🤖 AI Act: istruzioni per l'uso – Legge Zero #edizionestraordinaria
Il Parlamento Europeo ha approvato il testo dell'AI Act: l'UE si dota della prima legge al mondo su IA. Nella nostra "edizione straordinaria" abbiamo ricostruito i punti principali del provvedimento.
🧠 AI Act: leggiamolo insieme
È la notizia del giorno, per chi si occupa di intelligenza artificiale. Ma si tratta di un passaggio importantissimo per tutti: aziende, pubbliche amministrazioni e semplici cittadini. Il Parlamento europeo, questa mattina, ha approvato il testo dell’AI Act.
Nelle prossime settimane ci saranno ulteriori passaggi procedurali in vista della pubblicazione del testo sulla Gazzetta Ufficiale dell’Unione Europea. L’entrata in vigore è prevista per il prossimo mese di maggio.
Dopo l’accordo politico (il famoso trilogo di cui avevamo parlato in LeggeZero #3) abbiamo finalmente un testo affidabile, utile per capire cosa cambierà e in cosa consisterà il percorso di adeguamento, che inizierà nelle prossime settimane.
Avviso ai naviganti: il testo del Regolamento è molto lungo (oltre 450 pagine) e complesso (180 considerando, 113 articoli e 13 allegati).
Per chi vuole cimentarsi nella lettura, qui sotto è possibile scaricare il testo approvato oggi (in italiano).
In questa newsletter straordinaria, rinviando per un esame specifico a ulteriori approfondimenti, abbiamo pensato di ricostruire i principali punti del provvedimento. Mettetevi comodi prima di iniziare la lettura, le cose da dire sono tante. Le abbiamo organizzate come risposte a 10 domande.
Che cos’è l’AI Act?
La Legge sull’intelligenza artificiale (AI Act) dell’Unione Europea, il cui iter è iniziato nell’aprile 2021, rappresenta il primo provvedimento normativo al mondo che contiene un insieme organico di regole che mirano a tutelare i diritti della persona, imponendo un approccio umano-centrico a chiunque sviluppi o utilizzi sistemi di intelligenza artificiale.
L’AI Act, mediante un approccio basato sul rischio, mira ad assicurare un'adeguata regolamentazione per quanto riguarda l'introduzione, la messa in funzione e l'impiego dei sistemi di IA.
2. Quali sono i principi dell’AI Act?
Il Regolamento richiama i principi etici elaborati nel 2019 dall'High-Level Expert Group on Artificial Intelligence nominato dalla Commissione europea:
intervento e sorveglianza umani (art. 14);
robustezza tecnica e sicurezza (art. 15);
vita privata e governance dei dati (art. 10);
trasparenza (artt. 13 e 50);
diversità, non discriminazione ed equità (cons. 27);
benessere sociale e ambientale (cons. 27);
responsabilità dei fornitori di sistemi IA (art. 25).
A chi si applica l’AI Act?
L’AI Act si applica non solo ai providers (fornitori) dei sistemi di intelligenza artificiale che immettono sul mercato o mettono in servizio sistemi di IA nell’Unione Europea, ma anche a quelli extraeuropei, laddove gli output prodotti dal sistema di IA siano utilizzati in Europa.
In secondo luogo, il Regolamento si applica ai deployers (utilizzatori) dei sistemi di intelligenza artificiale, indipendentemente dal fatto che siano soggetti pubblici o privati.
Da ultimo, l’AI Act trova applicazione anche nei confronti di importatori e distributori dei sistemi di IA e alle persone interessate dall’utilizzo di tali sistemi.
Non rientrano nell’ambito di applicazione i sistemi di IA il cui utilizzo:
sia esclusivamente volto a soddisfare scopi militari, di difesa o di sicurezza nazionale (di competenza degli Stati membri);
siano necessari per attività di ricerca e sviluppo scientifico relative a sistemi di intelligenza artificiale;
sia fatto da persone fisiche che utilizzano l’IA per motivi non professionali.
4. Come sono classificati i sistemi di IA?
Il concetto di rischio, come definito dal Regolamento, si basa sulla combinazione tra la probabilità di un danno e la sua gravità. In considerazione di questa definizione, il Regolamento prevede tre classi di rischio, valutando il possibile impatto per la sicurezza e i diritti fondamentali delle persone fisiche.
