Intelligenza artificiale, raggiunto l’accordo Ue sull’AI Act
Dall’identificazione biometrica ai divieti, le misure previste
Dopo un lungo negoziato le istituzioni Ue hanno raggiunto l’accordo sull’AI Act, la legge europea sull’intelligenza artificiale. Si tratta del primo quadro normativo sui sistemi di IA al mondo. Obiettivo della normativa è garantire che l’IA protegga i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale, stimolando al tempo stesso l’innovazione e rendendo l’Europa leader nel settore.
Previste una serie di salvaguardie e ristrette eccezioni per l’uso di sistemi di identificazione biometrica (RBI) in spazi accessibili al pubblico a fini di applicazione della legge, previa autorizzazione giudiziaria e per elenchi di reati rigorosamente definiti. L’RBI “post-remoto” verrebbe utilizzato esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave.
I sistemi di identificazione biometrica in tempo reale sarebbero conformi a condizioni rigorose e il loro uso sarebbe limitato nel tempo e nel luogo, ai fini di: ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale), prevenzione di una minaccia terroristica specifica e attuale, o localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (tra cui terrorismo, traffico di esseri umani, omicidio, stupro).
L’accordo prevede, inoltre, una serie di obblighi per i sistemi ad alto rischio, tra cui quello di una valutazione dell’impatto sui diritti fondamentali. In questa categoria saranno inseriti anche i sistemi di IA usati per influenzare l’esito delle elezioni e il comportamento degli elettori. I cittadini, poi, avranno il diritto di presentare reclami sui sistemi di IA e di ricevere spiegazioni sulle decisioni basate sui sistemi di IA ad alto rischio che hanno un impatto sui loro diritti.
Altro punto fondamentale riguarda i guardrail per i sistemi di IA generale, e in particolare per quelli ad alto impatto con rischio sistemico, per cui sono previsti obblighi più stringenti che vanno dalla valutazione del modello, alla valutazione e mitigazione dei rischi sistemici, alla protezione della sicurezza informatica. Il testo include infine misure a sostegno dell’innovazione e delle Pmi e un regime di sanzioni, con multe che vanno da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda.
L’idea principale è di regolamentare l’intelligenza artificiale in base alla capacità di quest’ultima di causare danni alla società seguendo un approccio “basato sul rischio“: si va dal rischio minimo a quello inaccettabile; maggiore è il rischio, più severe sono le regole. La stragrande maggioranza dei sistemi di intelligenza artificiale rientra nella categoria del rischio minimo e beneficeranno di un free-pass.
I sistemi di intelligenza artificiale identificati come ad alto rischio saranno tenuti invece a rispettare requisiti rigorosi, tra cui sistemi di mitigazione del rischio, alta qualità dei set di dati, registrazione delle attività, documentazione dettagliata, informazioni chiare sugli utenti, supervisione umana e un alto livello di robustezza, accuratezza e sicurezza informatica. Le sandbox normative faciliteranno l’innovazione responsabile e lo sviluppo di sistemi aI conformi.
Esempi di sistemi di intelligenza artificiale ad alto rischio includono alcune infrastrutture critiche, ad esempio nei settori dell’acqua, del gas e dell’elettricità; dispositivi medici; sistemi per determinare l’accesso alle istituzioni educative o per reclutare persone; o alcuni sistemi utilizzati nei settori delle forze dell’ordine, del controllo delle frontiere, dell’amministrazione della giustizia e dei processi democratici. Inoltre, anche i sistemi di identificazione biometrica, categorizzazione e riconoscimento delle emozioni sono considerati ad alto rischio.