Intelligenza artificiale: lo stato della legislazione

“Se l’IA non è controllata e guidata in modo equo e sostenibile, può esacerbare i problemi sociali, dai pregiudizi alla discriminazione; erodere l’autonomia e la responsabilità umana; amplificare i problemi del passato, dall’iniqua allocazione della ricchezza allo sviluppo di una cultura della mera distrazione, quella del panem et digital circenses.”

Tratto da LUCIANO FLORIDI, Etica dell’intelligenza artificiale. Sviluppi, opportunità, sfide, Raffaello Cortina Editore, Milano, 2022.

Ormai è chiaro che la rapida integrazione degli strumenti di intelligenza artificiale (IA) nella vita quotidiana di ognuno di noi sta rimodellando il nostro modo di pensare e prendere decisioni. Da più di un anno Microsoft, forte del suo accesso privilegiato alle tecnologie di OpenAI, è impegnata per supportare lo sviluppo dell’AI a fianco di aziende e governi di tutto il mondo.

In occasione della tappa italiana del Microsoft AI Tour [1] , il CEO di Microsoft Satya Nadella ha confermato l’impegno dell’azienda per la crescita del Paese. Nadella ha presentato le aziende italiane che già stanno integrando con successo il cloud e l’AI generativa di Microsoft. 

La tappa italiana dell’AI Tour segue l’importante investimento annunciato da Microsoft in Italia  – 4,3 miliardi di euro nei prossimi due anni – per espandere la sua infrastruttura di data center hyperscale cloud e di Intelligenza Artificiale. E c’è anche un piano di formazione sulle competenze digitali per oltre 1 milione di italiani entro la fine del 2025. Con questo investimento, la Cloud Region italiana diventerà una delle più grandi regioni data center di Microsoft in Europa e svolgerà un ruolo cruciale di hub non solo per l’Italia ma anche per il Mediterraneo e il Nord Africa. 

Il Gruppo Ferrero, ad esempio, ha creato con Microsoft Azure OpenAI Let’s Story, una piattaforma per sviluppare fiabe personalizzate con l’AI generativa. O Roma Capitale, che ha creato la guida AI Julia, che aiuterà gli oltre 35 milioni di visitatori che arriveranno nella Capitale in occasione dell’imminente Giubileo. Addirittura, un recente studio sviluppato dalla stessa Microsoft insieme al gruppo TEHA ha calcolato che un’adozione pervasiva dell’AI generativa potrebbe aumentare il PIL annuale dell’Italia fino a 312 miliardi di euro nei prossimi 15 anni, pari al 18,2%. Da qui l’interesse di Microsoft ad accompagnare PMI e aziende nel passaggio alla tecnologia. 

Insomma: in questa prospettiva storica ed ecologica, l’IA è una straordinaria tecnologia che può essere una potente forza positiva, nei due modi principali. Può aiutarci a conoscere, comprendere e prevedere di più e meglio le numerose sfide che stanno diventando così impellenti, in particolare il cambiamento climatico, l’ingiustizia sociale e la povertà globale. La corretta gestione di dati e processi da parte dell’IA può accelerare il circolo virtuoso tra maggiori informazioni, migliore scienza e politiche più avvedute. Eppure, la conoscenza è potere solo se si traduce in azione.

Il rischio percepito da molti però è che l’IA rischia di trasformarsi da parte della soluzione a parte del problema. Questo è il motivo per cui iniziative etiche e buone norme internazionali sono essenziali per garantire che l’IA rimanga una potente forza per il bene. Dopo la sua pubblicazione in Gazzetta, avvenuta venerdì 12 luglio 2024, il Regolamento europeo sull’intelligenza artificiale è divenuto ufficiale una legge dell’Unione. Si tratta del Regolamento 1689/2024 i cui tempi di attuazione previsti variano dai 6 ai 36 mesi, con priorità dati ai settori a rischio elevato. Questo intervallo temporale è stato studiato per consentire un’implementazione graduale ed efficace delle nuove norme.

Un traguardo importante raggiunto dopo diversi anni di lavoro delle istituzioni europee, alla ricerca del giusto equilibrio tra protezione dei diritti e delle libertà fondamentali e sostegno all’innovazione.

