AI Act: Il Testo Approvato Dal Parlamento Europeo

Il testo dell'AI Act, in italiano Regolamento Europeo sulla intelligenza artificiale, è stato approvato dal Parlamento Europeo oggi, 13 Marzo 2024. Questo articolo illustra la disciplina prevista dal testo dell'AI Act approvato in precedenza dal Parlamento Europeo, il 14 Giugno del 2023, dunque prima delle successive negoziazioni che hanno portato alla approvazione del testo di oggi. Questo articolo verrà aggiornato quando il testo definitivo dell'AI Act verrà pubblicato sulla Gazzetta Ufficiale dell'Unione Europea. Di seguito riportiamo i link ai documenti ad oggi disponibili.


Aggiornamenti - 13 Marzo 2024

Il testo dell'AI Act approvato dal Parlamento UE il 13 Marzo

Il Parlamento Europeo approva la legge sull'intelligenza artificiale (comunicato stampa)


Questo articolo verrà aggiornato quando il testo finale dell'AI Act verrà pubblicato sulla Gazzetta Ufficiale dell'Unione Europea



Quali sono gli obiettivi dell'AI Act?

Gli obiettivi dell'AI Act sono i seguenti:

  1. sviluppare un quadro normativo uniforme che favorisca il buon funzionamento del mercato unico digitale e lo sviluppo di tecnologie e prodotti basati sull'intelligenza artificiale;
  2. garantire la sicurezza e la conformità dei sistemi di intelligenza artificiale immessi sul mercato con la normativa europea in materia di diritti fondamentali;
  3. predisporre una governance efficace che garantisca l'applicazione della normativa esistente in materia di diritti fondamentali e sicurezza ai sistemi di intelligenza artificiale.

Per conseguire questi risultati è necessaria una normativa europea sull'intelligenza artificiale, evitando la frammentazione che potrebbe derivare da iniziative adottate singolarmente da ogni Stato membro. A tal proposito si è dunque scelto di adottare lo strumento del Regolamento: una volta approvato, un Regolamento Europeo è direttamente applicabile nei sistemi legali degli Stati membri e non necessita di atti di recepimento, come invece accade con le Direttive.

AI Act e rapporto con la normativa esistente

La normativa introdotta con il Regolamento Europeo sull'intelligenza artificiale avrà un impatto anche su settori già oggetto di regolamentazione Comunitaria: la proposta di Regolamento intende conservare ed integrare le fonti normative preesistenti con disposizioni dedicate alle nuove problematiche poste dall'intelligenza artificiale. Questo è il caso ad esempio delle normative in materia di tutela dei dati personali, protezione dei consumatori, parità di genere e non discriminazione.

Un altro caso in cui bisognerà armonizzare le disposizioni del Regolamento con la preesistente normativa europea è quello dei sistemi di intelligenza artificiale ad alto rischio che sono componenti di sicurezza dei prodotti...la presente proposta sarà integrata nella normativa settoriale vigente in materia di sicurezza al fine di assicurare la coerenza, evitare duplicazioni,e ridurre al minimo gli oneri aggiuntivi. Così dispone la relazione introduttiva alla proposta di Regolamento.

Approccio basato sul rischio

Il Regolamento prevede obblighi e divieti in considerazione del rischio derivante dall'uso dell'intelligenza artificiale per determinati scopi; vengono individuati tre livelli di rischio:

  1. inaccettabile;
  2. alto rischio;
  3. rischio minimo.

Le applicazioni proibite dell'intelligenza artificiale

Le applicazioni proibite dell'intelligenza artificiale secondo il regolamento UE AI Act sono quelle che comportano un rischio ritenuto inaccettabile o che comunque sono in contrasto con i diritti fondamentali tutelati dal Diritto dell'Unione Europea.

Il Regolamento proibisce le applicazioni dell'intelligenza artificiale per i seguenti scopi:

