È tra le prime norme che regolano la materia: cosa prevede l'AI Act

Con l’accordo politico sull’AI Act raggiunto¹ a dicembre 2023 tra Commissione, Parlamento e Consiglio europeo, i Paesi Membri sono tra i primi stati a dotarsi di una legge che regola i diversi aspetti dello sviluppo e dell’applicazione in diversi campi dell’intelligenza artificiale.

I tecnici sono ancora a lavoro su quello che sarà il testo definitivo dell’AI Act che dovrà essere approvato dagli organi europei prima di entrare in vigore, secondo delle stime non prima di giugno 2024.

Sebbene non se conoscano ancora nel dettaglio le previsioni, la ratio e l’impianto² della prima norma europea sull’intelligenza artificiale sono ormai definiti.

In accordo con i pilastri europei, l’AI Act mira a tutelare libertà e diritti fondamentali dei cittadini e per farlo sfrutta il principio – non nuovo: è lo stesso su cui si basa il GDPR – della valutazione del rischio.

Più sono complessi e più i sistemi di AI dovranno rispettare requisiti stringenti

I sistemi di AI cosiddetti “ad alto impatto”, che possono avere cioè effetti considerevoli sulle libertà e i diritti fondamentali dei cittadini europei, devono rispettare requisiti più stringenti rispetto a quelli richiesti ai sistemi “a medio” o “a basso impatto”.

Tra questi c’è l’obbligo di valutazione del modello, di monitoraggio del rischio sistemico, di applicazione di misure di cybersecurity, di rendicontazione del consumo energetico e, in qualche caso, di supervisione umana già prima dell’eventuale immissione nel mercato, obbligo che per i sistemi che presentano un rischio attenuato scatta invece soltanto nel caso in cui li si intenda sfruttare a livello commerciale.

Quella che molti commentatori hanno individuato come la caratteristica chiave dell’AI Act è il criterio con cui sono stati individuati i diversi livelli di rischio: non è un criterio economico e che ha a che vedere con il fatturato delle aziende che sviluppano i sistemi di intelligenza artificiale, ma un criterio che tiene conto della mole di dati che gli ultimi sono in grado di analizzare e quindi della loro complessità. Volendo semplificare, l’Europa ha classificato come sistemi “ad alto impatto” e a cui sono richiesti obblighi di trasparenza più stringenti i modelli che hanno una capacità computazionale di dieci alla venticinquesima FLOPs (Floating Point Operations per second: un’apposita unità di misura), al momento raggiunta solo dai modelli che integrano GPT-4.

Contenuti generati dall’AI: dalla trasparenza al copyright, cosa prevede l’AI Act

Anche i sistemi di AI a impatto più basso avranno comunque obblighi di trasparenza più generici, come quello di segnalare come tali i contenuti generati automaticamente.

L’obbligo si applica principalmente ai cosiddetti sistemi GPAI e, cioè, che sfruttano l’intelligenza per scopi generali (termine che dovrebbe sostituire nel testo definitivo dell’AI Act l’espressione scelta originariamente di “modelli fondazionali”) e ha lo scopo di contrastare la diffusione di disinformazione e deepfake che potrebbe seguire a un’adozione diffusa di sistemi come ChatGPT, Dall-E, Midjourney, Bard.

Per citare l’esempio che hanno fatto molti commentatori, ciò significa di fatto che immagini come quella di Papa Francesco che indossa un grosso piumino bianco, quando entrerà in vigore l’AI Act dovranno essere segnalate mediante una filigrana, un watermark o un altro sistema simile come generate dall’AI. Lo stesso vale per gli articoli scritti dall’AI e pubblicati sui siti di informazione e qualunque altro contenuto simile.

La legge europea sull’intelligenza artificiale interviene anche in materia di copyright, prevedendo che le aziende che li addestrano includano nella documentazione tecnica relativa ai sistemi basati sull’AI anche un riepilogo dettagliato dei contenuti sfruttati a tale scopo, in modo che chi ne detiene i diritti d’autore possa farli valere. È possibile che in futuro le stesse aziende debbano chiedere preventivamente l’autorizzazione a utilizzare contenuti coperti da copyright per l’addestramento dei propri sistemi di AI e più in generale conformarsi alle norme europee vigenti in materia.

Per cosa non si potrà utilizzare l’intelligenza artificiale in Europa

L’AI Act contiene soprattutto una lunga lista di divieti che riguardano l’utilizzo dell’intelligenza artificiale e che sono, di fatto, ciò che ha ritardato la definizione di un accordo tra Commissione, Parlamento e Consiglio europeo.

Le discussioni che si sono protratte per mesi hanno visto, volendo semplificare all’estremo, i primi due organi fermi su posizioni “proibizioniste” e l’ultimo, che è espressione dei governi, “più possibilista” invece sull’uso dei sistemi di intelligenza artificiale anche in situazioni in cui a rischio ci fossero i diritti fondamentali dei cittadini europei.

In Europa resta vietata la polizia predittiva e, cioè, l’utilizzo di sistemi basati sull’intelligenza artificiale per prevedere quando, dove e da chi è più probabile che sia commesso un certo tipo di reato. Per questa ragione è vietato lo scraping di immagini di volti da telecamere di sorveglianza e a circuito chiuso allo scopo di creare database utilizzabili per la sorveglianza di massa.

