L’Europa ha raggiunto un accordo preliminare sul regolamento AI Act, ma è di massima; si attende ora il testo definitivo, con qualche dettaglio da sistemare. L’applicazione poi è in molta parte delegata ai singoli Stati.

Le principali novità nell’IA Act rispetto al primo testo

Rispetto alla proposta iniziale della Commissione, i principali nuovi elementi dell’accordo provvisorio possono essere riassunti come segue:

• norme sui modelli di IA ad alto impatto generale che possono causare rischi sistemici in futuro, nonché sui sistemi di IA ad alto rischio
• un sistema di governance rivisto con alcuni poteri di applicazione a livello UE
• l’estensione dell’elenco dei divieti, ma con la possibilità di utilizzare l’identificazione biometrica a distanza da parte delle autorità di polizia negli spazi pubblici, a condizione che siano previste delle salvaguardie. Il Parlamento ne aveva chiesto il bando, ma il Consiglio ue ha ottenuto questa possibilità, limitata.
• una migliore protezione dei diritti attraverso l’obbligo per chi impiega sistemi di IA ad alto rischio di condurre una valutazione d’impatto sui diritti fondamentali prima di mettere in uso un sistema di IA.

L’accordo provvisorio chiarisce inoltre che il regolamento non si applica ad aree al di fuori del campo di applicazione del diritto dell’UE e non dovrebbe, in ogni caso, influire sulle competenze degli Stati membri in materia di sicurezza nazionale o su qualsiasi entità a cui siano affidati compiti in questo settore. Inoltre, l’atto di AI non si applicherà ai sistemi utilizzati esclusivamente per scopi militari o di difesa. Allo stesso modo, l’accordo prevede che il regolamento non si applichi ai sistemi di IA utilizzati al solo scopo di ricerca e innovazione, né alle persone che utilizzano l’IA per motivi non professionali.

Sistemi ad alto rischio e non

L’accordo di compromesso prevede un livello orizzontale di protezione, compresa una classificazione ad alto rischio, per garantire che i sistemi di IA che non possono causare gravi violazioni dei diritti fondamentali o altri rischi significativi non vengano catturati.

I sistemi di IA che presentano solo un rischio limitato sarebbero soggetti a obblighi di trasparenza molto leggeri, ad esempio la divulgazione del fatto che il contenuto è stato generato dall’IA in modo che gli utenti possano prendere decisioni informate sull’ulteriore utilizzo.

Un’ampia gamma di sistemi di IA ad alto rischio sarebbe autorizzata, ma soggetta a una serie di requisiti e obblighi per accedere al mercato dell’UE. Tali requisiti sono stati chiariti e adattati dai colegislatori in modo da renderli tecnicamente più fattibili e meno onerosi da rispettare per le parti interessate, ad esempio per quanto riguarda la qualità dei dati o in relazione alla documentazione tecnica che le PMI dovrebbero redigere per dimostrare che i loro sistemi di IA ad alto rischio sono conformi ai requisiti.

Poiché i sistemi di IA sono sviluppati e distribuiti attraverso complesse catene del valore, l’accordo di compromesso include modifiche che chiariscono l’attribuzione delle responsabilità e dei ruoli dei vari attori di tali catene, in particolare dei fornitori e degli utenti di sistemi di IA.

Chiarisce inoltre il rapporto tra le responsabilità previste dalla legge sull’IA e quelle già previste da altre legislazioni, come la legislazione UE sulla protezione dei dati o quella settoriale.

I divieti assoluti

Per alcuni usi dell’IA, il rischio è considerato inaccettabile e, pertanto, questi sistemi saranno vietati dall’UE. L’accordo provvisorio vieta, ad esempio, la manipolazione cognitiva del comportamento, la raccolta non mirata di immagini facciali da Internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul posto di lavoro e negli istituti scolastici, il social scoring, la categorizzazione biometrica per dedurre dati sensibili, come l’orientamento sessuale o le convinzioni religiose, e alcuni casi di polizia predittiva per gli individui.

Trasparenza e tutela dei diritti fondamentali

L’accordo provvisorio prevede una valutazione dell’impatto sui diritti fondamentali prima che un sistema di IA ad alto rischio venga immesso sul mercato da chi lo utilizza. L’accordo provvisorio prevede inoltre una maggiore trasparenza sull’uso dei sistemi di IA ad alto rischio.

In particolare, alcune disposizioni della proposta della Commissione sono state modificate per indicare che anche alcuni utenti di un sistema di IA ad alto rischio che sono enti pubblici saranno obbligati a registrarsi nella banca dati dell’UE per i sistemi di IA ad alto rischio. Inoltre, le nuove disposizioni aggiunte pongono l’accento sull’obbligo per gli utenti di un sistema di riconoscimento delle emozioni di informare le persone fisiche quando sono esposte a tale sistema.

Eccezioni per le forze dell’ordine e biometria

Considerando le specificità delle autorità preposte all’applicazione della legge e la necessità di preservare la loro capacità di utilizzare l’IA nel loro lavoro vitale, sono state concordate diverse modifiche alla proposta della Commissione relative all’uso dei sistemi di IA a fini di applicazione della legge. Fatte salve le opportune salvaguardie, queste modifiche intendono riflettere la necessità di rispettare la riservatezza dei dati operativi sensibili in relazione alle loro attività.

Ad esempio, è stata introdotta una procedura di emergenza che consente alle forze dell’ordine di utilizzare uno strumento di IA ad alto rischio che non ha superato la procedura di valutazione della conformità in caso di urgenza. Tuttavia, è stato introdotto anche un meccanismo specifico per garantire che i diritti fondamentali siano sufficientemente protetti da eventuali abusi dei sistemi di IA.

