Quando ancora l’Intelligenza Artificiale non sembrava una minaccia per l’umanità, il 21 aprile 2021, la Commissione UE gettava le basi dell’AI Act, un quadro comune normativo e giuridico voluto per tutelare, armonizzare e regolamentare l’impatto dell’IA sulla vita dei cittadini europei. E dopo l’approvazione del marzo scorso da parte del Parlamento, in queste ore per l’AI Act è arrivato anche il via libera del Consiglio UE, dando la spinta definitiva a quella che a tutti gli effetti è la prima legge al mondo mai espressa su una materia così attuale e complessa.
Le nuove regole, parte integrante della strategia digitale dell’UE, rappresentano una serie di obblighi imposti a fornitori e sviluppatori di sistemi IA basati sui diversi livelli di rischio che diventeranno obbligatori entro due anni dall’entrata in vigore, ma con esclusione dei divieti che al contrario scatteranno entro 6 mesi per i controlli sulle finalità, entro un anno per le governance ed entro 36 mesi per i sistemi considerati ad alto impatto.
I livelli di rischio partono dal grado più alto, “Inaccettabile”, che nel dettaglio riguarda i sistemi che contraddicono i valori e i principi fondamentali dell’UE come rispetto della dignità umana, della democrazia e dello stato di diritto. Il gradino successivo è il rischio “Elevato”, ovvero i casi in cui l’IA può avere un effetto significativo sui diritti fondamentali o la sicurezza delle persone, come i sistemi per la selezione e il reclutamento del personale, per l’ammissione all’istruzione, l’erogazione di servizi essenziali come la Sanità, per la sorveglianza biometrica a distanza, per le applicazioni giudiziarie e di polizia, o per la gestione della sicurezza critica delle infrastrutture. Sono invece a rischio “Limitato” i sistemi di IA che possano influenzare i diritti o le volontà degli utenti, come quelli utilizzati per generare o manipolare contenuti audiovisivi (come i deepfake), o per fornire suggerimenti personalizzati (come le chatbot): in base alle nuove regole, i cittadini hanno il diritto a sapere se stanno parlando con un bot (invece di un umano) e se l’immagine è stata creata o artefatta dall’IA. Per arrivare al gradino più basso, quello del rischio “Minimo o nullo”, step in cui rientrano i sistemi di IA privi di impatto diretto sui diritti fondamentali o la sicurezza, come ad esempio i sistemi utilizzati per scopi ludici o puramente estetici.
Sono esclusi dalle norme i sistemi utilizzati per scopi militari e di difesa, nonché di ricerca, anche se in linea di principio le forze dell’ordine non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste. L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate precise garanzie, ad esempio se l'uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa. L’uso ammesso include la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico, ma l’utilizzo di questi sistemi a posteriori è considerato pericoloso: per utilizzarli, l’autorizzazione giudiziaria dovrà essere collegata ad un reato.
Le norme mettono fuori legge anche le applicazioni di IA che possano rappresentare minacce per i diritti dei cittadini, come i sistemi di categorizzazione biometrica basati su caratteristiche sensibili e l’estrapolazione di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale. Vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, i sistemi di credito sociale, le pratiche di polizia predittiva e quelli che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone.
Tecnicamente, la norma segue un approccio che si basa sul rischio: più è alto l’impatto che può avere sulla società, più stringenti diventeranno le regole. Questo con un duplice obiettivo: da una parte promuovere e lo sviluppo e l’adozione di sistemi di IA sicuri e affidabili, dall’altro garantire il rispetto dei diritti fondamentali dei cittadini UE e incentivare gli investimenti e l’innovazione nel Vecchio Continente.
A garanzia dell’applicazione delle norme, il regolamento prevede l’istituzione di diversi organi, fra cui un ufficio IA interno alla Commissione che avrà il compito di far rispettare le regole, con l’aggiunta di un panel scientifico di esperti indipendenti a supporto delle attività di contrasto, un comitato con rappresentanti degli Stati membri per consigliare e assistere la Commissione e ancora un forum consultivo che assicuri le necessarie competenze tecniche. Il prossimo summit sull’IA è in programma il prossimo anno in Francia.
Le sanzioni per le violazioni sono fissate in percentuali del fatturato annuo dell'azienda colpevole nell'anno finanziario precedente o in un importo predeterminato, a seconda di quale sia il più elevato.
“L’AI Act contribuirà all'autonomia strategica dell'UE perché poter contare su una legislazione che è una novità mondiale come l'AI Act, può essere un vantaggio competitivo ed è essenziale per la nostra sicurezza economica - ha commentato la vicepremier belga Petra de Sutter – è fondamentale sfruttare il potenziale del mercato unico e dotarsi di un approccio coerente e omogeneo per sostenere le società nel loro percorso di adeguamento alle regole digitali”.
© FISCAL FOCUS Informati S.r.l. – Riproduzione Riservata