Vietato è anche l’utilizzo dell’intelligenza artificiale per analizzare le emozioni delle persone, soprattutto in luoghi come le scuole o i luoghi di lavoro o nel caso di individui vulnerabili.

Nella lista della attività vietate dall’AI Act c’è anche il social scoring e, cioè, la pratica, comune in altri Paesi come soprattutto la Cina e sdoganata al grande pubblico da serie TV come “Black Mirror”, di attribuire automaticamente un “punteggio” a ogni cittadino a partire da comportamenti e atteggiamenti che ha avuto in pubblico e non solo. Tale punteggio viene spesso sfruttato dalle assicurazioni o dalle banche per decidere in che fascia collocare i clienti o se concedere loro prestiti e mutui: la preoccupazione dell’Europa sembra proprio evitare una tale forma di profilazione dei cittadini, anche in virtù dei risultati altamente attendibili che si riescono a ottenere.

L’AI Act consente riconoscimento facciale e utilizzo dei dati biometrici solo in tre circostanze

Uno dei punti dell’AI Act su cui i vari organi europei e i loro rappresentanti hanno avuto più difficoltà a trovare un accordo è quello che riguarda riconoscimento facciale e utilizzo dei dati biometrici.

Se non ci saranno modifiche sostanziali soprattutto in fase di approvazione del testo dell’AI Act scritto dai tecnici, l’identificazione biometrica potrà avvenire “post-remoto”, e cioè in un tempo successivo a quello in cui sono state registrate le immagini, solamente in un caso: quello in cui si stia cercando una persona sospettata o condannata per aver commesso un reato grave.

In tempo reale, invece, si potranno utilizzare dati biometrici e riconoscimento facciale per identificare una persona in tre casi: per la ricerca di vittime, in caso di minaccia terroristica e per l’identificazione o la localizzazione di una persona indiziata per aver commesso un reato grave.

In entrambi i casi gli allegati tecnici dovranno intervenire a chiarire cosa si intende per reati gravi, anche se è probabile che la categoria includa stupro, omicidio, terrorismo, traffico di essere umani.

A chi si applicano le previsioni dell’AI Act e le eccezioni per forze dell’ordine, chi fa ricerca, piccole aziende

Su pressioni delle parti politiche, nell’accordo sull’AI Act sono state previste delle eccezioni per le forze dell’ordine. I divieti e, più in generale, le previsioni della nuova norma europea sull’intelligenza artificiale non si applicano, per esempio, nel caso in cui i sistemi di AI siano utilizzati a scopi prettamente militari. Le forze dell’ordine potranno utilizzare, ancora, l’intelligenza artificiale per analizzare dati relativi ai crimini: è essenziale però, in questo caso, che i dati siano anonimi e non consentano di identificare specifici individui.

Quelle riservate alle forze dell’ordine non sono le sole eccezioni previste all’applicazione dell’AI Act. La norma non si applica innanzitutto ai privati che utilizzano l’AI a scopo non commerciale.

Allo stesso modo i soggetti che utilizzano sistemi basati sull’AI a scopo di ricerca e innovazione non sono soggetti al rispetto dell’AI Act, anche se è prevista la realizzazione di apposite sandbox regolamentari per verificare in vista del lancio sul mercato la compliance delle diverse soluzioni alla nuova norma europea.

Le aziende di dimensioni più piccole, soprattutto, saranno sgravate da alcuni obblighi di adeguamento all’AI Act e con ogni probabilità avranno più tempo per farlo: un approccio che ricorda quello già adottato per Digital Services Act e Digital Markets Act a cui sono state chiamate a conformarsi per prime le big tech.

AI Act: che passaggi sono previsti ancora

I tempi per vedere veramente in azione l’AI Act rischiano di essere, insomma, ancora molto lunghi.

Dal momento dell’approvazione del testo definitivo – che, come già accennato, potrebbe non avvenire prima di giugno 2024 – i diversi soggetti destinatari avranno fino a due anni di tempo per adeguarsi alle previsioni della norma europea sull’intelligenza artificiale (entro sei mesi si dovranno cessare solo gli utilizzi vietati dell’AI).

In questo intervallo di tempo le aziende che lo vorranno potranno sottoscrivere il cosiddetto “AI Pact” per l’adozione volontaria e anticipata delle nuove regole europee sull’AI.

Saranno due anni che serviranno, soprattutto, all’Europa e ai Paesi Membri per dotarsi di una serie di strutture nuove come l’ufficio AI, il consiglio AI, un comitato scientifico indipendente, varie authority nazionali (che probabilmente all’inizio saranno quelle già esistenti a cui verranno affidati anche compiti in questo campo) per monitorare gli sviluppi nell’adozione dell’AI Act e più in generale nel campo dell’intelligenza artificiale. Tra queste strutture dovranno essere individuate anche quelle deputate a rispondere a reclami e segnalazioni da parte dei cittadini su applicazioni dell’AI scorrette e lesive dei propri interessi e diritti fondamentali.

Cosa rischia chi non rispetta le previsioni della nuova norma europea sull’intelligenza artificiale

Per chi non rispetta l’AI Act sono previste sanzioni che vanno dall’1.5% del fatturato nei casi più semplici, quelli in cui siano state fornite informazioni errate su com’è addestrato il sistema di AI, al 7% nei casi più gravi di applicazioni vietate dell’intelligenza artificiale.

La tutela riservata alle PMI vale anche per le eventuali sanzioni che sono attenuate in considerazione delle dimensioni ridotte del business.