  • manipolare le persone in maniera da provocare, o rischiare di provocare, danni fisici o psicologici, alla persona vittima di manipolazione o ad altri;
  • sfruttare le vulnerabilità delle persone, dovute ad età o disabilità, al fine di alternarne il comportamento producendo o rendendo possibile un danno fisico o psicologico per queste stesse persone o altri.
  • classificare le persone ed assegnarle a categorie sulla base di caratteristiche sensibili quali il genere e l'identità di genere, la razza, l'origine etnica o comunque qualsiasi altro motivo per il quale è vietata la discriminazione secondo l'articolo 21 della Carta dei diritti fondamentali dell'Unione Europea o dell'articolo 9 del GDPR. Così dispone il considerando 16 bis, introdotto dall'emendamento 39 in occasione del voto del Parlamento Europeo del 14 Giugno.
  • social scoring: è vietato l'uso dell'intelligenza artificiale per analizzare il comportamento delle persone al fine di attribuire un punteggio da cui far dipendere trattamenti punitivi, ingiustificati o sproporzionati rispetto ai comportamenti tenuti.
  • identificazione biometrica remota; questa è consentita solo se avviene in tempo reale per le seguenti finalità:
    1. la ricerca mirata di potenziali vittime specifiche di reato;
    2. la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche o di un attacco terroristico;
    3. identificare e perseguire l'autore di un reato che consente il mandato d'arresto europeo ai sensi dell'articolo 2 paragrafo 2 della decisione quadro del Consiglio 2002/584/GAI del 13 Giugno 2002.

Intelligenza artificiale ed identificazione biometrica remota

Il considerando 33 giustifica l'inclusione dei sistemi di identificazione biometrica remota tra quelli ad alto rischio (per le applicazioni consentite) in ragione del potenziale discriminatorio di eventuali inesattezze di carattere tecnico.
La definizione di sistema di identificazione biometrica remota è fornita dal considerando n° 8 della proposta di Regolamento come:

sistema di IA destinato all'identificazione a distanza di persone fisiche mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, e senza sapere in anticipo se la persona interessata sarà presente e può essere identificata, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici utilizzati.

considerando n° 8 - AI Act

Il Regolamento europeo sull'intellingenza artificiale traccia una distinzione tra:

Identificazione biometrica remota "in tempo reale"

il rilevamento dei dati biometrici, il confronto e l'identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi. In tali casi si ritiene che l'identificazione istantanea non presenti particolari problemi quanto al rispetto della disciplina posta dal regolamento, per quanto venga ammessa nei casi limitati che abbiamo appena visto.

Identificazione biometrica remota "a posteriori"

Diverso è il caso in cui la raccolta dei dati biometrici e l'uso degli stessi per l'identificazione di una persona avvenga in momenti diversi: in tal caso infatti i dati biometrici sono stati già raccolti prima di essere utilizzati in relazione alle persone fisiche interessate.

L'identificazione biometrica remota a posteriori era inizialmente vietata; nella versione attuale della proposta di regolamento, approvata dal Parlamento Europeo il 14 Giugno, è ora ammessa nella misura strettamente necessaria a:

  1. perseguire gravi reati
  2. che sono stati già commessi
  3. con la preventiva autorizzazione di un giudice.

Così dispone l'emendamento 41 al considerando 18.

Sistemi di intelligenza artificiale ad alto rischio

Il titolo III dell'AI Act individua applicazioni dell'intelligenza artificiale che comportano un alto rischio per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche. In tali casi, i sistemi di intelligenza artificiale possono essere immessi sul mercato solo dopo:

  • una valutazione che attesti la conformità a dei requisiti minimi obbligatori;
  • aver registrato l'applicazione ad alto rischio in una banca dati pubblica istituita a livello europeo e gestita dalla Commissione. La registrazione consentirebbe alle autorità competenti di esercitare un controllo sui sistemi ad alto rischio, valutando la loro conformità ai requisiti per essi richiesti.

Per quanto riguarda i sistemi di intelligenza artificiale ad alto rischio che sono componenti di sicurezza di prodotti la valutazione di conformità verrà effettuata da terzi (e non direttamente dal fornitore) secondo la normativa vigente in materia di sicurezza dei prodotti. Come abbiamo accennato in precedenza, si tratterà di raccordare le normative esistenti, in questo caso quella in materia di sicurezza dei prodotti, con le disposizioni introdotte dal regolamento sull'intelligenza artificiale.

Quali sono i sistemi di intelligenza artificiale ad alto rischio?

I sistemi di intelligenza artificiale ad alto rischio sono individuati dall'articolo 6 del Regolamento: Regole di classificazione per i sistemi di IA ad alto rischio. Si tratta di:

  • sistemi destinati ad essere utilizzati come componenti di sicurezza di prodotti che richiedono una valutazione di conformità per l'immissione sul mercato secondo le fonti normative di armonizzazione citate dall'allegato II al regolamento; lo stesso ove sia il sistema di AI ad essere il prodotto che necessita della valutazione di conformità per essere immesso sul mercato.
  • i sistemi impiegati per le finalità elencate dall'allegato III al regolamento.

