Di Paola Consonni e Giuseppe Aquino Che cosa è l’ETA Dal 2 aprile 2025 i…
AI ACT, cosa prevede la nuova legge dell’Unione europea sull’Intelligenza Artificiale
L’AI Act, la nuova legge approvata dal Parlamento europeo, è il primo quadro giuridico in assoluto relativo all’IA: affronta i rischi legati all’Intelligenza Artificiale e posiziona l’Europa in un ruolo di primo piano a livello globale.
La legge sull’IA mira a fornire agli sviluppatori e agli utilizzatori dell’IA requisiti e obblighi chiari riguardo gli usi specifici dell’Intelligenza Artificiale. Allo stesso tempo, il regolamento cerca di ridurre gli oneri amministrativi e finanziari per le imprese, in particolare per quelle piccole e medie (PMI).
La legge sull’IA fa parte di un più ampio pacchetto di misure politiche a sostegno dello sviluppo di un’IA affidabile, che comprende anche il Pacchetto Innovazione IA e il Piano coordinato sull’IA. Queste misure avranno l’obiettivo di garantire la sicurezza e i diritti fondamentali delle persone e delle imprese in tema di IA. Inoltre, rafforzeranno l’adozione, gli investimenti e l’innovazione nell’IA in tutta l’Unione europea.
La legge sull’IA è il primo quadro giuridico completo sul tema a livello mondiale. La finalità delle nuove norme è promuovere un’IA affidabile in Europa e altrove, garantendo che i sistemi di Intelligenza Artificiale rispettino i diritti fondamentali, la sicurezza e i principi etici, contrastando i rischi di modelli di IA molto potenti e d’impatto.
Perché abbiamo bisogno di regole sull’IA?
La legge sull’IA garantisce che i cittadini della UE possano fidarsi di ciò che l’IA può offrire. Mentre la maggior parte dei sistemi di IA presenta rischi limitati o nulli e può contribuire a risolvere molte sfide sociali, alcuni sistemi di Intelligenza Artificiale creano rischi che devono essere prevenuti e contrastati.
Ad esempio, spesso non è possibile scoprire perché un sistema di IA abbia preso una decisione (sempre che la si lasci prendere alla AI e non si metta l’human in the loop) o una previsione e abbia intrapreso una determinata azione. Può quindi diventare difficile valutare se qualcuno è stato ingiustamente svantaggiato, ad esempio in una decisione di assunzione o in una domanda di ammissione a un programma di benefici pubblici.
Sebbene la legislazione esistente fornisca una certa protezione, questa è insufficiente per affrontare le sfide specifiche che i sistemi di Intelligenza Artificiale possono comportare.
Le norme previste:
- includono analisi dei rischi creati specificamente dalle applicazioni di IA;
- vietano le pratiche di IA che presentano rischi inaccettabili;
- determinano un elenco di applicazioni ad alto rischio;
- stabiliscono requisiti chiari per i sistemi di IA in merito alle applicazioni ad alto rischio;
- definiscono obblighi specifici per i distributori e i fornitori di applicazioni di IA ad alto rischio;
- richiedono una valutazione di conformità prima che un determinato sistema di IA sia attivato o immesso sul mercato;
- impongono il rispetto della normativa dopo che un determinato sistema di IA è stato immesso sul mercato;
- istituiscono una struttura di governance a livello europeo e nazionale.
Un approccio basato sul rischio
Il quadro normativo definisce 4 livelli di rischio per i sistemi di intelligenza artificiale:
Tutti i sistemi di IA considerati una chiara minaccia alla sicurezza, ai mezzi di sussistenza e ai diritti delle persone saranno vietati, dal social scoring dei governi ai giocattoli che utilizzano un’assistenza vocale che incoraggia comportamenti pericolosi.
Alto rischio
I sistemi di IA identificati come ad alto rischio includono la tecnologia di IA utilizzata in:
- infrastrutture critiche (ad esempio i trasporti), che potrebbero mettere a rischio la vita e la salute dei cittadini;
- formazione scolastica o professionale, che può determinare l’accesso all’istruzione e il percorso professionale della vita di una persona (ad esempio, la valutazione degli esami);
- componenti di sicurezza dei prodotti (ad esempio, applicazione dell’intelligenza artificiale nella chirurgia assistita da robot);
- l’occupazione, la gestione dei lavoratori e l’accesso al lavoro autonomo (ad esempio, il software di selezione dei CV per le procedure di assunzione);
- servizi pubblici e privati essenziali (ad esempio, il credit scoring che nega ai cittadini la possibilità di ottenere un prestito);
- applicazione della legge che può interferire con i diritti fondamentali delle persone (ad esempio, valutazione dell’affidabilità delle prove);
- gestione dell’immigrazione, dell’asilo e del controllo delle frontiere (ad esempio, l’esame automatizzato delle domande di visto);
- amministrazione della giustizia e dei processi democratici (ad esempio, soluzioni di IA per la ricerca di sentenze).
