Diritto Digitale

Il 2 febbraio 2024, i rappresentanti in Consiglio Europeo dei 27 Stati membri dell’Unione Europea – compresi Francia, Italia e Germania, che si erano alleate in fase di negoziazione per rivedere alcune misure relative agli usi di polizia e all’AI generativa – hanno votato all’unanimità il testo finale dell’AI Act, il primo documento al mondo volto a regolamentare l’intelligenza artificiale.

Dopo un accordo politico raggiunto a dicembre 2023, il testo è stato approvato – posizionando così l’Unione Europea come leader globale nella regolamentazione dell’Intelligenza Artificiale ­– e si avvia verso la votazione finale prevista per il 24 aprile 2024 da parte del Parlamento Europeo, il quale ha definito un sistema di intelligenza artificiale come“un sistema basato su macchine progettato per funzionare con diversi livelli di autonomia e che può, per obiettivi espliciti o impliciti, generare output come previsioni, raccomandazioni o decisioni che influenzano ambienti fisici o virtuali”.

Il testo, impostando diversi livelli di rischio con relativi adempimenti – e relative sanzioni in caso di violazione di quest’ultimi – promuove un uso innovativo e attendibile dell’Intelligenza Artificiale, capace di assicurare la tutela della democrazia tramite la valutazione dell’impatto dei diritti fondamentali per i sistemi di IA ad alto rischio prima del loro utilizzo, nonché la necessità di creare una banca dati per la registrazione di alcuni enti pubblici che fanno uso di sistemi di IA ad alto rischio.

L’approccio, basato sul rischio, individua diversi livelli a seconda di come viene usata l’intelligenza artificiale, e in base a questi stabilisce quali applicazioni sono ammesse o meno e a quali condizioni. Nello specifico, il rischio risulta inaccettabile in presenza di sistemi considerati una chiara minaccia ai diritti umani e alla sicurezza (come ad esempio i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili o i sistemi di intelligenza artificiale che manipolano il comportamento umano per influenzare il libero arbitrio); alto, se riferisce a sistemi che possono avere un impatto significativo sui diritti individuali o essere utilizzati in ambiti critici (come sanità, giustizia, sicurezza e forze dell’ordine prima del loro impiego deve essere valutata la conformità con gli standard Ue); limitato, con riguardo a sistemi che dovranno soddisfare determinati requisiti di trasparenza (come le chatbots). L’Ue vuole quindi assicurarsi che gli utenti siano consapevoli di interagire con l’intelligenza artificiale. Si configurerà invece un rischio minimo se in riferimento ad applicazioni che saranno soggette a requisiti minimi o nessun requisito specifico. Si evidenzia che i rischi definiti limitati o minimi saranno soggetti a obblighi di trasparenza semplificati.

Quanto ai test relativi all’intelligenza artificiale classificata come ad alto rischio, il testo dell’AI Act recita così: “La sperimentazione di sistemi di AI ad alto rischio in condizioni reali al di fuori delle sandbox di regolamentazione dell’AI sarà possibile, ma sarà soggetta a una serie di salvaguardie, che includono, tra l’altro, il requisito dell’approvazione da parte dell’autorità di vigilanza del mercato, il diritto per le persone interessate di richiedere la cancellazione dei loro dati dopo la sperimentazione in condizioni reali, il diritto per le autorità di sorveglianza del mercato di richiedere ai fornitori informazioni relative ai test in condizioni reali, compresa la facoltà di condurre ispezioni”.

I punti chiave includono poi una governance rivista per l’IA, con la creazione dell’AI Office presso la Commissione Europea, che risulta in possesso di poteri di supervisione ai modelli di IA, nonché di promozione e rispetto degli standard negli Stati membri, assicurando una maggiore protezione dei diritti tramite valutazioni d’impatto per sistemi ad alto rischio. Così si legge nel testo: “Mentre per i sistemi di AI si applicherà il sistema di sorveglianza del mercato a livello nazionale, queste nuove regole per i modelli GPAI prevedono un nuovo sistema più centralizzato di supervisione e applicazione. A tal fine, sarà istituito l’Ufficio AI, una nuova struttura di governance con una serie di compiti specifici per i modelli GPAI e con un forte legame con la comunità scientifica a sostegno del suo lavoro”.