La Commissione potrà aggiornare l'elenco dei sistemi ad alto rischio ed aggiungerne altri sulla base delle necessità che dovessero emergere in ragione di nuovi usi e applicazioni dell'intelligenza artificiale.

Requisiti per sistemi di intelligenza artificiale ad alto rischio

Il primo dei requisiti previsti per i sistemi di intelligenza artificiale ad alto rischio prevede l'elaborazione di un sistema di gestione dei rischi che:

  • identificazione e analisi dei rischi noti e prevedibili associati a ciascun sistema di IA ad alto rischio
  • valutazione dei rischi che possono derivare da un uso normale del sistema e anche da un uso improprio ragionevolmente prevedibile;
  • valutazione dei rischi emersi dall'analisi successiva alla immissione del sistema di IA sul mercato;
  • identifica appropriate misure di gestione dei rischi in conformità con le modalità e i principi esposti dall'articolo 9.

Gli altri requisiti minimi per i sistemi di intelligenza artificiale sono definiti dagli articoli dal 10 al 15 in relazione a:

  1. Dati e governance dei dati
  2. Documentazione tecnica
  3. Conservazione delle registrazioni
  4. Trasparenza e fornitura di informazioni agli utenti
  5. Sorveglianza umana
  6. Accuratezza, robustezza e cibersicurezza.

Obblighi per i fornitori di sistemi di intelligenza artificiale ad alto rischio

Gli obblighi per i fornitori di sistemi di intelligenza artificiale ad alto rischio sono elencati dall'articolo 16 e disciplinati nel dettaglio dagli articoli dal 17 al 30. Il fornitore deve:

  • garantire la conformità ai requisiti previsti per i sistemi ad alto rischio;
  • adottare un sistema di gestione della qualità che elenchi le politiche e le procedure seguite per assicurare che il sistema di intelligenza artificiale sia conforme al regolamento;
  • redigere la documentazione tecnica: un documento che fornisce gli elementi tecnici che consentono alle autorità di effettuare una valutazione sulla conformità del sistema di intelligenza artificiale alle disposizioni del regolamento, da produrre necessariamente prima della immissione del prodotto sul mercato.
  • conservare i log generati automaticamente dal sistema, se questi sono nelle disponibilità del fornitore;
  • sottoporre il sistema alla procedura di valutazione della conformità prevista per i sistemi ad alto rischio: questa è disciplinata nel dettaglio dal Capo 5 del titolo III del regolamento, dagli articoli 40 al 51.
  • registrare il sistema nella banca dati dell'Unione Europea sui sistemi ad alto rischio;
  • apportare la modifiche necessarie se a seguito della procedura di valutazione il sistema dovesse essere ritenuto non conforme;
  • apporre al sistema ad alto rischio, giudicato conforme, la marcatura CE;
  • su richiesta di una autorità nazionale competente, il fornitore deve dimostrare la conformità ai requisiti previsti per i sistemi ad alto rischio.

Obblighi informativi per i fornitori

Tra gli obblighi a carico dei fornitori di sistemi di IA ad alto rischio ve ne sono alcuni di carattere informativo, finalizzati a garantire la trasparenza dei sistemi immessi sul mercato e rendere conto della loro conformità ai requisiti per essi richiesti. Tra tali obblighi informativi vi è quello della registrazione presso la banca dati dell'Unione Europea cui abbiamo accennato: le informazioni fornite in sede di registrazione vanno ad alimentare la banca dati, istituita con lo scopo di garantire la trasparenza dei sistemi di intelligenza artificiale ad alto rischio, consentendo lo scrutinio pubblico su questi e la valutazione circa la loro conformità.

I fornitori dovranno poi comunicare tempestivamente alle istituende autorità nazionali competenti eventuali incidenti che comportano una violazione degli obblighi in materia di diritti fondamentali, così come ogni richiamo dei sistemi di intelligenza artificiale già sul mercato.

I fornitori di sistemi di IA ad alto rischio immessi sul mercato dell'Unione segnalano qualsiasi incidente grave o malfunzionamento di tali sistemi che costituisca una violazione degli obblighi previsti dal diritto dell'Unione intesi a tutelare i diritti fondamentali alle autorità di vigilanza del mercato degli Stati membri in cui tali incidenti o violazioni si sono verificati.

