AI Act: cosa prevede e come si stanno muovendo le aziende

AI Act: approvata la Legge sull’Intelligenza Artificiale

L’AI Act (Artificial Intelligence Act) è stato approvato in via definitiva il 21 maggio 2024 da parte del Consiglio dell’Unione Europea, dopo anni di trattative – giunte nel pieno con l’arrivo dell’AI Generativa – e dopo l’approvazione da parte del Parlamento Europeo.
Nei prossimi giorni, il Regolamento Europeo sull’Intelligenza Artificiale sarà pubblicato nella Gazzetta Ufficiale dell’UE ed entrerà in vigore venti giorni dopo la pubblicazione. Sarà poi applicabile dopo due anni, ad eccezione delle disposizioni relative ai sistemi AI (Artificial Intelligence) vietati (dopo soltanto sei mesi) e ai requisiti relativi ai General Purpose AI Systems (dopo un anno). La nuova legge mira a promuovere lo sviluppo e l’adozione di sistemi IA sicuri e affidabili nel mercato unico dell’UE, garantendo il rispetto dei diritti fondamentali dei cittadini e stimolando al contempo investimenti e innovazione in tutti i Paesi Membri.
L’Unione Europea prova, dunque, a ritagliarsi un ruolo di leader nella cosiddetta Trustworthy AI, proponendo a sé stessa e al mondo intero una regolamentazione che possa – perlomeno nei suoi princìpi fondamentali – porre le basi per un’adozione governata e consapevole della tecnologia a livello globale.

Cosa prevede l’AI Act?

L’AI Act, come è ormai abbastanza noto, sceglie un approccio basato sul rischio, simile a quanto già visto con normative precedenti relative al trattamento dei dati personali. “L’Artificial Intelligence Act è basato su quell’approccio “risk-Based” che ritroviamo anche in altre normative (prima tra tutte, il GDPR): maggiore è il rischio insito nell’utilizzo di un determinato sistema intelligenza artificiale, maggiori saranno le responsabilità di chi sviluppa e usa quel sistema, sino a giungere a un divieto di utilizzo” – così Anna Italiano, avvocato e senior Advisor dell’Osservatorio Artificial Intelligence, riassume il principio guida dell’IA Act. In base al livello di rischio della singola applicazione, varieranno i requisiti e gli obblighi che l’azienda deve sostenere per accedere al mercato UE.
L’AI Act, prima di tutto, impone un divieto generale e radicale su determinati usi dell’Intelligenza Artificiale ritenuti inaccettabili a causa dei rischi estremamente elevati. Tra questi esempi, la manipolazione comportamentale e cognitiva, lo scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, il social scoring, la categorizzazione biometrica per dedurne dati sensibili e alcune applicazioni di polizia predittiva, che utilizzano l’AI per prevedere le probabilità di commissione di reati.
I sistemi di Intelligenza Artificiale (AI) ad alto rischio, come definiti all’articolo 6 dell’AI Act, sono quelli che possono rappresentare significativi rischi per la salute e la sicurezza, i diritti fondamentali delle persone, la democrazia, lo Stato di diritto e le libertà individuali. Questi includono, per esempio, i sistemi di AI utilizzati come componenti di sicurezza di prodotti o quelli che costituiscono prodotti a sé stanti. Inoltre, rientrano in questa categoria i sistemi impiegati in settori critici come l’istruzione, la sanità, la selezione del personale, la sicurezza, l’amministrazione della giustizia e la pubblica amministrazione, specialmente quando possono avere un impatto sulla salute, sulla libertà e sui diritti fondamentali dei cittadini.
L’AI Act impone diversi obblighi ai sistemi di Artificial Intelligence ad alto rischio per garantire il loro accesso al mercato dell’UE. Tra questi, l’adozione di sistemi di gestione dei rischi, l’uso di set di dati di alta qualità per alimentare il sistema, e la redazione di documentazione tecnica che contenga tutte le informazioni necessarie alle autorità per valutare la conformità dei sistemi di AI ai requisiti.
Infine, l’Artificial Intelligence Act prevede solo obblighi di trasparenza per i sistemi di AI a rischio limitato – come, ad esempio, sistemi che interagiscono direttamente con le persone come gli agenti conversazionali o sistemi che generano o manipolano contenuti –. Gli utenti devono essere informati quando interagiscono con un sistema di Intelligenza Artificiale o quando un contenuto è stato generato da un’IA, al fine di consentire loro di prendere decisioni informate e interagire con la tecnologia in modo consapevole.

L’AI Act potrà rallentare l’adozione dell’Intelligenza Artificiale?

C’è una crescente preoccupazione che l’AI Act possa appesantire i progetti di Intelligenza Artificiale, aumentandone i costi e dunque ritardando l’adozione dell’AI in Europa. Addirittura, alcune aziende straniere potrebbero rinunciare al mercato europeo per evitare i costi di compliance. Tuttavia, è importante considerare che il mercato europeo, tra i più grandi al mondo, ha il diritto e il dovere di proporre linee guida che non solo garantiscano un’adozione sicura dell’AI, ma che ne promuovano anche un utilizzo positivo. Questo include rendere l’Intelligenza Artificiale affidabile, spiegabile e utilizzata per il bene dell’umanità. Per raggiungere questi obiettivi, è essenziale che all’AI Act si affianchino investimenti economici significativi, strategie industriali degli Stati Europei (così com’è il caso della Francia, che è sicuramente in una posizione di leadership in Europa per quanto riguarda l’AI con la sua Mistral AI) e normative che contrastino i possibili abusi di posizione dominanti delle Big Tech. La strategia sui Dati e sull’AI dell’Unione Europea – che si compone di altri regolamenti (il Digital Services Act, il Data Governance Act e il Data Act in particolare) va sicuramente in questa direzione. Solo così si potrà assicurare uno sviluppo equilibrato e sostenibile dell’Intelligenza Artificiale in Europa e si riuscirà ad accrescere la fiducia del cittadino – e consumatore – europeo verso questa grande innovazione tecnologica.

AI Act: solo poche aziende italiane si sono già mosse

6 grandi aziende su 10 hanno almeno avviato una sperimentazione in ambito AI – questo il dato che emerge dalla Ricerca 2023 dell’Osservatorio Artificial Intelligence. Tuttavia, una delle dimensioni che dimostrano la sostanziale immaturità delle organizzazioni sul tema è proprio l’approccio etico. Tra le aziende che hanno almeno un progetto attivo, solo l’8% dichiara di aver sviluppato una strategia per gestire i rischi etici. Rischi etici che, ricordiamolo, sono di fatto strettamente interconnessi a quanto prescrive la normativa e dunque si tradurranno a breve, almeno in parte, in veri e propri obblighi di compliance per le organizzazioni. Nonostante vi sia questa consapevolezza, sono dunque una ristretta minoranza le realtà che hanno “anticipato i tempi”, muovendosi in modo proattivo rispetto alle scelte del legislatore. Si tratta per lo più di grandissime aziende che hanno numerose progettualità basate sugli algoritmi di AI in corso.