E’ stato definitivamente approvato dal Parlamento Europeo l’AI Act che porta con sé la definizione di “intelligenza artificiale”: “Il sistema di intelligenza artificiale è un sistema basato su macchine. progettato per funzionare con diversi livelli di autonomia, che può mostrare adattività dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce, dall’input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
I passaggi finali di approvazione son delle mere formalità e pertanto possiamo iniziare a fare una panoramica sui principali aspetti, anche in ottica di compliance.
AI Act : gli obiettivi
Il comunicato stampa ufficiale dichiara che Il testo mira a “…proteggere i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di AI ad alto rischio, promuovendo nel contempo l’innovazione e assicurando all’Europa un ruolo guida nel settore”. Le diverse disposizioni entreranno progressivamente in vigore secondo le seguenti scadenze, a partire da ora
DISPOSIZIONI: | SCADENZA |
divieti di pratiche vietate | 6 mesi |
codici di condotta | 9 mesi |
norme generali sull’IA, compresa la governance | 12 mesi |
obblighi per i sistemi ad alto rischio | 24-36 mesi |
In generale la ratio della legge sull’intelligenza artificiale risponde direttamente alle proposte formulate dalla comunità pubblica in merito ad un rafforzamento della competitività dell’UE nei settori strategici, che garantisca una società sicura e affidabile, comprendendo la lotta alla disinformazione e garantendo che siano gli esseri umani, in ultima battuta, ad avere il controllo ; tutelando il diritto dei consumatori di presentare reclami e ricevere significative spiegazioni; limitando l’uso dei sistemi di identificazione biometrica da parte delle forze dell’ordine e non autorizzando il social scoring ovvero altre pratiche atte a manipolare o sfruttare le vulnerabilità degli utenti.
Le applicazioni vietate
Le nuove norme proibiscono alcune applicazioni di intelligenza artificiale che possono mettere a rischio i diritti dei cittadini, tra cui:
- i sistemi di “classificazione biometrica” basati su caratteristiche sensibili
- lo scraping non selettivo di immagini facciali da Internet o video di sorveglianza per creare database di riconoscimento facciale
- il riconoscimento delle emozioni sul posto di lavoro e a scuola,
- il punteggio sociale,
- la polizia predittiva (quando si basa esclusivamente sulla profilazione di una persona o sulla valutazione delle sue caratteristiche),
- l’intelligenza artificiale volta a manipolare il comportamento umano o a sfruttare le vulnerabilità delle persone.
Per quanto riguarda l’utilizzo di sistemi di identificazione biometrica da parte delle forze dell’ordine sarà di norma vietato tranne in alcune situazioni tassativamente elencate e strettamente definite, ove sarà ammesso. In queste situazioni l’ utilizzo deve essere limitato nel tempo, in un ambito geografico circoscritto nonché soggetto a una specifica e preventiva autorizzazione giudiziaria o amministrativa. Simili utilizzi possono includere, ad esempio, la ricerca mirata di una persona scomparsa o la prevenzione di un attacco terroristico o reati gravi.
Obblighi per i sistemi ad alto rischio
I sistemi ad alto rischio sono quelli portatori di rischi sistemici, per via di un loro significativo e potenziale danno alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto. Nell’allegato II e III si distinguono due tipi di sistemi IA ad alto rischio:
– Allegato III della legge sull’AI: sistemi che sono considerati ad alto rischio perché classificati come tali dalla legge stessa e sono previsti 24 mesi di adeguamento. In questa famiglia rientrano:
- infrastrutture critiche
- istruzione e formazione professionale
- occupazione
- servizi pubblici e privati essenziali (ad esempio assistenza sanitaria, banche)
- alcuni sistemi di applicazione della legge
- migrazione e gestione delle frontiere
- giustizia e processi democratici (elezioni)
– Allegato II della legge sull’IA che include i sistemi di IA considerati ad alto rischio perché coperti da una certa legislazione di armonizzazione UE e sono quindi considerati tali quando il sistema IA 1) è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto coperto dalla legislazione di armonizzazione dell’UE; e 2) il prodotto o il sistema deve essere sottoposto a una valutazione di conformità da parte di terzi ai sensi della legislazione di armonizzazione dell’UE. L’elenco dell’Allegato II è piuttosto lungo, ma comprende leggi su questioni quali la sicurezza dei giocattoli, dei macchinari, delle apparecchiature radio, dell’aviazione civile e dei veicoli a motore, tra le altre. Questo Annex ha i tempi di adeguamento più lunghi: 36 mesi.