Articolo 62

Obblighi di trasparenza

L'articolo 52 introduce obblighi di trasparenza per determinati sistemi di IA caratterizzati da un rischio minore rispetto a quelli definiti ad alto rischio.

Si tratta dei sistemi che:

  • interagiscono con le persone;
  • riconoscono le emozioni degli utenti o ricorrono a meccanismi di categorizzazione biometrica;
  • manipolano contenuti audio o video in maniera da farli sembrare autentici mentre non lo sono: "deep fake".

Per tali sistemi è previsto l'obbligo di informare l'utente del fatto che il servizio di cui sta usufruendo è un prodotto dell'intelligenza artificiale, che si tratti di un chatbot o di contenuti digitali. Tali obblighi di trasparenza incontrano delle eccezioni e dunque il ricorso all'intelligenza artificiale può non essere rivelato se:

  • è consentito dalla legge per accertare, prevenire, indagare e perseguire reati
  • è necessario per l'esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze garantito dalla Carta dei diritti fondamentali dell'UE.

Il Comitato europeo per l'intelligenza artificiale

Il Regolamento sull'intelligenza artificiale prevede una governance condivisa tra Unione Europea e Stati membri per l'attuazione del regolamento:

  • Gli Stati membri istituiscono autorità nazionali di controllo con il compito di vigilare sulla corretta applicazione ed attuazione del regolamento al livello nazionale.
  • Al livello europeo, viene prevista l'istituzione di un Comitato europeo per l'intelligenza artificiale con i seguenti compiti:
    1. favorire la cooperazione tra autorità nazionali di controllo e la Commissione;
    2. contribuire alla attività di analisi e alla eleborazione di orientamenti da parte della Commissione e delle autorità nazionali sulle materie disciplinate dal regolamento e la applicazione di questo nel mercato interno.
    3. assistere la Commissione e le autorità nazionali assicurando l'uniforme applicazione del regolamento.

I modelli di base e l'IA generativa

La versione originale della proposta di regolamento è impostata sulle finalità per cui le applicazioni di intelligenza artificiale vengono utilizzate; alcuni usi sono disciplinati in quanto considerati rischiosi o del tutto vietati. In altre parole, le applicazioni o prodotti vengono regolamentati in base allo scopo cui sono destinati.

Questa impostazione però finiva per ignorare quelle applicazioni dell'intelligenza artificiale caratterizzate dalla loro versatilità, impiegabili per finalità generali, come l'IA generativa. Il rapido sviluppo di queste applicazioni multi purpose dell'intelligenza artificiale avutosi negli ultimi mesi ha portato ad integrare la proposta di regolamento con alcuni emendamenti, che ora prevedono una disciplina specifica per i sistemi di IA per finalità generali e per i modelli di base.

Intelligenza artificiale per finalità generali

L'articolo 3, al punto 1 quinquies, aggiunto dall'emendamento 169, ora definisce un sistema di intelligenza artificiale per finalità generali come

un sistema di IA che può essere utilizzato e adattato a un'ampia gamma di applicazioni per le quali non è stato intenzionalmente e specificamente progettato;

Modelli di base

Le applicazioni di intelligenza artificiale generativa sono il prodotto di un modello di base ; ad esempio, l'applicazione nota come ChatGPT è basata sul modello di base GPT-3.5.

L'articolo 3, al punto 1 quater, definisce un modello di base:

"modello di base": un modello di sistema di IA addestrato su un'ampia scala di dati, progettato per la generalità dell'output e che può essere adattato a un'ampia gamma di compiti distinti;

Articolo 3 punto 1 quater - emendamento 168

I sistemi di IA con finalità previste specifiche o i sistemi di IA per finalità generali possono essere l'attuazione di un modello di base, il che significa che ciascun modello di base può essere riutilizzato in innumerevoli sistemi di IA a valle o in sistemi di IA per finalità generali. Questi modelli rivestono un'importanza crescente per molte applicazioni e molti sistemi a valle.

Considerando 60 sexies - emendamento 99

Obblighi per il fornitore di un modello di base

Un fornitore di un modello di base, prima di metterlo a disposizione sul mercato o di metterlo in servizio, garantisce che sia conforme ai requisiti previsti dal presente articolo, a prescindere dal fatto che sia fornito come modello autonomo o integrato in un sistema di IA o in un prodotto, o fornito su licenza gratuita e open source, come servizio, nonché altri canali di distribuzione.

