L'AI ACT, il regolamento europeo sull'Intelligenza Artificiale, è stato approvato dal Parlamento europeo il 14 giugno e sarà sottoposto all’esame dei Paesi UE in Consiglio, con l’obiettivo di diventare legge entro la fine del 2023. L’AI Act adotta un approccio basato sul rischio e prevede sanzioni fino a Euro 30.000.000 o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente.

La proposta di regolamento dell'UE sull'intelligenza artificiale mira a creare un quadro giuridico per l'IA affidabile, basato sui valori e sui diritti fondamentali dell'UE, con l'obiettivo di garantire un utilizzo sicuro dell'IA, prevenendo rischi e conseguenze negative per le persone e la società.

Il testo fissa regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA nell'UE, attraverso un approccio basato sul rischio, che prevede diverse obbligazioni di conformità a seconda del livello di rischio (basso, medio o elevato) che i software e le applicazioni intelligenti possono comportare per i diritti fondamentali delle persone: maggiore è il rischio, maggiori sono i requisiti di conformità e le responsabilità per i fornitori delle applicazioni intelligenti.

In ragione di questo approccio basato sul rischio, l’AI Act distingue tra:

-          "Pratiche di Intelligenza Artificiale Vietate", che creano un rischio inaccettabile, ad esempio perché violano i diritti fondamentali dell’UE. Rientrano in questa nozione i sistemi:

o   che utilizzano tecniche subliminali che agiscono senza che una persona ne sia consapevole o che sfruttano vulnerabilità fisiche o mentali e che siano tali da provocare danni fisici o psicologici;

o   in uso alle autorità pubbliche, di social scoring, di identificazione biometrica in tempo reale a distanza negli spazi accessibili al pubblico, di polizia predittiva sulla base della raccolta indiscriminata e di riconoscimento facciale, se non in presenza di esigenze specifiche o di autorizzazione giudiziale.

-          "Sistemi di IA ad Alto Rischio", che presentano un rischio alto per la salute, la sicurezza o i diritti fondamentali delle persone, quali i sistemi che permettano l’Identificazione e la categorizzazione biometrica di persone fisiche, di determinare l'accesso agli istituti di istruzione e formazione professionale, di valutare prove di ammissione o di svolgere attività di selezione del personale, utilizzati per elezioni politiche e diverse altre ipotesi indicate espressamente dalla normativa.

L’immissione sul mercato e l’utilizzo di questa tipologia di sistemi, non è quindi vietata ma richiede il rispetto di specifici requisiti, quali:

-          la creazione e il mantenimento di un sistema di gestione del rischio: è obbligatorio sviluppare e mantenere attivo un sistema di gestione del rischio per i sistemi di intelligenza artificiale (IA);

-          l’adozione di criteri qualitativi per dati e modelli: i sistemi di IA devono essere sviluppati seguendo specifici criteri qualitativi per quanto riguarda i dati utilizzati e i modelli implementati, al fine di garantire l'affidabilità e l'accuratezza dei risultati prodotti.

-          la produzione di documentazione su sviluppo e funzionamento: è richiesta una documentazione adeguata riguardo allo sviluppo di un determinato sistema di IA e al suo funzionamento, anche al fine di dimostrare la conformità del sistema alle normative vigenti.

-          la trasparenza verso gli utenti: è obbligatorio fornire agli utenti informazioni chiare e comprensibili sul funzionamento dei sistemi di IA, per renderli consapevoli delle modalità di utilizzo dei dati e di come i risultati sono generati.

-          la supervisione umana: i sistemi di IA devono essere progettati in modo da poter essere supervisionati da persone fisiche.

-          L’accuratezza, robustezza e cibersicurezza: è obbligatorio garantire che i sistemi di IA siano affidabili, accurati e sicuri. Ciò implica l'adozione di misure per prevenire errori o malfunzionamenti che potrebbero causare danni o risultati indesiderati.

In alcuni casi, la valutazione della conformità può essere effettuata autonomamente dal produttore dei sistemi di IA, mentre in altri casi potrebbe essere necessario coinvolgere un organismo esterno.

-          "Sistemi di IA a Rischio Limitato", che non comportano pericoli considerevoli e per i quali sono previsti requisiti generali di informazione e trasparenza verso l’utilizzatore. Ad esempio, i sistemi che interagiscono con le persone (e.g. assistente virtuale), che sono utilizzati per rilevare emozioni o che generano o manipolano contenuti (e.g. Chat GPT), devono rendere adeguatamente noto l’utilizzo dei sistemi automatizzati, anche al fine di permettere l’adozione di scelte informate o di rinunciare a determinate soluzioni.

Il testo in esame è strutturato in modo flessibile e permette di essere applicato - o in caso adeguato - ai diversi casi che lo sviluppo tecnologico può raggiungere. Il regolamento tiene inoltre conto e garantisce l’applicazione di normative complementari, come ad esempio la disciplina privacy, di tutela del consumatore e di Internet Of Things (IoT).

Il regolamento prevede, in caso di violazione, sanzioni fino ad un valore massimo di Euro 30 milioni o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente.

Come detto, il testo approvato dal Parlamento Europeo sarà sottoposto all’esame del Consiglio, con l’obiettivo di essere approvato entro la fine del 2023. In tal caso sarà la prima normativa che a livello mondiale affronta in modo tanto diffuso e dettagliato le possibili problematiche derivanti dall’immissione sul mercato di sistemi AI.

Sarà nostra cura fornire aggiornamenti sulle future evoluzioni normative

Per dettagli e informazioni contattare David Ottolenghi di Clovers