Con 523 voti favorevoli, 46 contrari e 49 astenuti, oggi il Parlamento europeo ha dato il via libera all’Artificial Intelligence Act, il nuovo regolamento europeo sull’IA. È un fatto storico: i 27 Peasi dell’Unione europea saranno i primi al mondo ad avere una legge generale sull’intelligenza artificiale, battendo sul tempo le altre grandi potenze globali. Dopo l’approvazione formale di Parlamento e Consiglio e la pubblicazione in Gazzetta Ufficiale, l’AI Act entrerà ufficialmente in vigore (si prevede a fine maggio), ma l’applicazione sarà graduale. Alcune norme saranno operative dopo 6 mesi (pratiche di IA vietate) e un anno (IA per finalità generali), altre dopo 36 mesi (alcuni sistemi di IA ad alto rischio): la maggior parte della legge diventerà invece applicabile dopo 24 mesi.
L'inizio
Tutto è iniziato ad aprile 2021 con la proposta della Commissione, seguita poi dalle posizioni di Consiglio (dicembre 2022) e Parlamento (giugno 2023).
A cosa e chi si applica
L’AI Act regola lo sviluppo, la fornitura e l’uso di sistemi di IA in tutta Europa. La definizione di «sistema di IA», proposta dall’OCSE, esclude i software tradizionali più semplici e gli approcci di programmazione. Si potrà anche contare su delle linee guida della Commissione sul punto. Le nuove norme riguardano tutte le aziende e gli enti pubblici che forniscono o utilizzano sistemi di IA in Europa. Ciò vale anche per chi non ha sede in uno paese europeo, ma basta che l’output del sistema sia usato in Ue. La legge vincola anche altri soggetti, come importatori e distributori. Il regolamento non si applica invece ai sistemi di IA per scopi militari, di difesa o sicurezza nazionale, per finalità di ricerca scientifica e a quelli rilasciati con licenze free e open source. Escluse anche le attività di ricerca, prova e sviluppo dell’IA e l’uso personale non professionale da parte di singoli individui.
Le classificazioni
La legge classifica i sistemi di IA in base al rischio che potrebbe derivare dal loro utilizzo, graduando di conseguenza requisiti e obblighi. In altre parole, maggiore è il rischio, maggiori sono le misure di protezione imposte dall’AI Act. Sono usi a rischio inaccettabile, e per questo proibiti, i sistemi di polizia predittiva e di social scoring, il riconoscimento delle emozioni nelle scuole e a lavoro e lo scraping di immagini facciali da internet per creare banche dati. E’ stato anche Vietato anche l’uso di sistemi di identificazione biometrica in tempo reale in spazi accessibili al pubblico, con alcune eccezioni in casi predeterminati e con autorizzazione. Molte sono le regole e procedure obbligatorie per l’IA il cui impatto può essere negativo su salute, sicurezza o diritti fondamentali. Infatti prima di essere messi sul mercato, questi sistemi dovranno essere sottoposti a una valutazione della conformità per dimostrare il rispetto dei requisiti della legge, come la gestione dei rischi, la qualità dei dati, la documentazione tecnica e la registrazione dei log. Ci sono inoltre misure di trasparenza, cybersicurezza e sorveglianza umana. In alcuni casi si deve svolgere anche una valutazione d’impatto sui diritti fondamentali. Questi sistemi devono inoltre avere la marcatura CE ed essere registrati in un database europeo.
L’AI Act introduce una serie di misure per favorire la conoscibilità e la trasparenza degli algoritmi. Nel caso di chatbot e sistemi che interagiscono con le persone, queste ultime devono sapere di relazionarsi con una macchina. Le immagini, i testi e gli altri output di un’IA generativa devono essere contrassegnati in un formato leggibile dalla macchina e rilevabili come artificiali, così come occorre indicare che i deep fake sono stati creati da un’IA.
Obblighi di trasparenza
Ci sono poi obblighi specifici per i modelli di IA per finalità generali, vale a dire algoritmi addestrati con grandi quantità di dati e in grado di svolgere un’ampia gamma di compiti. Tra questi, la redazione di documentazione tecnica, l’attuazione di politiche per rispettare il diritto d’autore e la pubblicazione di report sui contenuti usati per addestrare l’algoritmo. L’AI Act guarda anche al progresso, con una serie di norme che facilitano la sperimentazione e l’adeguamento. Tra queste ci sono le regulatory sandbox, le prove in condizioni reali e i codici di condotta, oltre a una serie di agevolazioni per PMI e startup. Sul versante della governance, ogni paese avrà un’autorità di controllo nazionale, a cui potranno rivolgersi cittadini e imprese. A livello Ue saranno diversi i soggetti coinvolti, tra cui Commissione, Comitato europeo per l’intelligenza artificiale e Ufficio per l’IA (istituito a fine gennaio). Ci saranno poi un forum consultivo e un gruppo di esperti scientifici indipendenti. Sanzioni salate per chi violerà il regolamento: fino a 35 milioni di euro o, per le imprese, fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.