In sintesi, i punti cardine sui quali il testo si basa sono:

• Le regole da applicare ai sistemi di IA comportanti rischi sistemici in futuro, oltreché sui sistemi di IA definiti ad alto rischio;
• I sistemi di governance rivisti anche alla luce di alcuni poteri di esecuzione europei;
• Un elenco più completo dei divieti (pur potendo utilizzare l’identificazione biometrica remota da parte delle Autorità);
• Una protezione rafforzata dei diritti, tramite un obbligo di valutazione d’impatto per gli operatori dei sistemi di AI ad alto rischio prima di poter utilizzare un sistema di AI.

Sono state poi definite le regole per i modelli di targeting Generici IA, ossia quei modelli che servono a scopi diversi e diversificati, anche per quanto riguarda i requisiti di trasparenza.

Tutti i modelli sono soggetti a un obbligo di trasparenza rispetto al funzionamento, la creazione e le caratteristiche tecniche. In più, se il fornitore è stabilito fuori dall’Ue, deve nominare “un rappresentante autorizzato che sia stabilito nell’Unione e che gli consenta di svolgere i compiti previsti dal presente regolamento”.

È stato poi introdotto un regime diverso per i modelli ad alto impatto, ovvero quelli addestrati con un grande volume di dati, con elevati complessità e performance superiori alla media, che possono dar luogo a rischi sistemici nella catena del valore.

Infine, sono state previste sanzioni per la violazione delle norme contenute nel regolamento, le quali variano a seconda della gravità dell’infrazione e della dimensione del trasgressore, nello specifico in percentuale del fatturato annuo globale nell’esercizio finanziario precedente della società che ha commesso il reato o, se superiore, in un importo predeterminato. Nel testo si legge: “Per l’inosservanza delle disposizioni relative alle pratiche di AI vietate, la sanzione è stata fissata a 35 milioni di euro o al 7% del fatturato annuo, leggermente al di sopra del limite fissato nel mandato rivisto del Consiglio, che era di 35 milioni di euro o del 6,5% del fatturato annuo”. Pertanto, le sanzioni saranno applicate per un importo che potrà arrivare fino al 7% delle entrate annuali globali dell’autore della violazione, o 35 milioni di euro (a seconda di quale sia la maggiore cifra), quando la violazione riguarda sistemi di intelligenza artificiale vietati a causa di rischi inaccettabili; inoltre, se le sanzioni riguardano sistemi ad alto rischio – e quindi la violazione degli obblighi – la sanzione è stata fissata al 3% del fatturato annuo o a 15 milioni di euro. Mentre, per chi fornisce informazioni inesatte, la sanzione può arrivare a 7,5 milioni di euro o l’1,5% del fatturato annuo.

Ora non resta che aspettare l’entrata in vigore del regolamento, che si articolerà in varie fasi. 

Dopo sei mesi scatteranno i divieti, ed entro un anno entreranno in vigore le norme sui modelli fondativi – che prevedono due livelli di inquadramento di questi sistemi ­– e, di conseguenza, di obblighi da rispettare. La proposta crea due corsie. Da una parte le cosiddette Intelligenze Artificiali ad alto impatto, identificate da un potere di calcolo pari a 10^25 FLOPs (floating point operations per second, un’unità di misura della capacità computazionale). Al momento, però, solo GPT-4 di OpenAI rispetterebbe questa caratteristica. 

All’IA ad alto impatto la legge comunitaria richiede una applicazione ex ante delle regole su sicurezza informatica, trasparenza dei processi di addestramento e condivisione della documentazione tecnica prima di arrivare sul mercato.

Al di sotto si collocano poi tutti gli altri foundational models, rispetto ai quali l’AI Act si applicherà quando gli sviluppatori commercializzeranno i propri prodotti. Infine, due anni dopo, nel 2026, si applicherà il pacchetto per intero. Al fine di evitare ritardi nell’adeguamento al regolamento, è prevista la possibilità di una conformità volontaria, il cosiddetto AI Pact, che permetterà alle aziende di adeguarsi all’AI Act prima che diventi pienamente operativo. È stato creato, infatti, un ufficio europeo dedicato all’Intelligenza Artificiale, incardinato presso la direzione generale Connect della Commissione per sovrintendere all’applicazione della legge.