Le categorie sono:
I) Rischio inaccettabile: in questa categoria rientrano tutte quelle pratiche vietate, poiché in grado di manipolare il comportamento umano attraverso l’uso di tecniche subliminali, o che consentono di classificare le persone in base alla loro caratterizzazione biometrica o al loro comportamento sociale, per finalità pubbliche e private (ad esempio, attraverso tecniche di “social scoring”).
II) Rischio alto: tali sistemi - in considerazione del maggior potenziale di rischio connesso al loro utilizzo (ad esempio nell’ambito della selezione del personale) - per poter circolare nel mercato europeo dovranno rispondere a caratteri di conformità, robustezza e tracciabilità. Dovranno, inoltre, essere addestrati e testati con set di dati sufficientemente rappresentativi per ridurre al minimo il rischio di distorsioni inique nel modello, le quali, se presenti, potranno essere risolte mediante opportune misure di rilevazione e correzione. Per i sistemi ad alto rischio è richiesto di effettuare una valutazione d’impatto sui diritti fondamentali.
III) Rischio basso o minimo: i sistemi di intelligenza artificiale considerati a basso rischio, come videogiochi o filtri antispam, saranno esentati da obblighi normativi. Tuttavia, i fornitori di tali sistemi sono incoraggiati ad aderire volontariamente a codici di condotta, specialmente quando sussiste un rischio evidente di manipolazione.
Infine, ai sensi dell’art. 50, il Regolamento introduce obblighi specifici di trasparenza per tutti i modelli di IA. In particolare, i fornitori devono garantire che i sistemi di IA destinati a interagire direttamente con le persone fisiche siano progettati e sviluppati in modo tale da informare queste ultime della loro interazione con un sistema di IA, a meno che ciò “non risulti evidente (...) tenendo conto delle circostanze e del contesto di utilizzo”.
Quali sono gli adempimenti?
Sono numerosi gli obblighi indirizzati a fornitori, deployers, distributori e importatori in relazione ai sistemi ad alto rischio.
I principali obblighi imposti ai fornitori di sistemi IA ad alto rischio (art. 16) e agli importatori (art. 23), sono:
garantire che i sistemi siano conformi a specifici requisiti tecnici indicati dal Regolamento;
indicare sul sistema di IA ad alto rischio nome, denominazione commerciale registrata o marchio registrato e indirizzo al quale possono essere contattati;
disporre di un sistema di gestione della qualità (art. 17), ad es. un documento che garantisca la conformità all’AI Act;
elaborare una dichiarazione di conformità UE (art. 47);
adottare misure correttive (es. ritirare, disabilitare) nel caso in cui ritengano che un sistema di IA ad alto rischio da essi immesso sul mercato o messo in servizio non sia conforme all’AI Act;
fornire alle Autorità competenti tutte le informazioni e la documentazione richiesta.
L’art. 26, invece, disciplina gli obblighi imposti ai deployer dei sistemi di IA ad alto rischio, prevedendo tra le altre cose che essi debbano:
adottare misure tecniche ed organizzative idonee a garantire un utilizzo conforme;
affidare la sorveglianza umana dei sistemi a persone fisiche adeguatamente competenti;
monitorare il funzionamento dei sistemi e, se del caso, informare i fornitori di eventuali malfunzionamenti;
cooperare con le competenti autorità di vigilanza e di controllo, ove necessario;
effettuare, nei casi previsti dall’art. 27, una valutazione dell’impatto sui diritti fondamentali che tali sistemi devono rispettare.
Cosa prevede l’AI Act per la IA generativa?
Il Regolamento (art. 53) prevede specifici obblighi per i fornitori di modelli di IA per finalità generali, compresi i modelli di IA generativa di grandi dimensioni (es. ChatGPT).
In particolare, tali fornitori dovranno:
redigere e mantenere aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e prova e i risultati della sua valutazione;
attuare una politica volta ad adempiere alla normativa dell’Unione in materia di diritto d’autore;
redigere e mettere a disposizione del pubblico una sintesi dei contenuti utilizzati per l’addestramento del modello di IA (in modo da consentire opt-out da parte degli interessati).