Tutti questi sistemi devono “valutare e ridurre i rischi, conservare i registri di utilizzo, essere trasparenti e accurati e garantire la supervisione umana”. Inoltre i cittadini potranno presentare reclami e avranno il diritto di ricevere spiegazioni sulle decisioni basate su sistemi di AI ad alto rischio.
IA generativa ad alto rischio
Sono identificati come modelli di IA portatori di rischi sistemici quelli addestrati utilizzando una potenza di calcolo totale superiore a 10^25 Flop , in quanto i modelli addestrati con calcoli più grandi tendono a essere più potenti. Tale soglia computazionale potrà essere rivista periodicamente in base ai progressi tecnologici.
Requisiti di trasparenza e AI generativa
Molto importante è la sezione dedicata all’IA generativa (GPAI) i cui modelli devono soddisfare determinati requisiti di trasparenza, tra cui il rispetto della normativa in materia di copyright e la pubblicazione dei riepiloghi dettagliati di contenuti utilizzati in ordine alla formazione. Tra questi modelli i più potenti, quelli cioè che potrebbero all’evidenza comportare “rischi sistemici”, dovranno avere dei requisiti aggiuntivi, tra cui la valutazione e la mitigazione dei rischi e la segnalazione degli incidenti. Da ultimo, con riferimento a questo punto, le immagini artificiali o manipolate, i contenuti audio o video cd “deepfakes” dovranno essere etichettati chiaramente come tali.
Misure a sostegno dell’innovazione e delle PMI
Infine dovranno essere istituiti dei “sandbox normativi” , ossia degli ambienti test controllati a livello nazionale , accessibili alle PMI e alle start-up dove possano essere sviluppate forme di intelligenza artificiale innovativa ma “controllata”, prima che venga immessa sul mercato.
I passi di compliance, in generale
Vediamo ora per sommi capi cosa devono iniziare a pensare di fare in questo biennio le aziende che vogliono adottare strumenti di IA.
- Effettuare una valutazione del rischio: Le aziende che usano un sistema di AI dovranno prevedere i possibili rischi e danni che il sistema potrebbe causare. Valutare la probabilità e la gravità di tali rischi. Dare al sistema di IA una classificazione di rischio adeguata (basso, medio o alto).
- Implementare misure di mitigazione del rischio: le aziende dovranno poi adottare misure tecniche e organizzative per ridurre i rischi identificati; Assicurarsi che il sistema di AI sia progettato e sviluppato in modo sicuro e responsabile e Implementare procedure per la gestione dei dati e la sicurezza informatica.
- Documentare le proprie attività di compliance: torna imperante il principio di accountability dovendo mantenere una documentazione completa delle proprie attività di valutazione e mitigazione del rischio.
- Dimostrare la propria compliance in caso di audit
- Fornire informazioni agli utenti: informandoli in modo chiaro e trasparente sull’utilizzo dei sistemi di AI, dando loro la possibilità di controllare e modificare le impostazioni ad essi relative.
Ove l’azienda andasse ad implementare ed adottare un sistema AI ad alto rischio deve:
- Registrare il sistema presso la Commissione Europea, fornendo informazioni specifiche sul sistema di IA e sui suoi rischi, ottenendo un numero di registrazione del sistema IA
- Richiedere a un organismo indipendente una Audit di conformità in modo da verificare la compliance;
- Ottenere un certificato di Conformità da parte dell’organismo indipendente
Sanzioni AI ACT
Il regolamento stabilisce delle soglie di sanzione che devono essere prese in considerazione dagli Stati, che le applicheranno:
- Fino a 35 milioni di euro o al 7% del fatturato totale annuo a livello mondiale dell’esercizio finanziario precedente (a seconda di quale sia il valore più alto) per le violazioni relative alle pratiche vietate o alla non conformità ai requisiti sui dati;
- Fino a 15 milioni di euro o al 3% del fatturato totale annuo a livello mondiale dell’esercizio finanziario precedente per la mancata osservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento, compresa la violazione delle norme sui modelli di IA per uso generale;
- fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale annuo totale dell’esercizio precedente per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta;
Lascia un commento