30 novembre 2022 e 21 maggio 2024 sono due date destinate ad occupare le pagine dei prossimi libri di storia. A distanza di poco più di due anni, la società a profitto limitato Open AI lancia Chat GPT e il consiglio europeo dà il via libera definitivo all’AI ACT primo tentativo a livello mondiale di disciplinare in modo organico lo sviluppo, la commercializzazione e l’utilizzo dei sistemi di intelligenza artificiale nel contesto economico e sociale.
Due punti di svolta per quest’innovazione rivoluzionaria, sulla bocca dei professionisti tech per decenni e ora tanto tangibile e alla portata di tutti da necessitare una regolamentazione.
Ma cosa prevede la normativa e da cosa ci tutela? Scopriamolo insieme.
Come sottolinea Brando Benifei - relatore del Parlamento europeo per l’AI Act – questa legge rende l’UE capofila globale nella regolamentazione dell’IA certificando la qualità del lavoro svolto su un tema di grande sensibilità politica e di mercato.
L’obiettivo del nuovo set di regole è molteplice:
La legislazione è stata quindi formulata seguendo un principio di proporzionalità risk-based: maggiore è il rischio di causare danni alle persone o alla società, più severe saranno le regole da rispettare sempre concepite con una particolare attenzione a non limitare oltre misura l’innovazione.
Questa classificazione distingue quattro livelli di rischio - inaccettabile, alto, limitato e minimo – che, a loro volta, inibiscono in maniera commisurata l’utilizzo dei sistemi di IA:
VIETATI: quelli che comportano un rischio molto alto, come il mancato rispetto della dignità umana, della democrazia e dello stato di diritto, principi fondamentali dell’UE. È il caso della polizia predittiva, del Social Scoring, ovvero l’attribuzione da parte delle autorità di un punteggio ai cittadini sulla base del proprio status (come avviene in Cina con il credito), delle applicazioni per il riconoscimento delle emozioni al lavoro o a scuola e della sorveglianza biometrica. L’intelligenza artificiale per il riconoscimento facciale in tempo reale sarà utilizzabile solo per questioni di pubblica sicurezza (come la ricerca di una persona scomparsa o la prevenzione di un attentato terroristico) e previa autorizzazione giudiziaria o amministrativa.
AL VAGLIO: di rigorosi controlli prima del lancio sul mercato i modelli di IA che possono compromettere la sicurezza delle persone, soggetti ad obblighi stringenti e chiamati a rispettare requisiti puntuali. Ne sono un esempio le procedure di recruiting del personale o di ammissione all’istruzione, l’erogazione di servizi sanitari e socioassistenziali e la gestione della sicurezza delle infrastrutture.
LIMITATI: i sistemi di IA che possono influenzare i diritti e la volontà degli utenti in modo contenuto, soggetti a obblighi di trasparenza. Ne sono un esempio i deepfake che hanno tratto tutti in inganno grazie alla generazione o manipolazione di contenuti audiovisivi e i chatbot che ogni giorno ci suggeriscono prodotti e promozioni personalizzate. La chiave è dichiararne l’utilizzo;
LIBERI: da vincoli normativi e incoraggiati alla sperimentazione e allo sviluppo quelli che mantengono scelta e controllo per la maggior parte nelle mani degli utenti. Tra questi utilizzi considerati a rischio minimo o nullo troviamo i videogiochi e i filtri fotografici.
Il Regolamento Europeo sull’intelligenza artificiale mira a sostenere l’innovazione promuovendo il Real World Testing ossia l’apprendimento normativo basato sull’evidenza. Prevede infatti delle sandboxes di regolamentazione per consentire la sperimentazione e la convalida di sistemi innovativi di AI in ambienti reali e controllati.
Introduce inoltre il concetto di “Accountability by design” dei fornitori di sistemi di IA generativa a cui viene chiesto di integrare meccanismi di responsabilità e trasparenza fin dalle prime fasi di sviluppo, garantendo così il rispetto dei diritti fondamentali e la mitigazione dei rischi correlati. In primis il rispetto della legge sul copyright, la sintesi dei contenuti con cui sono stati addestrati, protezione della sicurezza informatica e mitigazione dei rischi sistemici a fronte della valutazione del modello.
