L’approvazione dell’EU AI Act apre la strada a una regolamentazione dello sviluppo dell’AI in Europa. Un approccio basato sui livelli di rischio, che mette al bando alcune pratiche potenzialmente pericolose o discriminatorie. Nell’attesa di comprendere se, come per il GDPR, anche in questo caso si verificherà il “Brussels Effect”.
Il 13 marzo 2024 è arrivata l’approvazione definitiva e con voto quasi plebiscitario (523 voti a favore, 46 contrari e 49 astenuti), da parte del Consiglio Europeo, dell’AI Act (Legge sull’intelligenza artificiale).
Questo regolamento, che arriva dopo un lungo iter iniziato nell’aprile del 2021 con la prima proposta e culminato nel dicembre 2023 con l’approvazione di un testo frutto della mediazione a tre di Commissione, Consiglio e Parlamento (il trilogo), rappresenta la prima regolamentazione comprensiva al mondo dedicata all’intelligenza artificiale, stabilendo regole armonizzate per la messa sul mercato, l’implementazione e l’utilizzo dei sistemi AI nell’Unione, seguendo un approccio basato sul rischio.
Si tratta di un atto importante, con il quale l’Europa, di fatto, fa un passo in avanti rispetto ad altre legislazioni sia nel trattare i rischi associati all’AI, sia mettendo a punto un quadro giuridico che mira a guidare sviluppatori e utilizzatori di sistemi e soluzioni di intelligenza artificiale, fornendo loro requisiti e obblighi chiari. Allo stesso tempo, questo regolamento cerca di ridurre gli oneri amministrativi e finanziari per le imprese, in particolare per le piccole e medie imprese (PMI), promuovendo così uno sviluppo dell’IA affidabile e sostenibile.
L’AI Act fa parte di un pacchetto più ampio di misure politiche volte a sostenere lo sviluppo di un’intelligenza artificiale affidabile, che include anche il Pacchetto Innovazione AI e il Piano Coordinato sull’AI.
L’idea del legislatore europeo è che il combinato disposto di queste iniziative possa promuovere e garantire la sicurezza e i diritti fondamentali delle persone e delle imprese in relazione all’utilizzo dell’intelligenza artificiale, rafforzandone al contempo l’adozione, l’investimento e l’innovazione in tutto il territorio dell’UE.
Il fulcro di queste nuove regole è promuovere un’AI affidabile in Europa e oltre, assicurando che i sistemi di AI rispettino i diritti fondamentali, la sicurezza e i principi etici e affrontando i rischi legati a modelli molto potenti e impattanti.
La necessità di regole sull’IA emerge dalla consapevolezza che, sebbene la maggior parte dei sistemi di AI presenti rischi limitati o nulli e possa contribuire a risolvere molte sfide sociali, esistono, in ogni caso, rischi che devono essere affrontati.
Proprio in considerazione dell’importanza di questo regolamento, e in considerazione del ruolo che l’AI gioca nelle tematiche affrontate da Tech4Future, abbiamo deciso di dedicare un approfondimento al testo, per metterne in luce l’effettiva portata.
Takeaway
L’unicità dell’approccio europeo
Fin dall’inizio, il regolatore europeo ha sottolineato una sorta di unicità e primogenitura dell’AI Act europeo rispetto ad altre legislazioni internazionali. In effetti, l’AI Act è al momento l’unica legislazione onnicomprensiva, che affronta il tema dello sviluppo dell’intelligenza artificiale con un approccio globale.
Negli Stati Uniti, invece, l’approccio prevalente è di autoregolamentazione e favoreggiamento dell’innovazione, con un quadro normativo largamente basato su linee guida volontarie e autoregolamentazione industriale.
Così, mentre la Casa Bianca ha sollecitato un progetto per una Carta dei diritti dell’AI, vi sono molteplici atti legislativi di portata più ridotta, che riguardano, cioè, o il solo Stato che li ha adottati, oppure tematiche specifiche: l’introduzione di legislazioni specifiche per regolare l’IA a livello locale crea, di fatto, un patchwork di normative statali.
Ad esempio, la Commissione per le Pari Opportunità nell’Impiego (EEOC) è stata severa nell’affermare che continuerà a sostenere il Titolo VII della Legge sui Diritti Civili, che si concentra sulla prevenzione della discriminazione nei confronti di chi cerca lavoro e dei lavoratori, sia che il rischio provenga da un essere umano o da un robot.
Analogamente, la Legge Locale 144 di New York City richiede l’esecuzione di audit sui pregiudizi nei processi di assunzione automatizzati, mentre altri stati come California e New Jersey sono al lavoro per lo sviluppo di specifiche leggi che avranno per lo meno inizialmente portata locale.