Il Regolamento, pionieristico a livello mondiale, aggiunge limiti chiari all’uso dell’IA e protegge i diritti dei cittadini europei pur lasciando spazio a molte applicazioni, escludendo settori come quello militare. Un elemento di spicco è la definizione legislativa di intelligenza artificiale, che enfatizza l’autonomia, l’adattabilità e l’impatto sul mondo fisico o virtuale. Tale definizione, in linea con le direttive internazionali, esclude i sistemi software tradizionali basati su regole fisse, e prevede linee guida specifiche per la sua applicazione, sottolineando l’intento di non ostacolare l’innovazione.
Per esempio un tema centrale del suddetto è la regolamentazione dell’uso dell’IA per il riconoscimento facciale e la biometria, con procedura rigorose per l’approvazione giudiziaria di tali tecnologie in ambito giuridico. Per le aziende, l’AI Act [2] delinea responsabilità e requisiti chiari in base al livello di rischio dei sistemi di IA,  influenzando direttamente il modo in cui l’innovazione tecnologica viene perseguita e implementata nel mercato europeo. Questo Regolamento rappresenta un passo avanti significativo nella regolamentazione dell’intelligenza artificiale, segnando un momento storico per l’Europa e il mondo.

Come premesso, l’accordo provvisorio prevede che il regolamento sull’IA entrerà in vigore due anni dopo la sua adozione, salvo alcune eccezioni per disposizioni specifiche. Questo periodo di transizione fornirà agli attori interessati il ​​tempo necessario per adeguarsi alle nuove regole e attuare le misure richieste. Le nuove regole stabiliscono obblighi per fornitori e utenti al secondo livello di rischio dell’IA. Molti sistemi di intelligenza artificiale comportano un rischio minimo, ma devono essere valutati. Vediamoli insieme:

1) Rischio inaccettabile

I sistemi di intelligenza artificiale sono considerati un rischio inaccettabile, e pertanto vietati, quando costituiscono una minaccia per le persone.

Questi includono: manipolazione comportamentale cognitiva di persone o gruppi vulnerabili specifici: ad esempio giocattoli attivati ​​vocalmente che incoraggiano comportamenti pericolosi nei bambini; classificazione sociale: classificazione delle persone in base al comportamento, al livello socio-economico, alle caratteristiche personali; identificazione biometrica e categorizzazione delle persone fisiche; sistemi di identificazione biometrica in tempo reale ea distanza, come il riconoscimento facciale

Alcune eccezioni potrebbero tuttavia essere ammesse a fini di applicazione della legge. I sistemi di identificazione biometrica remota “in tempo reale” saranno consentiti in un numero limitato di casi gravi, mentre i sistemi di identificazione biometrica a distanza “post”, in cui l’identificazione avviene dopo un significativo ritardo, saranno consentiti per efficaci reati gravi e solo previa autorizzazione del tribunale.

2) Alto rischio

I sistemi di intelligenza artificiale che influenzano negativamente sulla sicurezza o sui diritti fondamentali saranno considerati ad alto rischio e saranno suddivisi in due categorie:

1) I sistemi di intelligenza artificiale utilizzati in prodotti soggetti alla direttiva dell’UE sulla sicurezza generale dei prodotti. Questi includono giocattoli, aviazione, automobili, dispositivi medici e ascensori.

2) I sistemi di intelligenza artificiale che rientrano in otto aree specifiche dovranno essere registrati in un database dell’UE: – identificazione e categorizzazione biometrica di persone naturali; – gestione e funzionamento di infrastrutture critiche; – istruzione e formazione professionale; -occupazione, gestione dei lavoratori e accesso all’autoimpiego; – accesso e fruizione di servizi privati ​​essenziali e servizi pubblici; – gestione delle migrazioni, asilo e controllo delle frontiere; – assistenza nell’interpretazione e applicazione legale della legge.

Tutti i sistemi di intelligenza artificiale ad alto rischio saranno valutati prima di essere messi sul mercato e durante tutto il loro ciclo di vita.

I cittadini avranno il diritto di presentare reclami sui sistemi di IA alle autorità nazionali designate.

3) Requisiti di trasparenza

L’IA generativa, come ChatGPT, non sarà classificata “ad rischio alto” ma dovrà comunque rispettare requisiti di trasparenza e la legge europea sul diritto d’autore dell’UE: rivelare se il contenuto è stato generato da un’intelligenza artificiale; progettare il modello in modo da impedire la generazione di contenuti illegali; pubblicare riepiloghi dei dati citando i diritti d’autore impiegati per l’addestramento.

