitigazione, e un AI Office.

AI Office, ovvero la svolta verso una governance più centralizzata intrapresa dall’UE

L’AI Office supervisionerà i modelli IA avanzati, promuoverà standard e pratiche di test e farà rispettare le regole comuni nei paesi membri. Un gruppo di esperti indipendenti consulterà l’Ufficio AI sui modelli GPAI, sviluppando metodologie per valutarne le capacità e monitorando i rischi per la sicurezza materiale.

E’ questo un cambiamento significativo rispetto allo sportello unico previsto nel GDPR, che, in più occasioni, non ha mancato di dimostrare una certa farraginosità nella concreta applicazione, specie nei riguardi delle Big Tech.

L’AI Office rappresenta dunque una vera e propria inversione di marcia nella strategia dell’UE, che decide di allontanarsi dall’applicazione decentralizzata delle normative a livello nazionale in vista di una più incisiva e coerente stretta regolatoria, specie verso le aziende tecnologiche di grandi dimensioni.

Sembra infatti che l’UE abbia appreso dalla sua esperienza, privilegiando l’approccio centralizzato non solo per garantire un’applicazione più efficace delle leggi digitali ma anche per evitare la concentrazione del potere in un singolo paese europeo riguardo a una tecnologia di grande impatto sull’economia e la società globali.

Ashley Casovan, CEO del AI Governance Center dell’Associazione internazionale dei professionisti della privacy, ha sottolineato in una recente intervista la necessità di una maggiore centralizzazione, evidenziando le differenze nei protocolli e nell’applicazione delle normative nei vari paesi, con l’Irlanda tra i più indulgenti.

Certo è, ad ogni modo, che l’efficacia dell’Ufficio AI dipenderà molto dalla qualità degli esperti a disposizione e dalle risorse disponibili, e a tal proposito è quanto mai attesa la decisione della Commissione sull’entità del budget e sul personale da destinare all’ufficio, con funzionari che dovrebbero appartenere alla Commissione stessa, agli Stati membri dell’UE oltre ai collaboratori esterni. Considerata l’importanza economica dell’intelligenza artificiale e le sfide nell’applicazione del GDPR, ci si aspetta comunque che l’UE darà la massima priorità all’Ufficio AI.

Microsoft, Google e Amazon dovranno perciò aspettarsi una stretta supervisione nell’ambito dell’AI Act dell’UE, mentre la Commissione Europea sta già intensificando il controllo sulle grandi piattaforme digitali, focalizzandosi sulla promozione di una concorrenza leale e sulla vigilanza della moderazione dei contenuti.

Il Comitato AI, con rappresentanti degli Stati membri, rimarrà una piattaforma di coordinamento e consulenza per la Commissione, coinvolgendo gli Stati membri nell’implementazione del regolamento.

E’ previsto anche un forum consultivo con rappresentanti dell’industria, PMI, start-up, società civile e mondo accademico, avente il compito di fornire competenze tecniche al comitato per l’intelligenza artificiale.

Le sponde normative dell’AI Act

Le applicazioni vietate previste nel regolamento si estendono all’uso di IA per analizzare dati biometrici particolari, lo scraping indiscriminato di immagini, il riconoscimento delle emozioni sul posto di lavoro, social scoring, tecniche manipolative e l’uso di IA per colpire le persone più vulnerabili.

La polizia potrà utilizzare sistemi di riconoscimento biometrico solo in casi eccezionali, con specifiche salvaguardie per prevenire abusi e forme di sorveglianza diffusa.

Le forze dell’ordine dovranno notificare e monitorare l’uso di sistemi IA.

I cittadini dal canto loro, come già detto, avranno il diritto di presentare reclami e ricevere spiegazioni su decisioni di IA ad alto rischio che impattano i loro diritti.

Alle PMI sono dedicate una serie di misure di sostegno tra cui un regime di sandbox regolamentari per promuovere l’innovazione.

I software gratuiti e open source sono esclusi dal campo di applicazione del regolamento, a meno che non rientrino nella categoria di sistemi ad alto rischio, applicazioni vietate o soluzioni di intelligenza artificiale che potrebbero causare manipolazioni.

Tradotto in modo schematico potremo tracciare le seguenti sponde normative.