La Cina, dal canto suo, con le sue “Interim Measures for the Management of Generative Artificial Intelligence Services” pone l’accento sul controllo statale e sulla dinamicità economica: il governo cinese vede l’intelligenza artificiale come uno strumento strategico per il raggiungimento degli obiettivi economici e geopolitici. Un approccio che solleva non poche preoccupazioni in relazione a temi cruciali come la privacy e le libertà civili.
La regolamentazione cinese richiede che le aziende ottengano una licenza per fornire servizi di AI generativa e si allineino ai valori socialisti del paese, controllando e prevenendo forme di dissenso.
L’Unione Europea, con la sua proposta di AI Act, si concentra su protezione dei consumatori, equità e sicurezza, puntando a diventare lo standard globale per la regolamentazione dell’IA.
Come accaduto in precedenza con il GDPR, l’AI Act europeo richiede trasparenza, responsabilità e una valutazione dei rischi per ogni utilizzo dell’AI, particolarmente se presenta un “rischio elevato” per i consumatori.
L’UE considera la regolamentazione non come un ostacolo ma come un mezzo per proteggere gli individui dai potenziali danni dell’IA, considerando la conformità normativa come un vantaggio competitivo inaspettato, questo anche in risposta alle preoccupazioni di chi in Europa teme che una legislazione più pesante possa rappresentare un ostacolo rispetto a chi, in altri Paesi, si trova a fare i conti con un numero inferiore di regole.
L’AI Act e il Brussels Effect
In realtà, anche per quanto riguarda l’AI, il legislatore europeo conta che si ingeneri quel “Brussels Effect” già riscontrato con il GDPR.
Il Brussels Effect è, di fatto, la capacità unilaterale dell’Unione Europea di regolare i mercati globali stabilendo standard in ambiti specifici come concorrenza, protezione ambientale, sicurezza alimentare, protezione della privacy…
È un fenomeno che si basa sulla forza del mercato stesso piuttosto che su una imposizione coercitiva degli standard da parte dell’UE.
Data la grandezza e la ricchezza del mercato dei consumatori dell’UE, sostenuto da istituzioni normative forti, sono poche le aziende globali che possono permettersi di non operare all’interno dell’UE. E il prezzo per accedere a questo mercato unico consiste nell’adeguare la propria condotta agli standard dell’UE, spesso tra i più rigorosi a livello globale.
L’aspetto più interessante del Brussels Effect è che le stesse aziende scelgono di attenersi alle stesse regole anche in altri mercati, per evitare i costi derivanti dal dover rispettare regimi normativi diversi.
L’AI Act: i principi fondanti
Come anticipato, l’AI Act europeo mira a creare un framework legale completo sull’AI, promuovendo un’intelligenza artificiale affidabile, assicurando che i sistemi AI rispettino i diritti fondamentali, la sicurezza e i principi etici e affrontando i rischi dei modelli di AI.
È un quadro normativo che si applica lungo tutta la catena del valore, a partire dai fornitori, vale a dire coloro che portano sul mercato europeo soluzioni o servizi di AI, indipendentemente dal Paese dove hanno residenza, passando per gli utilizzatori che si trovano all’interno del territorio dell’Unione, per gli importatori, i distributori, i rappresentanti autorizzati. Non solo.
La legislazione include anche produttori che integrano sistemi AI nei loro prodotti nonché i fornitori e gli utilizzatori di sistemi AI che si trovano sì in un paese terzo, ma il cui output sia utilizzato nella UE. Ci sono poi le esclusioni.
Non rientrano nel perimetro dell’AI Act europeo i sistemi AI sviluppati a scopo militare, di difesa e di sicurezza nazionale, quelli sviluppati e utilizzati in modo specifico per attività di ricerca scientifica, i sistemi in fase di sviluppo prima della loro messa in servizio, o componenti AI forniti con licenze open source, né si applicano alle persone fisiche che utilizzano sistemi AI in attività non professionali.
Per quanto riguarda l’entrata in vigore, l’EU AI Act entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi 24 mesi dopo.
Anche in questo caso, ci sono però delle eccezioni: i divieti relativi a pratiche vietate si applicheranno a partire da sei mesi dopo l’entrata in vigore; i codici di buone pratiche nove mesi dopo; le norme sui sistemi di IA per finalità generali, compresa la governance, 12 mesi dopo e gli obblighi per i sistemi ad alto rischio 36 mesi dopo.
Verrà costituito un European AI Office, il cui compito sarà quello di sorvegliare sull’attuazione e l’applicazione dell’AI Act, con potere di comminare sanzioni che possono raggiungere i 35 milioni di euro o il 7% del fatturato globale.
