Il 9 dicembre, dopo mesi di negoziati il Consiglio e il Parlamento europeo hanno raggiunto un accordo politico, seppur provvisorio, sulla legge sull’intelligenza artificiale: il c.d. “AI Act”. Sebbene non sia ancora stato approvato il testo definitivo della norma e molti aspetti siano ancora da chiarire, l’accordo sull’AI Act rappresenta una svolta storica, che ci avvicina alla prima regolamentazione al mondo sull’Intelligenza Artificiale. Quali novità sono state introdotte?
La portata dell’AI Act
Per chi non avesse seguito tutte le precedenti tappe, l’AI Act (“Artificial Intelligence Act” o, tradotto, “legge sull'intelligenza artificiale”) mira a promuovere il potenziale innovativo dei sistemi di Intelligenza Artificiale, assicurando al contempo che tali nuove tecnologie siano sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell’Unione.
A tal fine, la norma propone un approccio basato sul rischio, caratteristica che la accomuna al GDPR, in cui sono le stesse organizzazioni a dover dimostrare la propria conformità, in ottemperanza al principio di responsabilizzazione. I sistemi di IA e le relative applicazioni, vengono quindi analizzate e classificate in base al rischio generato per gli utenti. I diversi livelli di rischio comportano una maggiore o minore regolamentazione (ne abbiamo parlato qui).
Le somiglianze con il GDPR, tuttavia, non si limitano al “risk-based approach”: la norma richiama le pratiche di governance e di gestione dei dati da seguire, ai fini dell’addestramento di sistemi di IA (in questo articolo abbiamo parlato degli adempimenti in comune alle due norme). L’Unione Europea si trova, quindi, ancora una volta, nella posizione di prime mover e, con l’IA Act - che, come detto, rappresenta la prima legislazione al mondo sull’intelligenza artificiale - può stabilire un nuovo standard globale di regolamentazione, alla stregua di quanto accaduto con il GDPR.
Grafico pubblicato dal commissario europeo al Mercato Interno, Thierry Breton: l’AI Act è la prima legge al mondo per regolamentare l’intelligenza artificiale.
Le principali novità nell’IA Act rispetto al primo testo
Rispetto alla proposta originaria della Commissione, la bozza di accordo introduce alcuni nuovi elementi:
- sono previste disposizioni specifiche applicabili ai sistemi di IA ad alto impatto e ad alto rischio;
- fra le disposizioni applicabili a tali sistemi sono introdotti ulteriori obblighi, fra cui la valutazione dell’impatto sui diritti fondamentali, nonché obblighi di trasparenza da attuare prima dell’immissione sul mercato;
- ci saranno controlli su tutti i sistemi di intelligenza artificiale più potenti, a partire da GPT;
- I contenuti creati con l’intelligenza artificiale avranno un “watermark”, ovvero una apposita filigrana, chiaramente riconoscibile, che contrassegna i contenuti generati da IA;
- il sistema di governance è stato rivisto, con l’istituzione di un “Ufficio IA” all'interno della Commissione con il compito di supervisionare i modelli AI più avanzati, contribuire alla promozione di standard e pratiche di test e applicare le regole comuni in tutti gli Stati membri;
- i divieti sono stati estesi, con alcune deroghe in relazione ai sistemi utilizzati dalle forze dell’ordine;
- i diritti sono stati rinforzati mediante l’obbligo, nei casi di IA ad alto rischio, di condurre una valutazione d’impatto sui diritti fondamentali prima di mettere in uso un sistema di IA.
Ancora, ulteriori specifiche sono state introdotte in relazione all’ambito di applicazione della norma. In particolare, l’accordo provvisorio chiarisce che le disposizioni del Regolamento non si applicano:
- ad aree al di fuori del campo di applicazione del diritto dell’UE;
- ai sistemi utilizzati esclusivamente per scopi militari o di difesa;
- ai sistemi di IA utilizzati al solo scopo di ricerca e innovazione;
- a coloro che utilizzano l’IA per motivi non professionali.
Le misure a sostegno dell’innovazione
Anche le disposizioni volte a sostenere l’innovazione sono state modificate. Fra le misure introdotte:
- è stato chiarito che le sandbox regolamentari sull’IA (ambienti di test), che dovrebbero creare un ambiente controllato per lo sviluppo, la sperimentazione e la convalida di sistemi innovativi di IA, dovrebbero anche consentire la sperimentazione di sistemi innovativi di IA in condizioni reali;
- sono state aggiunte nuove disposizioni che consentono di testare i sistemi di IA in condizioni reali, nel rispetto di specifiche condizioni e salvaguardie;
- per alleggerire l’onere amministrativo delle imprese più piccole, sono state previste specifiche azioni da intraprendere, nonché alcune deroghe agli obblighi.