Applicazioni Vietate:

  1. Sistemi di Categorizzazione Biometrica:
    1. Utilizzo di caratteristiche sensibili come convinzioni politiche, religiose, filosofiche, orientamento sessuale, razza.
  2. Raccolta Non Mirata di Immagini Facciali:
    1. Raccolta di immagini facciali da Internet o da filmati CCTV per creare database di riconoscimento facciale.
  3. Riconoscimento delle Emozioni:
    1. Vietato sul posto di lavoro e nelle istituzioni educative.
  4. Punteggio Sociale Basato sul Comportamento:
    1. Vietato basarsi su comportamenti o caratteristiche personali.
  5. Manipolazione del Comportamento Umano:
    1. Sistemi di IA che manipolano il comportamento umano per aggirare il libero arbitrio.
  6. Sfruttamento delle Vulnerabilità delle Persone:
    1. Vietato l’uso di IA che sfrutta le vulnerabilità delle persone legate a età, disabilità, situazione sociale o economica.

Esenzioni per le Forze dell’Ordine:

  1. Utilizzo dei Sistemi di Identificazione Biometrica (RBI) in Spazi Pubblici:
    1. Soggetto a previa autorizzazione giudiziaria e limitato a elenchi di reati specifici.
  2. RBI “Post-Remoto”:
    1. Utilizzato nella ricerca mirata di persone condannate o sospettate di gravi reati.
  3. RBI “In Tempo Reale”:
    1. Sottoposto a condizioni rigorose e limitato a situazioni come ricerche di vittime, prevenzione di minacce terroristiche o identificazione di sospetti di gravi reati.

Obblighi per i Sistemi ad Alto Rischio:

  1. Valutazione d’Impatto sui Diritti Fondamentali:
    1. Applicabile a settori come assicurazioni e banche.
  2. Sistemi per l’Influenza Elettorale:
    1. Classificati come ad alto rischio, garantendo valutazioni rigorose e possibilità di reclamo da parte dei cittadini.

Guardrail per Sistemi Generali di IA:

  1. Trasparenza:
    1. Modelli di IA per scopi generali devono rispettare i requisiti di trasparenza, inclusa la documentazione tecnica e il rispetto della normativa sul diritto d’autore.

Misure a Sostegno dell’Innovazione e delle PMI:

  1. Sandbox Normativi e Test nel Mondo Reale:
    1. Promozione di ambienti sperimentali per lo sviluppo di soluzioni innovative di IA da parte di PMI.

Il trilogo si è confrontato su ben 21 questioni aperte, con una prima convergenza raggiunta su open source, governance e modelli di base.

Con riferimento a questi ultimi il compromesso stabilisce una distinzione tra modelli di base ad alto impatto (identificati da un potere di calcolo pari a 10^25 FLOPs -floating point operations per second, l’unità di misura della capacità computazionale. Vi rientra GPT-4 di OpenAI) e quelli che non lo sono.

Il punto è però che sarà responsabilità delle aziende valutare se sono soggette a normative più stringenti. Solo le aziende infatti conoscono la potenza di calcolo impiegata per addestrare i loro modelli. I funzionari UE ritengono che, con l’evoluzione della tecnologia, il criterio con cui viene misurata la potenza dei modelli di intelligenza artificiale potrebbe subire modifiche.

Ad ogni modo, per i modelli ad alto impatto, caratterizzati da addestramenti complessi e prestazioni avanzate, potenzialmente portatori di rischi sistemici significativi lungo la catena del valore è richiesta una verifica sulla sicurezza informatica e trasparenza prima dell’ingresso nel mercato, insieme alla condivisione della documentazione tecnica.

Per i modelli che non rientrano nella categoria ad alto impatto, sono previsti obblighi di trasparenza al momento dell’introduzione nel mercato europeo per scopi commerciali. Tutte disposizioni che Berlino, Parigi e Roma avrebbero preferito fossero contenute in codici di condotta volontari, temendo il freno all’innovazione in UE.

Altre questioni spinose in discussione hanno riguardato l’applicabilità del regolamento ai sistemi di IA già presenti sul mercato, nel caso in cui subissero modifiche significative dopo l’entrata in vigore delle nuove norme e i temi del social scoring e del riconoscimento biometrico.

La questione della sicurezza nazionale

Più dibattute sono risultate le dinamiche di compromesso legate alla sicurezza nazionale e alla sua esenzione dall’ambito oggettivo del regolamento.

I paesi dell’UE, guidati dalla Francia, hanno richiesto un’ampia deroga per l’uso di sistemi di intelligenza artificiale a fini militari o di difesa, anche da parte di appaltatori esterni.

L’accordo provvisorio raggiunto specifica che il regolamento sull’IA non si estende a settori al di fuori dell’ambito di applicazione del diritto comunitario e non dovrà compromettere le competenze degli Stati membri in materia di sicurezza nazionale o di altre entità con incarichi correlati. Inoltre, la legge sull’IA non si applicherà a sistemi utilizzati esclusivamente per scopi militari o di difesa.