Per quanto riguarda l’uso di sistemi di identificazione biometrica a distanza in tempo reale in spazi accessibili al pubblico, l’accordo provvisorio chiarisce gli obiettivi per i quali tale uso è strettamente necessario ai fini dell’applicazione della legge e per i quali le autorità preposte all’applicazione della legge dovrebbero quindi essere eccezionalmente autorizzate a utilizzare tali sistemi. L’accordo di compromesso prevede ulteriori garanzie e limita queste eccezioni ai casi di vittime di determinati reati, alla prevenzione di minacce reali, attuali o prevedibili, come gli attacchi terroristici, e alle ricerche di persone sospettate dei reati più gravi.

Sistemi di IA per scopi generali e modelli fondazionali (tipo Gpt)

Sono state aggiunte nuove disposizioni per tenere conto delle situazioni in cui i sistemi di IA possono essere utilizzati per molti scopi diversi (IA per scopi generali) e in cui la tecnologia di IA per scopi generali viene successivamente integrata in un altro sistema ad alto rischio. L’accordo provvisorio affronta anche i casi specifici dei sistemi di IA per scopi generali (GPAI).

Sono state concordate regole specifiche anche per i modelli di base, sistemi di grandi dimensioni in grado di eseguire con competenza un’ampia gamma di compiti distintivi, come la generazione di video, testi, immagini, la conversazione in linguaggio laterale, il calcolo o la generazione di codice informatico. L’accordo provvisorio prevede che i modelli di fondazione debbano soddisfare specifici obblighi di trasparenza prima di essere immessi sul mercato. È stato introdotto un regime più severo per i modelli di fondazione “ad alto impatto”. Si tratta di modelli di fondazione addestrati con grandi quantità di dati e con complessità, capacità e prestazioni avanzate, ben al di sopra della media, che possono diffondere rischi sistemici lungo la catena del valore.

Non è passata quindi la linea che, nel Consiglio UE, chiedeva autoregolamentazione e codici di condotta per questi modelli. 

Una nuova architettura di governance

A seguito delle nuove regole sui modelli GPAI e dell’ovvia necessità di applicarle a livello europeo, viene istituito un Ufficio AI all’interno della Commissione con il compito di supervisionare i modelli AI più avanzati, contribuire alla promozione di standard e pratiche di test e applicare le regole comuni in tutti gli Stati membri. Un gruppo scientifico di esperti indipendenti fornirà consulenza all’Ufficio AI sui modelli GPAI, contribuendo allo sviluppo di metodologie per la valutazione delle capacità dei modelli di fondazione, consigliando la designazione e l’emergere di modelli di fondazione ad alto impatto e monitorando i possibili rischi per la sicurezza dei materiali correlati ai modelli di fondazione.

Il Comitato per l’IA, composto da rappresentanti degli Stati membri, rimarrà una piattaforma di coordinamento e un organo consultivo della Commissione e darà un ruolo importante agli Stati membri nell’attuazione del regolamento, compresa la progettazione di codici di pratica per i modelli di fondazione. Infine, sarà istituito un forum consultivo per le parti interessate, come i rappresentanti dell’industria, delle PMI, delle start-up, della società civile e del mondo accademico, che fornirà competenze tecniche al comitato per l’AI.

Le sanzioni

Le sanzioni per le violazioni della legge sull’IA sono state fissate come una percentuale del fatturato globale annuo dell’azienda colpevole nell’esercizio finanziario precedente o di un importo predeterminato, a seconda di quale sia il più alto. Si tratterebbe di 35 milioni di euro o del 7% per le violazioni delle applicazioni AI vietate, di 15 milioni di euro o del 3% per le violazioni degli obblighi della legge sull’AI e di 7,5 milioni di euro o dell’1,5% per la fornitura di informazioni non corrette. Tuttavia, l’accordo provvisorio prevede massimali più proporzionati per le ammende amministrative per le PMI e le start-up in caso di violazione delle disposizioni della legge sull’IA.

L’accordo di compromesso chiarisce inoltre che una persona fisica o giuridica può presentare un reclamo all’autorità di vigilanza del mercato competente in merito alla mancata osservanza della legge sull’AI e può aspettarsi che tale reclamo venga trattato in linea con le procedure dedicate di tale autorità.

Misure a sostegno dell’innovazione

Al fine di creare un quadro giuridico più favorevole all’innovazione e di promuovere l’apprendimento normativo basato su dati concreti, le disposizioni relative alle misure a sostegno dell’innovazione sono state sostanzialmente modificate rispetto alla proposta della Commissione.

In particolare, è stato chiarito che le sandbox di regolamentazione dell’IA, che dovrebbero creare un ambiente controllato per lo sviluppo, la sperimentazione e la convalida di sistemi innovativi di IA, dovrebbero anche consentire la sperimentazione di sistemi innovativi di IA in condizioni reali. Inoltre, sono state aggiunte nuove disposizioni che consentono di testare i sistemi di IA in condizioni reali, nel rispetto di specifiche condizioni e salvaguardie. Per alleggerire l’onere amministrativo delle imprese più piccole, l’accordo provvisorio comprende un elenco di azioni da intraprendere per sostenere tali operatori e prevede alcune deroghe limitate e chiaramente specificate.

Entrata in vigore

L’accordo provvisorio prevede che l’atto di AI si applichi due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche.

Si prevede una riduzione a sei mesi per i divieti assoluti (tipo sul social scoring). I requisiti per i sistemi di IA ad alto rischio, i modelli di IA potenti, gli organismi di valutazione della conformità e il capitolo sulla governance inizieranno ad essere applicati un anno prima.

@RIPRODUZIONE RISERVATA