Cosa farà l’Ai Act europeo contro l’intelligenza artificiale ad alto rischio
L’AI Act è una normativa corposa e molto impattante, al punto che alcuni stati (tra cui l’Italia) avevano proposto di preferire dei Codici di Condotta. L'analisi di Laura Turini per la newsletter Appunti di Stefano Feltri.
16 Dicembre 2023 07:03
Ascolta questo articolo ora...
Cosa farà l’Ai Act europeo contro l’intelligenza artificiale ad alto rischio
00:00
Tutti ne parlano, ma ancora nessuno ha letto il testo ufficiale che sarà pubblicato a gennaio 2024. Nonostante ciò, la prima approvazione dell’AI Act europeo – AI sta per Artificial Intelligence – avvenuta lo scorso 8 dicembre 2023, è comunque un fatto che già di per sé fa notizia.
Acclamata come la prima regolamentazione al mondo sull’intelligenza artificiale, arriva invece seconda, dopo la Cina, che ha varato la sua legge la scorsa estate, entrata in vigore il 15 Agosto 2023.
È interessante un parallelo tra le due discipline, l’una proveniente dal continente più garantista e l’altra dallo stato che più al mondo sta spingendo sullo sviluppo dei sistemi AI.
SISTEMI A BASSO ED ALTO RISCHIO
Da quello che si evince dai primi comunicati, oltre che dalle bozze circolate prima dell’approvazione definitiva, la normativa europea ha un approccio basato sul rischio e distingue i sistemi a basso rischio da quelli ad alto rischio.
I primi sono quelli che non mettono a repentaglio i diritti o la sicurezza dei cittadini, quali i sistemi di raccomandazione o i filtri antispam, e non sono soggetti a obblighi specifici, anche se i loro produttori possono aderire a codici di condotta su base volontaria.
Quelli ad alto rischio sono invece quelli che hanno un impatto rilevante sulla vita di ognuno di noi, ad esempio i dispositivi medici, i sistemi per determinare l’accesso alle scuole o la selezione del personale, i sistemi utilizzati nella gestione della giustizia, nel controllo delle frontiere, l’identificazione biometrica.
A questi si aggiungono anche i sistemi che regolano infrastrutture critiche come la fornitura di acqua, gas e energia elettrica.
I sistemi ad alto rischio dovranno rispettare criteri rigorosi, prevedere la mitigazione del rischio, un’alta qualità dei dati di addestramento e saranno sottoposti a una serie di controlli sulle attività svolte e sulle misure di sicurezza adottate. Dovrà inoltre essere prevista una supervisione da parte dell’uomo.
L’AI A RISCHIO INACCETTABILE
A queste due categorie di intelligenza artificiale se ne aggiunge una terza, classificata come a rischio inaccettabile.
L’AI Act prevede che alcuni sistemi di intelligenza artificiale possono rappresentare una minaccia ai diritti fondamentali delle persone e sono vietati.
Ad esempio i sistemi che manipolano il comportamento umano, certe applicazioni di polizia predittiva o i sistemi che consentono il “social scoring” da parte di governi o aziende. A questi si aggiungono i sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e alcuni sistemi di selezione sulla base del riconoscimento biometrico.
Oltre agli obblighi specifici, l’AI Act impone un obbligo generale di trasparenza su tutto il percorso, dalla programmazione all’addestramento. Per attuarli si farà riferimento a codici di condotta sviluppati dalle imprese e ci saranno vincoli più stretti per i modelli che presentano un rischio maggiore.
Altra regola è che l’utente deve sempre essere in grado di sapere quando interagisce con un sistema di intelligenza artificiale, ad esempio attraverso un chatbot, e i contenuti generati dall’intelligenza artificiale devono essere contrassegnati in modo da essere riconoscibili dall’uomo, ma anche in un formato leggibile dalle macchine.
SANZIONI E SUPERVISIONE NELL’AI ACT
Chi violerà le norme dettate dall’AI Act subirà sanzioni pesanti, che possono raggiungere i trentacinque milioni di euro, o il 7 per cento del fatturato, per le applicazioni vietate e i quindici milioni, o il 3 per cento del fatturato in caso di violazione degli obblighi imposti dalla legge. Le piccole e medie imprese saranno soggette a sanzioni più basse.
A supervisionare il rispetto della legge sarà un nuovo organo, l’European AI Office, che opererà insieme alle autorità di sorveglianza delle varie nazioni dell’Unione Europea.