Articolo 28 ter - emendamento 399

L'emendamento 399 ha introdotto un nuovo articolo 28 ter dedicato agli obblighi per il fornitore di un modello di base.
Si tratta di obblighi che in parte ricalcano quelli già visti per i sistemi ad alto rischio, come la necessità di redigere una documentazione tecnica, prevedere un sistema di gestione della qualità e registrare il sistema in una apposita banca dati.

Inoltre, il fornitore di un modello di base deve:

  • prevedere ed attenuare i rischi prevedibili per la salute, la sicurezza, i diritti fondamentali, l'ambiente, la democrazia e lo Stato di diritto, prima e durante lo sviluppo, con metodi adeguati, ad esempio con il coinvolgimento di esperti indipendenti, nonché la documentazione dei restanti rischi non attenuabili dopo lo sviluppo;
  • fare ricorso soltanto ad insiemi di dati soggetti a idonee misure di governance dei dati per i modelli di base, in particolare misure per esaminare l'adeguatezza delle fonti di dati ed eventuali distorsioni e un'opportuna attenuazione
  • progettare e sviluppare il modello di base, in maniera da conseguire adeguati livelli di:
    • prestazioni
    • prevedibilità
    • interpretabilità
    • corregibilità
    • protezione e cibersicurezza
    da valutare con metodi adeguati e la partecipazione di esperti indipendenti alla valutazione dei modelli di base.
  • progettare e sviluppare il modello di base applicando quelle tecnologie disponibili che riducano il consumo di energia, di risorse e la produzione di rifiuti. Inoltre, i modelli di base vanno progettati in maniera che sia possibile misurare il loro consumo di energia e ove possibile del loro impatto ambientale durante tutto il loro ciclo di vita.

Modelli di base e intelligenza artificiale generativa

Agli obblighi per i fornitori che abbiamo appena sintetizzato, se ne aggiungano altri ove i modelli di base vengano destinati alla intelligenza artificiale generativa; in tali casi il fornitore deve:

  • informare l'utente del fatto che sta interagendo con un sistema di intelligenza artificiale;
  • progettare il modello di base in modo da assicurare opportune garanzie contro la generazione di contenuti che violano il diritto dell'Unione
  • informare gli utenti circa l'uso fatto dal modello di base di dati protetti dal diritto d'autore.

Codici di condotta

La proposta di regolamento europeo sull'intelligenza artificiale incoraggia l'elaborazione di codici di condotta che applichino la normativa sui requisiti per i sistemi ad alto rischio anche nei casi in cui questa non sia obbligatoria. L'obiettivo è quello di estendere su base volontaria l'applicazione della normativa sui requisiti per i sistemi ad alto rischio anche ai sistemi che tali non sono. Questo, con particolare riguardo ai requisiti relativi a sostenibilità ambientale, accessibilità per le persone con disabilità, alla partecipazione allo sviluppo dei sistemi di intelligenza artificiale dei soggetti portatori di interessi.

I codici di condotta possono essere formulati direttamente dai fornitori, dalle organizzazioni che li rappresentano oppure in maniera congiunta da fornitori e relative organizzazioni rappresentative; alla stesura possono contribuire anche gli utenti e tutti i portatori di interessi.

Conclusioni

La proposta di regolamento AI Act non lesina certo gli sforzi nel provare a regolare gli usi dell'intelligenza artificiale, mirando a conciliare gli sviluppi di una tecnologia che avanza in maniera dirompente con i diritti fondamentali dell'Unione Europea, impostando un quadro normativo condiviso al livello europeo che tuteli il buon funzionamento del mercato unico digitale, il tutto, nelle intenzioni, senza ostacolare lo sviluppo tecnologico.

Se è indubbia la necessità di regolazione in un ambito come quello dell'intelligenza artificiale, in particolare al livello europeo, rimane da vedere se il regolamento sarà idoneo a realizzare un tale difficile bilanciamento, o se il tentativo non si risolva in un altro caso di overregulation : inefficace quanto agli obiettivi di tutela e costoso in termini di competitività.


Vincenzo Lalli

Vincenzo Lalli

Di formazione legale, appassionato da sempre di tecnologia ed informatica; esperienza professionale acquisita a cavallo tra i due mondi, finora piuttosto lontani tra loro. Mi dedico ad esplorare le crescenti interazioni tra il Diritto e la tecnologia, e a dare il mio contributo alla causa dell'innovazione nel settore legale; a tal fine, ho dato vita ad Avvocloud.net.

Contatti

Creative Commons License