I fornitori di modelli rilasciati con licenza libera o open source sono esentati da questi obblighi a meno che non presentino un rischio sistemico.
Quali sono i diritti previsti dall’AI Act?
Il Regolamento prevede che i sistemi di IA, specialmente quelli considerati ad alto rischio, siano tracciabili attraverso pratiche come la conservazione e pubblicazione della documentazione - compresi i dati utilizzati per addestrare l’algoritmo - o la valutazione d’impatto sui diritti fondamentali.
L’AI Act prevede che qualsiasi persona che abbia motivo di ritenere che vi sia stata una violazione del Regolamento possa, fatti salvi ricorsi giurisdizionali, rivolgersi all’Autorità nazionale di vigilanza. Inoltre, qualsiasi persona interessata oggetto di una decisione adottata dal deployer sulla base di un output di un sistema di IA ad alto rischio, ha il diritto di ottenere spiegazioni chiare e significative sul ruolo del sistema di IA nella decisione.
Come funzionerà la governance dell’IA?
L’organizzazione della governance prevista dall’AI Act è articolata su un duplice livello: europeo e nazionale.
A livello europeo è prevista l’istituzione del Comitato Europeo per l'intelligenza artificiale che sarà composto dai rappresentanti di ciascuno Stato membro. Ne fanno inoltre parte il Garante europeo della protezione dei dati e l’AI office della Commissione (ne abbiamo parlato in LeggeZero #14). ma senza diritto di voto. A supporto del Comitato è prevista l’istituzione di un Forum consultivo, con competenze prevalentemente tecniche per fornire consulenza e competenze al Comitato e alla Commissione (art.67) e di un gruppo di esperti scientifici (art.68).
A livello nazionale ogni Stato dovrà istituire autorità competenti per l'attuazione del Regolamento (’art. 70). A tali Autorità verrà demandato il compito di vigilare sull'attuazione delle disposizione dell’AI ACT e sulla comminazione delle sanzioni.
Alcuni Stati Membri hanno già provveduto ad individuare tale Autorità o istituendone una dedicata (come la Spagna con l’AESIA) oppure affidando le competenze ad un’Autorità già esistente (come in Olanda dove è stato indicato il Garante Privacy).
Quali sono le sanzioni previste per le violazioni dell’AI Act?
Per le violazioni relative ad applicazioni di IA vietate, la sanzione può arrivare fino a 35 milioni di euro o essere pari al 7 % del fatturato mondiale totale annuo se superiore.
Per violazione degli altri obblighi invece le sanzioni possono arrivare fino a 15 milioni di euro o il 3% del fatturato mondiale annuo.
Invece, per chi fornisce informazioni inesatte la sanzione può arrivare a 7,5 milioni di euro o l'1,5% del fatturato mondiale annuo.
Quando diventeranno applicabili le previsioni dell’AI Act?
Il Regolamento entrerà in vigore il 20° giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea, divenendo pienamente applicabile a decorrere da 24 mesi dalla data di entrata in vigore (art. 113, par.1).
Numerose sono tuttavia le ipotesi di applicazione anticipata di alcune delle disposizioni del Regolamento. Ad esempio, le disposizioni generali e quelle relative ai divieti troveranno esecuzione a partire da sei mesi dall’entrata in vigore mentre quelle sui sistemi di IA per finalità generali saranno applicabili a partire dal dodicesimo mese dall’entrata in vigore.
Per facilitare una tempestiva applicazione del Regolamento, la Commissione UE ha lanciato l’iniziativa denominata AI Pact, un sistema per promuovere l’attuazione anticipata dell’AI Act, ovviamente su base volontaria.
📚 Approfondimenti
Se volete approfondire ulteriormente i contenuti del provvedimento, vi segnaliamo:
Dossier su AI Act preparato da European Parliamentary Research Service
Dossier su AI Act preparato dalla Camera dei deputati
Per ora è tutto, torniamo nel fine settimana. Se la newsletter ti è piaciuta, commenta o fai girare. Grazie!