Un approccio basato sul rischio
Come detto, il cuore dell’AI Act è l’adozione di un approccio basato sul rischio, classificando i sistemi di IA in quattro livelli in base alla sensibilità dei dati coinvolti e agli specifici casi d’uso. Vediamoli nel dettaglio.
- Sistemi a rischio inaccettabile: sono sistemi che rappresentano una minaccia significativa per i diritti fondamentali, i processi democratici e i valori sociali. Ne è vietato l’utilizzo poiché potrebbero compromettere l’integrità delle infrastrutture critiche e causare incidenti gravi. Rientrano in questo gruppo sistemi di social scoring; sistemi in grado di manipolare le persone attraverso tecniche subliminali o di sfruttare le vulnerabilità di specifici gruppi; sistemi di identificazione biometrica in tempo reale in spazi accessibili al pubblico.
- Sistemi ad alto rischio: sono utilizzati in settori critici come sanità, trasporti, giustizia e sono soggetti a rigide valutazioni di conformità per assicurarne l’accuratezza, la robustezza e la sicurezza informatica. È richiesta una supervisione umana nella loro implementazione per garantire responsabilità e un ulteriore livello di sicurezza e protezione. Ed è richiesta, soprattutto, una valutazione di conformità ex ante. Rientrano in questo gruppo gli strumenti utilizzati, ad esempio, per la selezione del personale, sistemi utilizzati per valutare l’ammissibilità delle persone alle prestazioni e ai servizi di assistenza pubblica.
- Sistemi a rischio limitato: sono considerati meno rischiosi rispetto ai precedenti e, quindi, sono soggetti a meno vincoli normativi. Devono comunque aderire a specifici obblighi di trasparenza per mantenere la responsabilità e l’affidabilità nel loro impiego. Rientrano in questo gruppo sistemi che interagiscono con gli esseri umani come i chatbot, i sistemi che rilevano le emozioni sulla base di dati biometrici, i sistemi che generano o manipolano contenuti. In questi casi, l’AI Act impone obblighi di trasparenza, così che gli utenti siano correttamente informati al riguardo.
- Sistemi a rischio minimo o inesistente: in questo caso, si fa riferimento all’utilizzo dell’AI in applicazioni che rientrano nella categoria di rischio minimo, come i videogiochi potenziati dall’IA e i filtri antispam. Il legislatore intende minimizzare gli oneri normativi su tali sistemi, promuovendo l’innovazione e lo sviluppo in aree dove i rischi associati all’uso dell’IA sono considerati trascurabili o inesistenti, favorendo così la crescita delle tecnologie guidate dall’IA, a beneficio di un’ampia gamma di industrie e utenti.
Le pratiche vietate
L’articolo 5 dell’EU AI Act presenta un elenco molto dettagliato di pratiche che sono esplicitamente vietate:
- tecniche manipolative o ingannevoli: è vietato immettere sul mercato o utilizzare sistemi AI che utilizzano tecniche subliminali o ingannevoli per alterare significativamente il comportamento di individui o gruppi, inducendoli a prendere decisioni che non avrebbero altrimenti preso e che possono causare danni significativi
- sfruttamento delle vulnerabilità: è proibito l’utilizzo di sistemi di IA che sfruttano le vulnerabilità di persone o gruppi specifici a causa della loro età, disabilità o situazione sociale o economica per distorcere il loro comportamento
- valutazione e classificazione sociali: è vietato l’uso di IA per valutare o classificare individui o gruppi basandosi su comportamenti sociali o caratteristiche personali, quando ciò porta a un trattamento pregiudizievole ingiustificato o sproporzionato
- valutazioni di rischio criminale: è vietato utilizzare sistemi di IA per effettuare valutazioni del rischio criminale basate unicamente sulla profilazione di individui, a meno che tali sistemi non siano utilizzati per supportare una valutazione umana basata su fatti oggettivi direttamente collegati all’attività criminale
- riconoscimento facciale e scraping: è proibito creare o ampliare banche dati di riconoscimento facciale mediante lo scraping non mirato di immagini facciali da internet o da riprese tv a circuito chiuso
- inferenza delle emozioni: è vietato l’uso di sistemi di AI per inferire le emozioni di individui nel contesto lavorativo o educativo, eccetto per motivi medici o di sicurezza
- categorizzazione biometrica: è proibita la categorizzazione biometrica che classifica le persone sulla base di dati biometrici per inferire aspetti come razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o orientamento sessuale
- identificazione biometrica remota: è limitato l’uso di sistemi di identificazione biometrica remota “in tempo reale” in luoghi pubblici per le forze dell’ordine, eccetto in casi strettamente necessari, come la ricerca di vittime di crimini o la prevenzione di minacce specifiche e imminenti.