Dopo la pubblicazione dell’AI Act, prevista a Gennaio 2024, ci sarà un periodo transitorio, da sei mesi a due anni a seconda dei casi, per l’introduzione di tutti i divieti. Nel frattempo la Commissione intende riunire gli sviluppatori di intelligenza artificiale per siglare un AI Pact, un accordo volontario che impegni le imprese a iniziare fin da subito a progettare sistemi conformi alle previsioni del regolamento.
L’AI Act è una normativa corposa e molto impattante, al punto che alcuni stati, tra cui l’Italia, avevano proposto di preferire dei Codici di Condotta, nel timore che una regolamentazione ferrea potesse disincentivare lo sviluppo di questa tecnologia tanto importante per lo sviluppo industriale. Come dicevamo, non è però la prima ad essere stata varata.
INTANTO, IN CINA
In Cina, il 15 agosto 2023, sono entrate in vigore le “Misure provvisorie per la gestione dei servizi di intelligenza artificiale generativa” pubblicate dalla Cyberspace Administration of China, l’ente competente a valutare i contenuti su Internet.
A differenza dell’AI Act, che si occupa dell’intelligenza artificiale in senso lato, la legge cinese interviene soltanto sull’intelligenza artificiale generativa, ovvero quella più evoluta in grado di generare testo o immagini sulla base di istruzioni scritte, dette prompt, lasciando prive di regolamentazione le altre.
Inoltre la normativa di cinese si spinge a tutelare in modo più forte il diritto d’autore, prevedendo espressamente che i sistemi AI devono
“Rispettare i diritti e gli interessi legali degli altri; prevenire danni alla salute fisica e mentale degli altri, la violazione dei loro diritti di immagine, della loro reputazione e privacy, così come la violazione dei diritti di proprietà intellettuale. È vietato ottenere, divulgare o utilizzare illegalmente informazioni personali e private, così come i segreti commerciali”.
L’AI Act, invece, si limita a prevedere un obbligo di trasparenza sull’origine dei dati.
Non stupisce, visto che la Cina è uno dei primi stati a riconoscere il diritto d’autore sulle opere create dall’intelligenza artificiale, se pure ad alcune condizioni, e questo sarà un altro argomento di cui ci occuperemo presto su queste pagine.
Restando alla legge, essa prevede che l’intelligenza artificiale, in Cina, deve assolutamente essere in linea con il socialismo cinese e che i sistemi AI devono conformarsi ai valori fondamentali del socialismo, non devono generare incitamento a sovvertire il potere statale, rovesciare il sistema socialista, mettere in pericolo la sicurezza e gli interessi nazionali, diffondere contenuti vietati dalla legge come la discriminazione etnica, la violenza, l’oscenità e informazioni false dannose.
L’articolo 5 prevede che chi usa sistemi di intelligenza artificiale per fornire servizi è responsabile dei contenuti generati, stabilendo quindi una responsabilità piena in capo all’utilizzatore anche per violazioni di diritto d’autore e della privacy.
I fornitori di sistemi di intelligenza artificiale, invece, ai sensi dell’articolo 7, sono responsabili per i metodi e i dati utilizzati in fase di addestramento e di ottimizzazione del sistema.
È inoltre previsto che tutti i sistemi AI, prima di essere immessi sul mercato, devono presentare un rapporto dettagliato sulle misure di sicurezza adottate alla Cyberspace Administration of China.
In sostanza, anche la normativa cinese si preoccupa di controllare lo sviluppo dei sistemi di intelligenza artificiale per evitare che si creino pericolose derive e lo fa sulla base dei fondamenti del proprio stato.
Le regole imposte, però, da un lato, si riferiscono solo all’AI generativa e, dall’altro, sembrano più snelle e mirate rispetto a quelle europee, considerando anche che sono racchiuse in solo cinque pagine di testo.
Il rischio, quindi, è che la regolamentazione europea possa tradursi in una burocratizzazione del processo, come già è accaduto per il GDPR, con un appesantimento delle procedure aziendali che non sempre corrispondono alla sostanza dei comportamenti.
Digital Europe, la più importante associazione che rappresenta le industrie digitali in Europa, ha calcolato che per un’impresa di cinquanta dipendenti, adeguarsi alle regole dell’AI Act potrebbe comportare un costo di oltre 300.000 euro.
Una spesa giustificata se investita in misure di sicurezza, sprecata se assorbita da mere formalità.
(Estratto dalla newsletter Appunti di Stefano Feltri)