I modelli di IA ad alto impatto generale che potrebbero rappresentare un rischio sistemico, come il modello di IA più avanzato GPT-4, dovranno essere sottoposti a valutazioni approfondite e segnalazione alla Commissione eventuali incidenti gravi.

4) Sanzioni

L’Ai Act prevede un sistema di sanzioni in caso di violazione delle disposizioni previste. Le sanzioni possono variare a seconda della gravità e della natura dell’infrazione, e sono proporzionate alla dimensione e al fatturato dell’operatore economico responsabile. Le sanzioni possono includere: avvertimenti o diffide da parte delle autorità nazionali competenti, con la possibilità di adottare misure correttive; fino a 35 milioni di euro o al 7% del fatturato totale annuo a livello mondiale dell’esercizio finanziario precedente (a seconda di quale sia il valore più alto) per le violazioni relative alle pratiche vietate o alla non conformità ai requisiti sui dati; fino a 15 milioni di euro o al 3% del fatturato totale annuo a livello mondiale dell’esercizio finanziario precedente per la mancata osservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento, compresa la violazione delle norme sui modelli di IA per uso generale; fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale anno totale dell’esercizio precedente per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta.

Per concludere: la legge sull’IA è entrata in vigore il 1o agosto e sarà pienamente applicabile due anni dopo, con alcune eccezioni: i divieti entreranno in vigore dopo sei mesi, le norme di governance e gli obblighi per i modelli di IA per uso generale diventeranno applicabili dopo 12 mesi e le norme per i sistemi di IA – integrati in prodotti regolamentati – si applicheranno dopo 36 mesi. Per agevolare la transizione verso il nuovo quadro normativo, la Commissione ha varato il patto sull’IA [3] un’iniziativa volontaria che mira a sostenere la futura attuazione e invita gli sviluppatori di IA europei e non solo a rispettare in anticipo gli obblighi fondamentali della legge sull’IA.

[1] Si tratta di un evento itinerante dedicato all’intelligenza artificiale, rivolto ai leader italiani e internazionali. Il tour rappresenta una delle iniziative più attese del settore tecnologico, in un momento in cui  l’AI sta radicalmente trasformando il mondo delle imprese e delle tecnologie emergenti.

[2]   La versione ufficiale al seguente link: https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf

[3] L’AI Pact è strutturato attorno a due pilastri: Il Pilastro I è aperto a tutti gli stakeholder (inclusi, ma non limitati a, aziende, organizzazioni non-profit, accademici, dipendenti pubblici, ecc.). Nell’ambito del Pilastro I, i partecipanti contribuiscono alla creazione di una comunità collaborativa, condividendo le proprie esperienze e conoscenze. Ciò include webinar organizzati dall’AI Office che forniscono ai partecipanti una migliore comprensione dell’AI Act, delle proprie responsabilità e di come prepararsi alla sua implementazione. A sua volta, l’AI Office raccoglie approfondimenti sulle migliori pratiche e sulle sfide affrontate dai partecipanti. In questo contesto, i partecipanti possono condividere le migliori pratiche e le policy interne che potrebbero essere utilizzate ad altri nel loro percorso di conformità. A seconda delle preferenze dei partecipanti, queste best practice potrebbero anche essere pubblicate online in una piattaforma in cui l’AI Office condividerà informazioni sul processo di implementazione dell’AI Act. Lo scopo del secondo pilastro è quello di fornire un quadro per promuovere l’implementazione precoce di alcune delle misure dell’AI Act. Questa iniziativa incoraggia le organizzazioni a divulgare in modo proattivo i processi e le pratiche che stanno implementando per anticipare la conformità. Nello specifico, le aziende che forniscono o distribuiscono sistemi di IA possono dimostrare e condividere i loro impegni volontari verso la trasparenza ei requisiti ad alto rischio e prepararsi in anticipo per la loro implementazione. Gli impegni assumono la forma di promessa che sono “dichiarazioni di impegno”. Queste promesse contengono azioni concrete (pianificate o in corso) per soddisfare i requisiti distinti dell’AI Act e includono una tempistica per la loro adozione.

Per maggiori informazioni: https://digital-strategy.ec.europa.eu/en/policies/ai-pact