I divieti in sintesi: cosa non si potrà fare?
Come anticipato, la proposta di Regolamento estende i divieti relativi a determinate applicazioni dell’IA, ovvero quelle in contrasto con i diritti fondamentali delle persone riconosciuti dall’UE. Fra questi si riportano i principali, in sintesi:
- Divieto relativo all’utilizzo dell’IA per l’analisi di dati biometrici e di dati particolari / sensibili;
- Divieto di effettuare scraping, in quanto raccolta non mirata di immagini facciali da internet o da filmati di telecamere a circuito chiuso per creare database (la raccolta di immagini dalle videocamere di sicurezza pubbliche sarà possibile solo da parte delle Autorità in caso di crimini gravi);
- Divieto di uso dell’IA per riconoscere le emozioni in luoghi di lavoro e istituzioni educative;
- Divieto di utilizzare tecniche di social scoring, ovvero di analizzare mediante IA il comportamento delle persone al fine di assegnare un punteggio alle stesse;
- Divieto di manipolazione cognitivo-comportamentale, ovvero di utilizzare tecniche manipolative in grado di deviare i comportamenti umani sino a provocare danni fisici o psicologici;
- Divieto di uso di IA che sfruttano le vulnerabilità delle persone, come l’età, disabilità, situazione sociale o economica;
- Divieto di polizia predittiva.
Rinviamo l’analisi approfondita della norma, dei relativi obblighi e divieti, a quando verrà pubblicato il testo definitivo.
Il regime sanzionatorio
La proposta di Regolamento prevede sanzioni predeterminate o commisurate al fatturato annuo globale della società nell’anno finanziario precedente. In particolare, il regime sanzionatorio si suddivide in tre classi:
- 35 milioni di euro ovvero del 7% per le violazioni della normativa applicazioni IA vietate;
- 15 milioni di euro o 3% per violazioni degli obblighi della legge sull’IA;
- 7,5 milioni di euro ovvero 1,5% per la fornitura di informazioni errate.
Per le PMI e per le start-up, invece, sono previsti massimali più proporzionati, in caso di violazione delle disposizioni della legge sull’IA.
Fra critiche ed elogi
La notizia del raggiungimento di un accordo sull’AI Act ha scatenato reazioni opposte da parte dei principali stakeholder.
Da un lato vi sono le organizzazioni che rappresentano imprese culturali e creative nei settori dell’audiovisivo, del cinema, della televisione, dei servizi per la valorizzazione e tutela del patrimonio culturale, della musica, dell’editoria libraria e giornalistica nonché diverse centinaia di migliaia di autori ed artisti interpreti che dipendono interamente dalla loro capacità di vendere contenuti, prodotti e servizi basati sul diritto d’autore e di concedere in licenza, controllandone l’utilizzo, le opere realizzate nonché la propria voce, immagine e altri dati personali. Si tratta delle categorie di soggetti che avevano aderito all’appello, rivolto al Governo di “sostenere una regolamentazione equilibrata che, garantendo la trasparenza delle fonti, favorisca lo sviluppo delle tecnologie di intelligenza artificiale, tutelando e promuovendo al contempo la creatività umana originale e tutti i contenuti culturali del nostro Paese”.
Enzo Mazza, CEO della F.I.M.I. Federazione Industria Musicale Italiana e rappresentante della Federazione Italiana dell’Industria Culturale (Confindustria Cultura Italiana), ha dichiarato: “Stanotte l’Europa ha messo la firma su un importante strumento per il futuro dei contenuti musicali nell’era dell’intelligenza artificiale. Le previsioni per i sistemi di IA per scopi generali (GPAI) e i modelli GPAI che dovranno rispettare i requisiti di trasparenza come proposti dal Parlamento sono un’ottima notizia. Questi includono la stesura di documentazione tecnica, il rispetto della normativa UE sul diritto d’autore e la diffusione di riepiloghi dettagliati sui contenuti utilizzati per l’addestramento”. “Un passaggio epocale”, ha concluso Mazza, “per il quale da un lato dobbiamo ringraziare i relatori del Parlamento EU - come l’italiano Brando Benifei - e dall’altro il Governo italiano che ha raccolto l’appello della filiera del diritto d’autore sostenendo queste posizioni nel Consiglio EU”.