Analogamente, il regolamento non si estende ai sistemi di IA utilizzati unicamente per ricerca e innovazione, né a individui che utilizzano l’IA per scopi non professionali.

Il tema del social scoring e del riconoscimento biometrico a distanza e in tempo reale

I temi del social scoring e del riconoscimento biometrico ed emozionale, specie in tempo reale e soprattutto in contesti di polizia e giustizia predittiva sono stati nodi critici fondamentali.

Nel corso dei negoziati gli schieramenti vedevano il Parlamento europeo e il mondo accademico in una zona di forte opposizione a tali applicazioni, mentre il Consiglio, rappresentante degli Stati membri, continuava a difendere la propria linea basata su un approccio più permissivo.

Come anticipato il testo provvisorio dell’’AI Act è giunto a contemplare una serie di pratiche vietate, ritenute a rischio inaccettabile, tra cui tecniche manipolative, sfruttamento di vulnerabilità e punteggi sociali.

I deputati hanno incluso nel divieto lo sfruttamento di database basati sullo scraping collettivo di immagini facciali, come nel caso di Clearview AI.

Ulteriori restrizioni riguardano il divieto del riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, con l’avvertenza che tuttavia, ricorrendone i presupposti, potrebbe essere consentito per giustificati motivi di sicurezza.

Per quanto riguarda il social scoring merita di essere evidenziato come, mentre il trilogo era ancora impegnato nel raggiungimento di un punto d’incontro su una tematica tanto divisiva, a Lussemburgo, la Corte di giustizia dell’UE emetteva una sentenza con implicazioni significative per le aziende che utilizzano sistemi di intelligenza artificiale. La sentenza riguarda la società tedesca di credit scoring Schufa e stabilisce che il punteggio assegnato costituisce una decisione automatizzata ai sensi del Regolamento generale sulla protezione dei dati GDPR. La decisione chiarisce la relazione tra il punteggio e le sue conseguenze, rilevando che è considerato un “processo decisionale individuale automatizzato” se un terzo, come una banca, lo utilizza in modo significativo per stabilire, attuare o terminare un rapporto contrattuale.

La pronuncia, basata sull’articolo 22 del GDPR, che vieta decisioni automatizzate giuridicamente significative senza determinate condizioni, riveste importanza ben oltre il settore specifico del credit scoring e si estende all’ambito più ampio dell’intelligenza artificiale, assumendo maggiore rilevanza proprio alla luce degli sforzi globali per regolamentare la tecnologia, sottolineando la necessità di coinvolgere gli esseri umani nelle decisioni automatizzate.

Le applicazioni biometriche in mano alle forze dell’ordine

Ai sensi del regolamento sarà altresì vietato l’uso di software di polizia predittiva per valutare il rischio di commissione di crimini futuri basati sulle caratteristiche personali.

I legislatori, inizialmente, volevano vietare l’uso di sistemi di intelligenza artificiale che classificassero le persone in base a tratti “sensibili” come razza, opinioni politiche o convinzioni religiose, tuttavia alcuni divieti sono stati abbandonati o ridotti in seguito a reiterate e inconciliabili insistenze dei governi europei. Italia, Ungheria e soprattutto Francia hanno guidato gli sforzi per attenuare la legge, con particolare riferimento alla realizzazione di un sistema di intelligenza artificiale per la sicurezza in previsione delle Olimpiadi di Parigi nel 2024.

Pertanto il divieto di identificazione biometrica in ambito di polizia predittiva in tempo reale è stato attenuato con limitate eccezioni per l’applicazione della legge, come la prevenzione di attacchi terroristici, ricerca di vittime, persecuzione di seri crimini.

I sistemi di intelligenza artificiale impiegati per analizzare dati relativi a crimini, laddove consentiti, dovranno operare su dati anonimi e non dovranno essere utilizzati per profilare individui specifici. In caso di utilizzo di sistemi IA da parte delle forze dell’ordine, è inoltre richiesta la notifica preventiva alle autorità indipendenti di controllo per garantire trasparenza e responsabilità, oltre al monitoraggio continuo anche dopo l’approvazione per assicurare la conformità alle regole e la tutela dei diritti fondamentali.

Nello specifico le forze di polizia europee potranno impiegare sistemi di identificazione biometrica in luoghi pubblici solo previa approvazione del tribunale e limitatamente a 16 specifici reati, tra cui oltre al terrorismo, la tratta di esseri umani, lo sfruttamento sessuale dei minori e il traffico di droga.

In circostanze eccezionali legate alla pubblica sicurezza, le autorità di contrasto potranno utilizzare sistemi di intelligenza artificiale ad alto rischio che non rispettano gli standard europei.

