Dopo tre giorni di discussioni, Consiglio e Parlamento europeo hanno raggiunto un accordo politico sulla regolamentazione dell’intelligenza artificiale (AI Act), proposta dalla Commissione europea ad aprile 2021. Le regole verranno applicate entro due anni dall’entrata in vigore.
Classificazione in base ai rischi
L’obiettivo dell’AI Act è garantire che i sistemi di intelligenza artificiale usati in Europa siano sicuri e rispettosi dei diritti fondamentali dei cittadini. L’idea di base è regolamentare l’IA in base al livello di rischio, come evidenziato dalla Commissione europea. Maggiore è il rischio di causare danni, più stringenti sono le regole. Si tratta della prima legislazione del genere al mondo (non si applica però ai sistemi IA usati per scopi militari, difesa, ricerca e innovazione).
È vietato l’uso di sistemi IA per la classificazione biometrica sulla base di varie caratteristiche sensibili (ad esempio, razza, orientamento sessuale e religione), il riconoscimento facciale di massa da Internet o tramite videocamere di sorveglianza, il riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, il social scoring basato su comportamenti sociali o caratteristiche personali, la manipolazione del comportamento umano e lo sfruttamento delle vulnerabilità delle persone (dovute a disabilità, età, situazione economica o sociale). In questi casi, il rischio è inaccettabile.
Ci sono poi numerosi obblighi per i sistemi IA ad alto rischio (ad esempio quelli usati nelle infrastrutture critiche e nei dispositivi medici): documentazione dettagliata, valutazione di impatto, informazioni chiare, supervisione umana e alto livello di robustezza, accuratezza e sicurezza.
Per i sistemi IA ad alto rischio sono previste alcune eccezioni. È consentito l’uso dei sistemi di riconoscimento biometrico negli spazi accessibili al pubblico solo per operazioni di polizia, per specifici reati e con l’autorizzazione di un giudice. Il riconoscimento “post-remote” (immagini registrate) è possibile solo per identificare una persona condannata o sospettata. Il riconoscimento in tempo reale è possibile solo per la ricerca di vittime, prevenzione di atti terroristici e localizzazione di persone sospettate di aver commesso specifici crimini.
I sistemi IA a rischio minimo sono soggetti solo all’obbligo di trasparenza. Gli utenti devono ad esempio essere informati che i contenuti sono stati ottenuti con l’intelligenza artificiale, come quelli mostrati dagli algoritmi dei suggerimenti.
Specifiche regole sono previste per i sistemi di intelligenza artificiale generativa. Tutti dovranno rispettare l’obbligo della trasparenza, quindi le aziende dovranno fornire la documentazione tecnica, rispettare la normativa UE sul diritto d’autore e indicare i contenuti usati per l’addestramento. Italia, Francia e Germania avevano proposto un’autoregolamentazione tramite codici di condotta.
Obblighi aggiuntivi sono previsti per i sistemi di IA generativa più potenti (ad alto impatto) che potrebbero comportare rischi sistemici: valutazione dei modelli, mitigazione dei rischi, monitoraggio degli incidenti gravi. Un AI Office della Commissione europea verificherà il rispetto delle regole con l’aiuto di esperti indipendenti.
Il mancato rispetto dell’AI Act prevede sanzioni da 35 milioni di euro o pari al 7% dell’entrate globali annuali per l’uso di sistemi vietati, 15 milioni di euro o pari al 3% per le violazioni degli obblighi e 7,5 milioni di euro o 1,5% per la comunicazione di informazioni errate.
L’AI Act dovrà ora essere approvato in aula da Consiglio e Parlamento europeo. Entrerà in vigore il 20esimo giorno dopo la pubblicazione sulla Gazzetta Ufficiale. L’applicazione avverrà gradualmente entro i successivi due anni: 6 mesi per i sistemi IA vietati, 12 mesi per i sistemi IA ad alto rischio e i sistemi di IA generativa più potenti, due anni per tutti gli altri.
Fonte: Luca Colantuoni per Punto-informatico.it