Bruxelles – È tutto pronto affinché l’Atto Ue sull’intelligenza artificiale diventi la prima legislazione al mondo in materia, ed entro due anni sia pienamente in vigore su tutto il territorio dell’Unione. Dopo l’approvazione quasi plebiscitaria da parte degli eurodeputati in sessione plenaria lo scorso 13 marzo, i 27 governi Ue hanno dato il via libera oggi (21 maggio) con procedura scritta a una legislazione che stabilisce una prima volta per l’Unione e su cui si potrà impostare un ulteriore lavoro su aspetti ancora più specifici, come aveva confermato il co-relatore Brando Benifei (Pd) in un’intervista a Eunews.
A questo punto bisogna osservare con attenzione le date. Non appena firmato e pubblicato in Gazzetta Ufficiale dell’Ue, il Regolamento entrerà in vigore 20 giorni più tardi e sarà pienamente applicabile dopo 24 mesi (giugno 2026). Ci sono però alcune disposizioni che fanno eccezione: per i divieti di pratiche proibite l’applicazione scatterà già dopo 6 mesi, per i codici di condotta dopo 9 e per le norme generali sull’Ia (compresa la governance) dopo 12, mentre gli obblighi per i sistemi ad alto rischio saranno posticipati per un altro anno, con l’applicazione dopo 36 mesi. Nel frattempo, considerati i tempi di entrata in vigore del nuovo Regolamento e in vista del potenziale impatto delle nuove tecnologie sulle elezioni europee di giugno 2024, è stato lanciato a metà novembre dello scorso anno il Patto Ue sull’intelligenza artificiale per anticipare volontariamente i requisiti sull’Ia e agevolare la transizione verso l’applicazione delle nuove norme.
La scala di rischio dell’intelligenza artificiale
Il Regolamento Ue prevede un livello orizzontale di protezione degli utenti, con una scala di rischio per regolamentare le applicazioni di intelligenza artificiale su quattro livelli: minimo, limitato, alto e inaccettabile. I sistemi che presentano un rischio limitato saranno soggetti a obblighi di trasparenza molto leggeri, come la divulgazione del fatto che il contenuto è stato generato dall’Ia. Per quelli ad alto rischio è prevista una valutazione dell’impatto sui diritti fondamentali prima dell’immissione sul mercato, compresi l’obbligo a registrarsi nella banca dati Ue apposita e la definizione di requisiti sui dati e la documentazione tecnica da presentare per dimostrare la conformità dei prodotti.
Il Regolamento pone a livello inaccettabile – e perciò vieta – sistemi di manipolazione cognitiva del comportamento, la raccolta non mirata di immagini facciali da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale, il riconoscimento delle emozioni sul posto di lavoro e negli istituti scolastici, l’assegnazione di un ‘punteggio sociale’ da parte dei governi, la categorizzazione biometrica per dedurre dati sensibili (convinzioni politiche, religiose, filosofiche, orientamento sessuale) o le convinzioni religiose, e alcuni casi di polizia predittiva per gli individui.
Eccezioni, governance e modelli di fondazione
Nel Regolamento è stata introdotta una procedura di emergenza che consentirà alle forze dell’ordine di utilizzare uno strumento di intelligenza artificiale ad alto rischio che non ha superato la procedura di valutazione, che dovrà dialogare con il meccanismo specifico sulla tutela dei diritti fondamentali. Deroghe anche per l’uso di sistemi di identificazione biometrica a distanza in tempo reale in spazi accessibili al pubblico, previa autorizzazione giudiziaria e per elenchi di reati rigorosamente definiti. L’utilizzo ‘post-remoto’ potrà essere utilizzato esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave, mentre quello in tempo reale “limitato nel tempo e nel luogo” per le ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale), prevenzione di una minaccia terroristica “specifica e attuale” e per la localizzazione o identificazione di una persona sospettata di aver commesso reati specifici (terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali).
Tra le nuove disposizioni già in atto c’è quella che ha istituito l’Ufficio ad hoc sull’Ia all’interno della Commissione Europea per supervisionare i sistemi di intelligenza artificiale per scopi generali integrati in un altro sistema ad alto rischio, affiancato da un forum consultivo per le parti interessate (rappresentanti di industrie, Pmi, start-up, società civile e del mondo accademico). Per tenere conto dell’ampia gamma di compiti che i sistemi di intelligenza artificiale possono svolgere – generazione di video, testi, immagini, la conversazione in linguaggio laterale, il calcolo o la generazione di codice informatico – e della rapida espansione delle loro capacità, i modelli di fondazione ‘ad alto impatto’ (un tipo di intelligenza artificiale generativa addestrata su un ampio spettro di dati generalizzati e senza etichette) dovranno rispettare una serie di obblighi di trasparenza prima di essere immessi sul mercato. Dalla stesura di una documentazione tecnica, al rispetto della legge Ue sul copyright, fino alla diffusione di sintesi dettagliate sui contenuti utilizzati per la formazione.
Innovazione e sanzioni
Sul piano del sostegno dell’innovazione, le sandbox (gli ambienti di prova in ambito informatico) di regolamentazione dell’intelligenza artificiale potranno creare un ambiente controllato per lo sviluppo, la sperimentazione e la convalida di sistemi innovativi anche in condizioni reali. Per alleggerire l’onere amministrativo delle imprese più piccole e proteggerle dalle pressioni degli attori dominanti del mercato, il Regolamento prevede azioni di sostegno e deroghe “limitate e chiaramente specificate”.
Per quanto riguarda infine le sanzioni, qualsiasi persona fisica o giuridica potrà presentare un reclamo all’autorità di vigilanza del mercato competente in merito alla mancata osservanza della legge Ue sull’intelligenza artificiale. In caso di violazione del Regolamento, l’azienda dovrà pagare o una percentuale del fatturato globale annuo nell’esercizio finanziario precedente o un importo predeterminato (a seconda di quale sia il più alto): 35 milioni di euro o il 7 per cento per le violazioni delle applicazioni vietate, 15 milioni di euro o il 3 per cento per le violazioni degli obblighi della legge, 7,5 milioni di euro o l’1,5 per cento per la fornitura di informazioni non corrette. Massimali più proporzionati saranno applicati invece per piccole e medie imprese e start-up.