Queste restrizioni mirano a prevenire abusi e a garantire che l’impiego dell’IA avvenga in modo etico e rispettoso dei diritti fondamentali.
Glimpses of Futures
Cerchiamo ora di capire quale potrebbe essere l’effetto futuro dell’entrata in vigore dell’AI Act europeo secondo i criteri rappresentati dalla matrice STEPS.
S – SOCIAL: l’AI Act vieta tutti quei sistemi che rappresentano un rischio inaccettabile per i diritti e le libertà fondamentali, come gli strumenti di riconoscimento delle emozioni sul posto di lavoro o nelle istituzioni educative e la categorizzazione biometrica di dati sensibili. Impone che i sistemi riconosciuti ad alto rischio siano sottoposti a una valutazione dell’impatto sui diritti fondamentali prima di essere introdotti sul mercato dell’UE e garantisce ai cittadini la possibilità di richiedere spiegazioni sulle decisioni dei sistemi che incidono sui loro diritti. Tuttavia, alcune organizzazioni che si occupano di diritti civili hanno sottolineato come l’AI Act manchi di salvaguardie per gli usi più pericolosi dell’AI, sostenendo che le esenzioni per le forze dell’ordine, i controlli di frontiera e la gestione della migrazione lascino aperta la possibilità di abusi. L’uso di sistemi ad alto rischio, come l’identificazione biometrica nel controllo delle frontiere, ha suscitato critiche per aver creato uno standard doppio, con un insieme di regole a protezione dei cittadini dell’UE e un altro per migranti e richiedenti asilo.
T – TECHNOLOGICAL: abbiamo già esaminato quali tecnologie rientrano nell’ambito di regolamentazione dell’EU AI Act. Ci sono, però, ulteriori considerazioni che riguardano la possibilità di proseguire con nuove ricerche e sperimentazioni. Esistono dubbi, probabilmente non infondati, rispetto al fatto che l’AI Act possa imporre significativi limiti allo sviluppo tecnologico in Europa a causa delle “stringenti obbligazioni” imposte agli sviluppatori di tecnologie all’avanguardia. Le obbligazioni potrebbero scoraggiare i ricercatori, portando a un esodo di talenti nel campo dell’intelligenza artificiale. I timori riguardano anche possibili freni alle attività delle startup, che potrebbero essere penalizzate rispetto ad altre realtà attive in regioni nelle quali le imposizioni burocratiche non siano così rigide.
E – ECONOMIC: gran parte del dibattito riguardante la legge si è concentrato sul rischio di limitare eccessivamente le imprese europee nel campo dell’IA. La legge è stata modificata ripetutamente per rispondere alle preoccupazioni di paesi come Francia, Germania e Italia, i quali non intendono ripetere l’errore di lasciare che i mercati tecnologici ancora in via di sviluppo siano dominati completamente dalle grandi multinazionali d’Oltreoceano. Va sottolineato, inoltre, che per competere, a livello globale, con potenze come Stati Uniti e Cina, l’UE deve aumentare notevolmente, aggregare e rendere visibile il suo investimento pubblico nell’IA. Servirebbero importanti investimenti da parte dell’UE e degli Stati membri collettivamente, per la ricerca e l’implementazione dell’IA: in infrastrutture di calcolo, produzione di microchip e ritenzione dei talenti.
P – POLITICAL: l’AI Act rappresenta una dichiarazione chiara del fatto che l’Europa crede sia possibile regolamentare l’intelligenza artificiale rimanendo comunque aperta alle esigenze di business. L’idea è che venga mantenuto l’impegno verso approcci regolamentari che consentano un cambiamento iterativo e che vengano introdotti strumenti politici innovativi, come le ‘sandbox’ (aree di sperimentazione regolata), al fine di trovare il giusto equilibrio tra una applicazione dell’AI rigorosa e sicura e la libertà, per l’industria, di esplorare e sperimentare nuovi prodotti, servizi o imprese sotto la supervisione dei regolatori.
S – SUSTAINABILITY: l’AI Act introduce le prime disposizioni riguardanti l’impatto ambientale dei sistemi di intelligenza artificiale, rappresentando un passo avanti verso una regolamentazione dell’IA sostenibile. Sono, comunque, ancora disposizioni minime: per questo ci si augura che le future iterazioni dell’AI Act amplino queste regole, per garantire che l’industria dell’IA progredisca in modo ambientalmente sostenibile, adottando un approccio più rigoroso nella valutazione, mitigazione e gestione continua dell’impronta ambientale dei sistemi di IA, inclusi valutazioni obbligatorie dell’impatto sulla sostenibilità e una possibile estensione del Sistema di Scambio di Quote di Emissione ai data center e ad altri processi IT ad alto consumo.