Dall’altro lato si schiera l’Ufficio europeo delle Unioni dei consumatori dell’Unione Europea e di altri Paesi europei (BEUC). Secondo Ursula Pachl, vicedirettore generale dell'Organizzazione BEUC: “La legge sull'intelligenza artificiale contiene punti positivi e negativi, ma nel complesso le misure per proteggere i consumatori sono insufficienti. […"> Troppe questioni non sono state regolamentate e si è fatto eccessivo affidamento sulla buona volontà delle aziende di autoregolamentarsi”. La Pachl porta l’esempio degli assistenti virtuali o dei giocattoli basati sull’IA, i quali non vengono adeguatamente regolamentati in quanto non considerati sistemi ad alto rischio.
Delusione serpeggia anche tra le aziende tech, rappresentate dall’associazione Digital Europe. Il Direttore Generale dell’associazione, Cecilia Bonefeld-Dahl, ha dichiarato: “Abbiamo un accordo, ma a quale costo? Eravamo pienamente a favore di un approccio basato sul rischio e sugli usi dell'IA, non sulla tecnologia in sé, ma il tentativo dell'ultimo minuto di regolamentare i modelli di fondazione ha ribaltato la situazione.
I nuovi requisiti - che si aggiungono ad altre leggi di ampia portata come il Data Act - richiederanno alle aziende molte risorse per essere rispettati, risorse che verranno spese in avvocati invece che per assumere ingegneri di IA. Siamo particolarmente preoccupati per le numerose PMI che operano nel settore del software e che non sono abituate a rispettare la legislazione sui prodotti: questo sarà un territorio inesplorato per loro”.
La preoccupazione, in questo caso, riguarda gli oneri aggiuntivi in capo alle imprese, che rischiano di penalizzare le aziende tech europee, soggette a obblighi di compliance elevati, e di favorire il mercato extra UE. Ciò, almeno sino a quando gli altri Paesi leader nel settore della tecnologia non si allineeranno agli standard europei. Non ci resta che attendere.
I prossimi passaggi e l’entrata in vigore
Nelle prossime settimane i tecnici europei continueranno il lavoro per finalizzare i dettagli del nuovo regolamento. Una volta conclusi i lavori, la presidenza sottoporrà il testo di compromesso all’approvazione dei rappresentanti degli Stati membri. Il testo dovrà quindi essere confermato da entrambe le istituzioni UE e sottoposto a revisione giuridico-linguistica, prima dell’adozione formale da parte dei colegislatori europei.
Se i termini previsti all’interno dell’atto provvisorio venissero confermati, l’AI Act diverrà applicabile due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche: ad esempio, i divieti assoluti diverranno applicabili a sei mesi; i requisiti per i sistemi di IA ad alto rischio, i modelli di IA ad alto impatto, gli organismi di valutazione della conformità e il capitolo sulla governance diverranno applicabili a dodici mesi.
Inoltre, il cosiddetto “AI Pact” permetterà alle aziende di adeguarsi alla normativa prima del tempo, con il supporto della Commissione al fine di intraprendere azioni concrete per comprendere, adattare e prepararsi alla futura attuazione della legge sull’IA.
La posizione dell’Italia. Considerazioni
“L’Italia ribadirà la necessità di un quadro normativo semplice e chiaro, che rispecchi un equilibrio tra progresso tecnologico e salvaguardia dei principi etici costituzionalmente orientati e dei diritti dei cittadini, in grado di supportare adeguatamente lo sviluppo del mercato e della tecnologia, in perenne evoluzione”, dichiarano in una nota congiunta il Sottosegretario alla presidenza del Consiglio con delega all’innovazione tecnologica, Alessio Butti, e il ministro delle Imprese e del Made in Italy, Adolfo Urso. “Il Governo auspica che la futura legislazione possa favorire un’innovazione responsabile e sostenibile, promuovendo sviluppo ed investimenti da parte delle imprese nazionali ed europee, nel rispetto dei diritti dei cittadini e delle prerogative degli Stati membri a salvaguardia dell’interesse nazionale”, termina la nota.
Come abbiamo visto, la riforma dell’AI Act è di tale portata da generare nell’immediato reazioni, spesso contrastanti. Bisogna, tuttavia, considerare che l’iter legislativo non è ancora concluso e che il testo finale non è stato ancora pubblicato. I governi dovranno impegnarsi nel favorire l’attuazione della norma, tutelando i diritti dei cittadini al contempo senza rallentare eccessivamente lo sviluppo delle imprese tech.
È bene quindi attendere con pazienza i prossimi sviluppi. Se desideri iscriverti alla newsletter dell’Associazione per restare informato clicca qui.