Come abbracciare la rivoluzione dell’AI e sfruttarne le opportunità?

In data odierna è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il Regolamento che stabilisce regole armonizzate sull'intelligenza artificiale (“AI Act”), approvato il 21 maggio 2024 dal Consiglio Europeo e che entrerà ufficialmente in vigore tra 20 giorni, con un’applicazione progressiva dei requisiti di sicurezza e trasparenza in base al livello di rischio dei sistemi oggetto di regolamentazione.

L’adozione dell’AI Act rappresenta un momento di fondamentale importanza nella preparazione del Mercato Interno alle sfide del Decennio Digitale (2020-2030).

Ma quali sono i suoi obiettivi?

• Assicurare che i sistemi di AI immessi sul mercato dell'Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell'Unione;
• assicurare la certezza del diritto per facilitare gli investimenti e l'innovazione nell'intelligenza artificiale;
• migliorare la governance e l'applicazione effettiva della vigente normativa;
• facilitare lo sviluppo di un mercato unico per applicazioni di AI lecite, sicure e affidabili, nonché prevenire la frammentazione del mercato[1].

[1] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione, COM(2021) 206 final, p.3. 

I punti sui quali il Regolamento focalizza l’attenzione sono i seguenti:​​​​​​​

• Human oversight: è essenziale che il funzionamento dei sistemi di AI venga monitorato da un essere umano, che possa intervenire per correggerne i potenziali bias. Gli algoritmi alla base dei modelli di AI, infatti, potrebbero replicare nei loro risultati dei pregiudizi presenti al momento della raccolta dei dati. Ora più che mai è fondamentale riconoscere i limiti degli algoritmi, evitando di subire passivamente il loro risultato, considerandolo come più corretto rispetto a quello prodotto da una persona.
• Technical robustness: nuove tecnologie portano nuove cyber-sfide. Non si tratterà più soltanto di limitare attacchi DDoS, malware, phishing, ma bisognerà prepararsi a rispondere ad attacchi mirati ai modelli di AI, quali il data poisoning e gli adversarial attacks.
• Privacy and data governance: non solo è richiesta un’elevata qualità dei dati con i quali i sistemi di AI lavorano, ma occorre implementare un processo di raccolta e gestione dei dati nel rispetto della normativa vigente (GDPR).
• Transparency: il funzionamento dei sistemi di AI dev’essere il più chiaro possibile agli utilizzatori finali. Non si richiede una totale explainability, ma di rendere l’utilizzatore edotto delle finalità e modalità con le quali i sistemi operano, nonché dei possibili risultati che l’AI potrebbe fornire.
• Fairness and non-discrimination: i sistemi di AI non devono operare perpetrando bias presenti nella società.
• Social and environmental well-being: l’impiego dell’AI non deve nuocere alla società e dev’essere ambientalmente sostenibile.

l Regolamento classifica i sistemi di intelligenza artificiale in quattro categorie di rischio – minimo, limitato, alto e inaccettabile –, tenendo conto del loro impatto su diritti e sulla sicurezza delle persone che interagiscono con i sistemi stessi.

I sistemi che espongono gli utenti a rischi inaccettabili non potranno essere messi sul mercato, trattandosi di (i) sistemi che utilizzano l’AI per manipolare il comportamento degli utenti sfruttandone le vulnerabilità, (ii) sistemi di AI usati dalle autorità pubbliche (o per loro conto) per pratiche di social scoring, nonché (iii) sistemi utilizzati per attività di identificazione biometrica di massa “in tempo reale” (escluse le ipotesi di prevenzione di alcuni reati).

Per quanto riguarda, invece, i sistemi di AI che potrebbero creare un rischio alto per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche, in linea con il risk-based approach adottato dal legislatore europeo, la loro immissione sul mercato sarà consentita unicamente qualora siano rispettati determinati requisiti, tra cui una valutazione di conformità ex ante. 

Il Regolamento distribuisce un ventaglio di precauzioni ed obblighi che i soggetti coinvolti con i sistemi di IA sono tenuti ad adottare e rispettare.

In particolare, l’ambito di applicazione territoriale prevede che il Regolamento si applichi a:

• fornitori che immettono sul mercato o mettono in servizio sistemi di AI nell'Unione, indipendentemente dal fatto che siano stabiliti nell'Unione o in un Paese terzo;
• utenti dei sistemi di AI situati nell'Unione;
• fornitori e utenti di sistemi di AI situati in un Paese terzo, laddove l'output prodotto dal sistema sia utilizzato nell'Unione.

Capire il ruolo assegnato dal Regolamento è essenziale per delineare gli obblighi e le responsabilità all’interno della catena di produzione e distribuzione dei sistemi IA. 

Non trascurabile è la previsione normativa che obbliga i fornitori di sistemi di IA che interagiscono con persone di informare quest’ultime delle circostanze (a meno che la natura “artificiale” dell’interlocutore non sia evidente dal contesto). Allo stesso modo, i fornitori di sistemi AI che riconoscono emozioni o eseguono categorizzazioni biometriche devono informare gli utenti sul funzionamento di questi sistemi.

Da ultimo, ma non per importanza, i fornitori di sistemi AI che generano immagini o audio devono obbligatoriamente rendere edotto l’utente finale che il contenuto visivo o uditivo è stato generato artificialmente.

L’obiettivo di questa previsione è chiaro: evitare manipolazioni che su larga scala potrebbero compromettere una graduale sfumatura tra ciò che è prodotto da un umano e prodotto da un sistema di AI.

Il Team Advisory di Lutech può aiutarti a capire gli impatti dell’AI Act sul tuo business e guidarti verso la conformità.