I deputati hanno sostenuto l’applicazione di divieti anche alle aziende dell’UE che vogliono vendere all’estero applicazioni vietate, ma il divieto di esportazione è stato scartato per mancanza di base giuridica sufficiente.

I sistemi ad alto rischio

Ambiti delicati come istruzione, occupazione, infrastrutture critiche nei settori dell’acqua, del gas e dell’elettricità, dispositivi medici, sistemi di accesso educativo o di selezione del personale, altri servizi pubblici, forze dell’ordine, controllo delle frontiere e amministrazione della giustizia, sono tutti ambiti nei quali i sistemi di intelligenza artificiale vengono classificabili ad alto rischio per quanto riguarda sicurezza e tutela dei diritti fondamentali delle persone.

In tal caso le applicazioni di IA dovranno soddisfare stringenti requisiti, tra cui valutazioni d’impatto sui diritti umani obbligatorie, implementare misure di mitigazione del rischio, utilizzo di set di dati di alta qualità, registrazione delle attività, documentazione dettagliata, trasparenza sugli utenti, supervisione umana, nonché elevati standard di robustezza, accuratezza e sicurezza informatica. I sistemi di identificazione biometrica, categorizzazione e riconoscimento delle emozioni rientrano anch’essi nella categoria ad alto rischio.

Sebbene il Parlamento avesse proposto di considerare “a rischio sistemico” anche le applicazioni di raccomandazione dei social media in aderenza alla Legge sui servizi digitali – DSA, in fase conclusiva la proposta non è stata inclusa nell’accordo.

Un primo bilancio

Voler compensare attraverso la supremazia normativa una mancanza di supremazia tecnologica rappresenta per l’UE una sfida ardua ma probabilmente necessaria per riacquistare centralità nello scenario geopolitico. Ed è questo un percorso obbligato per non rimanere intrappolati nel braccio di ferro Cina-Usa, mentre all’orizzonte si profilano già nuovi competitor.

L’equilibrio raggiunto con l’accordo sull’AI Act, da molti accolto come il “primo regolamento orizzontale sull’intelligenza artificiale al mondo”, sebbene non sia ancora definitivo, rappresenta un progetto senza dubbio ambizioso, e ad oggi l’unico in grado di instaurare un rapporto sostenibile (e redditizio) con le altre aree del mondo.

Restano tuttavia numerosi interrogativi, primo fra tutti quello legato alla definizione e all’adeguata attribuzione delle responsabilità lungo tutta la catena del valore dell’IA; prerogativa questa imprescindibile in vista della protezione dei cittadini dell’UE e dei loro diritti umani. “Diversamente ogni tentativo di leadership globale sarà inevitabilmente compromesso”.

Opacità, imprevedibilità, vulnerabilità, fallacia, sono tutte caratteristiche dei sistemi di apprendimento automatico che disorientano gli attuali modelli della responsabilità, in particolare quelli fondati sul criterio di imputazione della colpa.

Dove si posiziona il giusto equilibrio tra governance responsabile e rischio intelligente nel contesto dello sviluppo di tecnologie di intelligenza artificiale che hanno il potenziale per sbloccare il progresso umano?

La difficoltà nel rispondere ad un tale quesito si annida sulla difficile comprensione dei processi in base ai quali viene assunta una determinata “decisione” e dunque un certo “comportamento”. E neppure il testo del regolamento riesce a definire una risposta chiara.

Fondamentale si rivelerà inoltre l’auspicabile buona tenuta strutturale dell’accordo politico raggiunto rispetto al momento della definitiva adozione e dunque la resilienza tecnico giuridica del compromesso allo scorrere dei prossimi due anni senza che si manifestino segnali di obsolescenza rispetto all’avanzare inesorabile delle applicazioni tecnologiche.

Pensare di fotografare un ecosistema tecnologico che per le sue stesse caratteristiche è destinato ad evolvere molto rapidamente, rappresenta un tentativo arduo e insidioso.

Dato l’alto grado di turbolenza che caratterizza la nostra epoca, riconoscere i fattori chiave che determinano la buona salute dei diritti umani sul lungo periodo è infatti più importante che mai.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • assistenza e monitoraggio

    Telemedicina, cos'è e come farla in Italia: tecnologie e finalità, un modello possibile

    23 Apr 2024

    di Domenico Marino, Antonio Miceli, Demetrio Naccari Carlizzi e Giuseppe Quattrone

    Condividi

Prossimo

Telemedicina, cos'è e come farla in Italia: tecnologie e finalità, un modello possibile

Articolo 1 di 2