- I sistemi di IA ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato:
I sistemi di intelligenza artificiale ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato:
- alta qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi e i risultati discriminatori;
- registrazione delle attività per garantire la tracciabilità dei risultati;
- documentazione dettagliata che fornisca tutte le informazioni necessarie sul sistema e sul suo scopo affinché le autorità possano valutarne la conformità;
- informazioni chiare e adeguate all’implementatore;
- adeguate misure di supervisione umana per ridurre al minimo i rischi;
- alto livello di robustezza, sicurezza e accuratezza.
Tutti i sistemi di identificazione biometrica a distanza sono considerati ad alto rischio e soggetti a requisiti rigorosi. L’uso dell’identificazione biometrica a distanza in spazi accessibili al pubblico a fini di applicazione della legge è, in linea di principio, vietato.
Sono previste eccezioni strettamente definite e regolamentate, come ad esempio l’utilizzo di tecnologie per ricercare un bambino scomparso, per prevenire una minaccia terroristica specifica e imminente o per individuare, localizzare, identificare o perseguire un autore o un sospetto di un grave reato.
Questi usi sono soggetti all’autorizzazione di un organo giudiziario o di un altro organo indipendente e a limiti appropriati in termini di tempo, portata geografica e banche dati consultate.
Rischio limitato
Il rischio limitato si riferisce ai rischi associati alla mancanza di trasparenza nell’uso dell’IA. La legge sull’IA introduce specifici obblighi di trasparenza per garantire che gli esseri umani siano informati quando necessario. Ad esempio, quando si utilizzano sistemi di IA come i chatbot, gli esseri umani devono essere informati del fatto che stanno interagendo con una macchina, in modo da poter decidere con cognizione di causa se continuare o allontanarsi. I fornitori dovranno inoltre garantire che i contenuti generati dall’IA siano identificabili. Inoltre, i testi generati dall’IA e pubblicati allo scopo di informare il pubblico su questioni di interesse pubblico devono essere etichettati come generati artificialmente. Questo vale anche per i contenuti audio e video che costituiscono falsi profondi.
Rischio minimo o nullo
La legge sull’IA consente il libero utilizzo dell’IA a rischio minimo. Ciò include applicazioni come i videogiochi abilitati all’IA o i filtri antispam. La grande maggioranza dei sistemi di IA attualmente utilizzati nell’UE rientra in questa categoria.
Come funziona per i fornitori di sistemi di IA ad alto rischio?
Nle momento in cui un sistema di IA sarà sul mercato, le autorità saranno responsabili della sorveglianza, i distributori assicureranno la supervisione e il monitoraggio umano e i fornitori disporranno di un sistema di monitoraggio post-vendita. I fornitori e i distributori segnaleranno anche gli incidenti gravi e i malfunzionamenti.
Una soluzione per l’uso affidabile di modelli di IA di grandi dimensioni
Sempre più spesso i modelli di IA di uso generale (non inteso come AGI ma come sistemi di AI che possono fare più tipi di compiti) diventano componenti dei sistemi di IA. Questi modelli possono eseguire e adattare innumerevoli compiti diversi. Se da un lato i modelli di IA generici possono consentire soluzioni di IA migliori e più potenti, dall’altro è difficile controllarne tutte le capacità.
Per questo motivo, l’AI Act introduce obblighi di trasparenza per tutti i modelli di IA generici per consentire una migliore comprensione di questi modelli e obblighi aggiuntivi di gestione del rischio per i modelli molto capaci e di impatto. Questi obblighi aggiuntivi includono l’autovalutazione e la mitigazione dei rischi sistemici, la segnalazione di incidenti gravi, la conduzione di test e valutazioni dei modelli, nonché i requisiti di cybersecurity.
A chi si applica l’AI ACT?
Il Regolamento sull’Intelligenza Artificiale (AI Act) si estende oltre i fornitori che introducono sul mercato o mettono in funzione sistemi di IA nell’Unione Europea, includendo anche quelli al di fuori dell’UE, quando gli output generati da tali sistemi vengono impiegati in Europa. Inoltre, si applica agli utilizzatori dei sistemi di intelligenza artificiale, che siano entità pubbliche o private. Infine, l’AI Act riguarda anche gli importatori, i distributori e tutte le parti coinvolte nell’utilizzo di tali sistemi.
Conclusioni
L’AI ACT è uscito da poche ore e la sua analisi richiederà tempo, vista la mole (458 pagine), del resto è un primo tentativo di governare un cambiamento che inevitabilmente pervade e pervaderà le nostre vite. Se infatti l’AI generativa è nel nostro “umano mondo” da poco tempo, l’AI filtra i contenuti che vediamo da anni nei motori di ricerca o ci consiglia cosa vedere tra le serie tv o ci aiuta con gli assistenti vocali. Si tratta solo di capire quanto e come l’AI entrerà ulteriormente nelle nostre vite, rendendo fondamentale il tema del rispetto dei diritti, sia come cittadini sia come utenti.
Per questo l’AI ACT tratta i principi etici dell’High-Level Expert Group on Artificial Intelligence, tra cui (elencati in maniera non esaustiva)
- Sorveglianza umana (art. 14);
- Accuratezza, robustezza e cybersicurezza (art. 15);
- Valutazione d’impatto sui diritti fondamentali per i sistemi di IA ad alto rischio (art. 27).