L’Artificial intelligence Act si applica ad una vasta gamma di soggetti operanti in Europa o i cui prodotti abbiamo ricadute nel territorio: sviluppatori, fornitori e importatori di sistemi di intelligenza artificiale ma anche degli utilizzatori finali. Tra questi ultimi non sono da escludere le autorità pubbliche, fatta eccezione per la difesa e la ricerca.
In caso di mancata conformità, violazione della normativa o di uso improprio, le ammende sono fissate in percentuale del fatturato annuo globale dell’azienda. Parliamo di multe piuttosto ingenti che vanno da un minimo di 7,5 milioni fino a 35 milioni di euro, pari all’1,5% del fatturato globale annuo di un’azienda o al 7% del suo giro d’affari. Sanzioni amministrative proporzionali sono invece previste per le PMI e le start-up.
Per ogni approfondimento vi invitiamo a consultare il testo integrale pubblicato sul sito del Consiglio.
Ma chi controlla? Sono diversi gli organi di governo che collaborano per garantire una corretta applicazione della legge:
La pubblicazione in Gazzetta Ufficiale dovrebbe avvenire il prossimo 12 luglio. Se confermato, l’AI Act entrerà quindi in vigore il 2 agosto 2024, e di conseguenza le nuove regole verranno gradualmente applicate sulla base del livello di rischio delle diverse applicazioni con l’obiettivo finale di dar vita ad un mercato digitale unico, sicuro e competitivo.
Le imprese più virtuose si stanno conformando in anticipo aderendo ad un percorso di compliance volontaria aperto dalla Commissione.
I partecipanti sono assisti nell’intraprendere azioni preliminari e incrementali concrete per prepararsi alla futura attuazione della legge costruendo processi interni, formando il personale e autovalutando i propri modelli. Oltre ad una condivisione di conoscenze, il vantaggio di questa comunità collaborativa sta nell’aumentata visibilità loro restituita dall’ufficio IA che, grazie alla pubblicazione delle soluzioni su un portale dedicato, ne aumenta la credibilità e l’affidabilità percepita, rafforzandone la fiducia.
Un’ottima soluzione per adeguare con calma prodotti e servizi ed evitare in seguito la preoccupazione di incorrere in sanzioni dettate dai gradi di rischio con cui la norma catalogherà gli algoritmi non appena entrerà in vigore.
Le aziende che volessero prendervi parte possono collegarsi alla pagina ufficiale del progetto, a cui è possibile accedere dal portale della Commissione Europea.
Quello di decodificare i termini di utilizzo dell’IA e stendere una norma giuridica appropriata che tuteli i cittadini ma non limiti il progresso è una tematica molto sentita nel nostro Paese. È di qualche settimana fa l’annuncio della Presidente Meloni che Papa Francesco parteciperà ai lavori del G7 in Puglia intervenendo insieme ai leader del mondo proprio in tema di intelligenza artificiale.
Dovremo aspettare ancora qualche mese per avere un quadro giuridico nazionale sull’IA, il tempo necessario perché le Camere possano discutere, modificare e trasformare in legge il DDL approvato a fine aprile dal Consiglio dei Ministri.
La via italiana all’IA, che arriva dopo altri esempi europei come Spagna e Germania, sarà di fatto il primo provvedimento a definire come il nostro Paese intenda porsi nei confronti dello sviluppo e dell’utilizzo dei vari modelli che man mano si rendono disponibili.
D’altra parte, in un settore in simultanea e costante evoluzione, questo così come il testo europeo, non si possono dire incisi nella pietra ma rappresentano un passo importante per favorire un utilizzo trasparente, sicuro ed affidabile dell’IA.
L’AI ACT non dev’essere dunque un freno per le imprese che intendano contribuire all’innovazione sviluppando soluzioni o implementarle nella propria strategia di business, ma un incentivo a farlo nel modo corretto seguendo i principi della responsible AI.
Tutto sta nella scelta di un partner affidabile, in grado di offrire un servizio affidabile e sicuro che garantisca la massima sicurezza e trasparenza nel trattamento dei dati e la totale compliance verso le normative vigenti e future.
Da sempre in prima linea su questi temi, Owlise organizzerà, per le aziende che ne faranno richiesta, un webinar dedicato in cui analizzare le novità legislative, le ripercussioni operative e le procedure da seguire sostenuti da una responsible AI su misura.