◆ L’analisi di GIORGIO DE ROSSI
► Il 13 marzo 2024 il Parlamento europeo ha approvato il Regolamento sull’Intelligenza Artificiale, frutto dell’accordo raggiunto con gli Stati membri nel dicembre 2023, con 523 voti favorevoli, 46 contrari e 49 astensioni. Esso rappresenta la prima norma al mondo sull’uso dell’intelligenza artificiale. Già nell’aprile 2021, la Commissione aveva elaborato il primo quadro normativo dell’Ue proponendo che i sistemi di intelligenza artificiale, utilizzabili nelle diverse applicazioni, fossero analizzati e classificati in base al rischio che avessero potuto rappresentare per gli utenti. Il documento regolamentare recentemente approvato dai deputati europei si compone di oltre 450 pagine e comprende ben 113 articoli. Lo scopo – sancito nell’articolo 1 – è quello di migliorare il funzionamento del mercato interno, promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica ed affidabile, proteggere la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di IA ad alto rischio, sostenendo, nel contempo, l’innovazione ed assicurando all’Unione Europea un ruolo di leader attendibile nel settore.
A tal fine, il Regolamento dispone una serie di obblighi che riguardano le regole, i divieti ed i requisiti che gli Stati membri saranno tenuti ad osservare. Per le prime esso stabilisce:
∎ regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione; ∎ regole di trasparenza armonizzate per determinati sistemi di IA e per l’immissione sul mercato di modelli di IA per finalità generali; ∎ regole in materia di monitoraggio del mercato, governance della vigilanza del mercato ed applicazione; ∎ regole e misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.
La normativa, inoltre, prevede una serie di divieti di talune pratiche di IA ed impone dei requisiti specifici per i sistemi di IA ad alto rischio e di obblighi per gli operatori di tali sistemi. I soggetti nei cui confronti dette regole trovano puntuale applicazione sono:
● i fornitori che immettono sul mercato o mettono in servizio sistemi e/o modelli di IA, indipendentemente dal fatto che siano stabiliti nell’Unione o in un Paese terzo; essi possono esser una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA per finalità generali e lo immette sul mercato con il proprio nome o marchio, a titolo oneroso o gratuito; ● i deployers dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione; anch’essi possono essere una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità; ● i fornitori ed i deployers di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un Paese terzo, ma che utilizzano nell’Ue l’output prodotto dal sistema di IA; ● gli importatori ed i distributori di sistemi di IA; ● le persone interessate che si trovano nell’Unione.
Ma cosa si intende per “sistema di IA”? Il Regolamento lo definisce «un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali». In altri termini, l’IA consiste in una famiglia di tecnologie in rapida evoluzione che contribuisce al conseguimento di un’ampia gamma di benefici a livello economico, ambientale e sociale nell’intero spettro delle attività industriali e collettive. L’uso dell’IA, garantendo un miglioramento delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale e ambientale; ad esempio, in materia di assistenza sanitaria, agricoltura, sicurezza alimentare, istruzione e formazione, media, sport, cultura, gestione delle infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza energetica e delle risorse, monitoraggio ambientale, conservazione e ripristino della biodiversità e degli ecosistemi, mitigazione dei cambiamenti climatici e adattamento ad essi. Un punto importante ribadito dai parlamentari è quello relativo all’alfabetizzazione in materia di IA. I fornitori ed i players dei sistemi di IA dovranno infatti adottare misure per garantire un livello sufficiente di alfabetizzazione del loro personale, nonché di qualsiasi altro soggetto che si occupi del funzionamento e dell’utilizzo dei sistemi di IA, prendendo in considerazione le conoscenze tecniche, l’esperienza, l’istruzione e la formazione. Un elevato grado di alfabetizzazione consentirà, pertanto, a tutti gli attori della catena del valore dell’IA di assumere decisioni informate, necessarie per assicurare l’adeguata conformità e la corretta esecuzione.
Esaminiamo ora quelle che il Regolamento considera delle pratiche di intelligenza artificiale vietate, che presentano rischi inaccettabili in quanto costituiscono una minaccia per le persone. Gli usi più frequenti riguardano:
◉ La manipolazione comportamentale cognitiva di una persona o di un gruppo di persone al fine di distorcere materialmente il comportamento dell’individuo, pregiudicando la sua capacità di prendere una decisione informata ed inducendolo ad assumere una decisione che altrimenti non avrebbe preso; ad esempio, giocattoli attivati vocalmente che incoraggino comportamenti pericolosi nei bambini. ◉ L’ identificazione biometrica e la categorizzazione delle persone fisiche sulla base dei loro dati biometrici, ovvero sulle caratteristiche fisiologiche (impronte digitali, retina, iride ecc.) e comportamentali (ad esempio la firma e la voce), per trarre deduzioni in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale. ◉ I sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale. Sono, altresì, previsti obblighi chiari anche per altri sistemi di IA ad alto rischio che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, alla democrazia e all’ambiente. Rientrano in questa categoria gli usi legati a infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base (ad esempio assistenza sanitaria, banche, ecc.), migrazione e gestione delle frontiere, giustizia e processi democratici (come nel caso di sistemi usati per influenzare le elezioni).
Per questi sistemi vige l’obbligo di valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e garantire la sorveglianza umana. I cittadini avranno la possibilità di presentare reclami sui sistemi di IA ad alto rischio, nonché di ricevere spiegazioni sulle decisioni di detti sistemi che incidono sui loro diritti. Il Regolamento entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’Ue e inizierà ad applicarsi nei 24 mesi successivi all’entrata in vigore, salvo per quanto riguarda: i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore; i codici di buone pratiche (nove mesi dopo); le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi) e gli obblighi per i sistemi ad alto rischio (36 mesi). Il correlatore della commissione per le libertà civili Dragos Tudorache (Renew, Romania), con spirito realistico, ha dichiarato: «La legge sull’IA non è la fine del viaggio, ma piuttosto il punto di partenza per un nuovo modello di governance basato sulla tecnologia. Ora dobbiamo concentrarci per trasformarla da legge sui libri a realtà sul campo». © RIPRODUZIONE RISERVATA
